近年、ランサムウェア被害の増加により、サイバーセキュリティは単なるIT部門の枠を超え、経営判断や事業継続に直結するテーマへと変化しています。
しかし多くの企業では、「何から手をつけるべきか」「どこまで対策すれば十分なのか」「グループ全体をどう巻き込むべきか」といった方針判断に悩む企業も少なくありません。
その背景として、一般的なセキュリティアセスメントでは、各種セキュリティソリューションの順次導入を前提としたチェックリストに留まりがちであり、結果として現場の制約や組織構造に十分に適合しないロードマップとなってしまうケースも見受けられます。
そうした中、日本タタ・コンサルタンシー・サービシズ株式会社(日本TCS)は約5,000名規模 ・国内外に10社以上のグループ企業を抱える企業に対し、こうした“杓子定規”な手法ではなく、限られた予算や実行難易度を踏まえた現実的なロードマップを策定しました。本稿では、この支援を通じ見えてきたグループセキュリティ強化の要諦を整理します。
既に一定のセキュリティ体制とガバナンスが構築されていたグループ本社では、全社的な成熟度も比較的高い水準にありました。しかし、グループ会社でセキュリティインシデントが発生したことを契機に、グループ会社側のセキュリティ体制が十分ではない点が課題として浮かび上がりました。グループ全体の防御力底上げをするため、まずは現状の可視化を目的にアセスメントの実施を決定。各社の対策状況を定量的に把握し、「どの領域から、どのような優先順位で強化を進めるべきか」を整理し、実行性の高いロードマップを策定することが重要と考えました。
これは、単に各社の成熟度を可視化するというだけでは不十分です。指揮命令関係にないグループ会社を「どのように巻き込み、グループ全体として実効的に強化を進めるか」、グループ全体を支える中核的な統制機能が不可欠であり、その“仕組みの設計”も本社にとって喫緊の課題として示す結果となりました。
では、アセスメントで得られた知見を基に、どのように効果的なロードマップを策定すればよいのか。今回の事例の場合、推進体制の全体設計をし、横串で“グループ全体で実行可能なロードマップ”策定が有効と考えます。ロードマップ策定では、単なるルール徹底ではなく連携と協調を軸に据え、フェーズを分けて段階的に推進する構造が適しています。
フェーズ1:課題とゴールの明確化
ヒアリング結果・スコアリング・リソース状況を総合的に評価し、以下を最初の着手領域として位置づけ。
また、本社ネットワーク共有の有無と売上規模の2軸で各社をタイプ別に分類し、それぞれ到達レベルを設定。これにより、グループ横断で実効性を担保できる推進方針を整理します。
フェーズ2:本社内の推進チームの立ち上げ
アセスメントで明らかになった「本社側の推進体制の不備」を踏まえ、グループ全体を牽引できる体制を構築するため、本社内に新たな推進チームを立ち上げ。このチームは外部専門家を含む小規模かつ機動的な構成とし、ロードマップ実行の最初のステップとして体制を構築します。
主な活動例:
これにより、本社はグループ全体を俯瞰し、優先度を整理しながら推進できる司令塔としての機能を強化します。
フェーズ3:任意参加型ワーキンググループ(WG)の設置と推進
指揮命令関係にないグループ会社を巻き込むために、本社がルールを押し付けるのではなく、現場が自発的に参加できる共創型WGを設計。
WGでは、以下のような取り組みを重ねることで、日常業務の延長線上で負担を増やさずに改善が回る運用モデルとして設計します。
こうした活動を通じて、共感と実感を起点に、自然と共通ポリシーやグループCSIRT(Computer Security Incident Response Team)の原型が形成されます。
なお、アセスメント成果を踏まえて検討する全施策は、各施策ごとに5〜10の実施ステップ案を示すことで、どの程度の期間と労力で実行可能かが明確になり、実現可能性を具体的にイメージできるように整理します。
このように多くのアセスメントがフレームワークに沿ってソリューションを順に導入する提案に終始しがちな中、私達は組織文化・関係性・予算・人員体制といった現実に即した動かし方の設計を重視しています。
これにより、本社が動かすのではなく、グループ全体が自発的に動き出す持続的な仕組みを目指せます。
また、こうした支援によって、次のような成果が期待できます。
今回の事例のように、現場が動き、グループ全体のセキュリティ強化を推進していくためには、現場の制約や組織構造など十分理解した上で、ロードマップを策定する必要があると考えます。当社のグローバルの豊富な事例や、セキュリティ専門家の知見とともに、実現性の高いセキュリティ強化実現をご支援していきます。