説明責任を果たすための「仕組み作り」が重要に

　そこでセキュリティリーダーに求められているのが、「インシデント発生を前提に、日頃から十分な対策を講じてきたことを説明するための仕組みや仕掛けづくり」だ。その中で戦略や計画、ポリシーなどの「ガバナンス」、責任者や教育などの「体制」、脆弱性マネジメントやインシデント対応などの「プロセス」、ネットワークセキュリティなどの「技術」を固め、環境の変化を踏まえて継続的に見直していくべきだと礒田氏は提言する。

「100点を目指すのではなく、60点を目指す継続的かつ地道な取り組みです。しかし、万一の際の説明責任を果たすためにも、着実に実行する必要があります。セキュリティ対策は本社側が主導する“集約”と、現場に委任する“分散”の2つのアプローチがあり、どちらに軸足を置くべきかはケース・バイ・ケースとなりますが、中長期で徐々に集約するのが自然な流れでしょう」（礒田氏）

　検討テーマの3つ目は「ゼロトラスト戦略」である。

　礒田氏はゼロトラストについて「安易に信頼しないという考え方に基づく、継続的な可視化・検証の仕組みです」と説明する。そのために活用を見込めるツールは極めて多岐にわたる。

　その中で実施が抜けがちなものとして礒田氏が挙げるのが、サイバーセキュリティリスクを継続的に監視・管理する手法の「CTEM（Continuous Threat Exposure Management：継続的脅威エクスポージャー管理）」だ。いわゆる脆弱性管理の取り組みであり、短期と中期、長期の取り組みを通じ、脅威分析と対応を段階的に高度化、自動化する。

　もう1つの抜けがちなものが、場当たり的な対応による弊害としての「セキュリティ戦略の策定」だ。

「その場合には自分たちの立ち位置を確認した上で、短期、中期、長期で、ユーザーやアプリ、デバイス、データなどシステムの要素について課題を洗い出し、整理し、対応の方向性を検討します。米国防総省のゼロトラストに関するガイドラインが大いに参考になるはずです」（礒田氏）

「責任あるAI原則」のためにAIガバナンスを確立する

　検討テーマの4つ目が、「人中心のセキュリティ」だ。

　ITの利活用がこれほど広がったことで、それらすべてのセキュリティ部門による保護は極めて困難となっている。ガートナーの調査でも64％の組織が「中央でのすべての管理は困難」だと回答している。そこでの対策の現実解となるのが「人中心のセキュリティ」だという。

「従来の対策は子供相手のように、細かなルールでユーザーを縛っていました。対して人中心のセキュリティでは、大人のようにユーザーに自由と責任を与えた上で、モニタリングでセキュリティを担保します」（礒田氏）

　人中心のセキュリティを採用する企業はグローバルで着実に広がっているという。たとえば、とある大手メーカーは技術に精通したビジネステクノロジストを現場に配置。

「リスクの低いプロジェクトを現場主導で実施できる体制を整えることで、イノベーションを加速させるなどの成果を上げています」（礒田氏）

　検討テーマの5つ目が、「AIガバナンス」である。

　技術は良くも悪くも活用でき、それはAIでも同様だ。企業内に限った利用であればリスクは限定的だが、「顧客や社会のために利用すれば、リスクは人類の問題に発展しかねません」（礒田氏）。

　その点から、EUではEU域内でのAI技術の提供や使用を規制する法律「AI Act」が2024年8月から施行。AIの倫理・品質管理における企業が果たすべき社会的責任の形の1つが示された。

「AI ActはGDPRと同様、EU市場にサービスやシステムを提供するEU域外の企業にも適用されます。日本も当然、無関係でいることはできず、今から対応を始めても決して早くはありません」（礒田氏）

　対応に向け、公平性や説明可能性、透明性などの「責任あるAI原則」の実務への落とし込みが必要とされ、初めての経験だけに少なからぬ苦労も予想される。その中で礒田氏が最初に取り組むことを推奨するのがAIガバナンスの確立だ。


「まずは組織体制を構築し、リスク・アセスメントによりAIに関するリスクを評価します。その後は継続的なリスク軽減策に取り組むとともに、ポリシーなどを策定し、トレーニングも実施します。当初はとまどうことも多いでしょうが、これらに取り組んでいけば、自社のAI利用について説明できるようになります。セキュリティリーダーとしてリーダーシップを発揮し、取り組みをけん引してください」（礒田氏）