取締役会の言及｢年2回→毎月20分｣で経営層の意識変革に成功したPwC Japanのセキュリティ戦略、採用争いは｢完全リモート勤務｣で差別化

そこで外村氏は、12回のシリーズのなかで、「本当に自社にはセキュリティのリスクがあるのか」を問いかけるところからスタート。この段階では、経営層にリスクを「感じて」もらうことが目的だ。この問いかけを最初の3回で実施し、「セキュリティはやはり必要」だというコンセンサスを形成。その後4回目から、「それに対して何を考えていけばいいか」を理解するフェーズに入る。このプロセスを経ることで、最終的に投資の判断をあおぐ場合にもスムーズになるという。

外村 慶 （とのむら・けい）／PwC Japanグループ チーフ・インフォメーション・テクノロジー・オフィサー。IT業界にてソフトウェア、サービスおよびコンサルティングビジネスに関する25年以上の実務経験を有し、10年以上にわたり情報セキュリティ市場に特化した経歴を持つ。大学卒業後、大手外資系コンピューター企業にてソフトウェアの開発、販売、役員補佐を歴任。その後、大手外資系セキュリティソフトウェア会社の日本法人COOとして、日本市場におけるセキュリティビジネスの戦略と実行を担当。2017年にPwCコンサルティング合同会社に入社後は、同社ならびにPwCあらた有限責任監査法人を含むPwC Japanグループのサイバーセキュリティビジネスを統括する責を持つ（写真：PwC Japanグループ提供）

「正しく判断するためには、まずリスクを『感じる』、次に『理解する』、そして最終的に『判断する』という3つの段階を踏むことが不可欠です。この継続的なコミュニケーションを通じて、経営層がセキュリティリスクを正しく理解し、それに対する投資判断ができるように促していきました」

外村氏が所属するセキュリティ部門「Security Trust and Data Office」は、監査法人、コンサルティング、M&A部門など複数の法人を統合したグループ全体のセキュリティをリードする立場だ。このほかに、PwC Japanグループ内のIT部門も存在し、セキュリティと横並びの組織体制となっている。セキュリティ部門は、リスク管理本部のCRO（最高リスク責任者）に、IT部門はCAO（最高管理責任者）にそれぞれレポートし、外村氏が両部門を統括する。

グローバルでも同様の体制が取られており、テクノロジーグループの中でセキュリティとITが連携し、各国と協調しながら業務を進めている。

「PwCは、グローバルと一緒に取り組みを進められることが大きな強みです。USを中心としたグローバル共通の取り組みだけでなく、各国の多彩でユニークな取り組みから学ぶことができます」

現場で業務にあたる社内の各部門での管理も重要だ。そこで必要となるのが、組織のリスク管理と統制を3つにわけて考える「3ラインディフェンスモデル」の観点だ。このモデルでは、第1線を事業部門、第2線をリスク管理などの専門部署、第3線を内部監査部門が担う。

「ガバナンスを作っていくセキュリティ部門は第2線にあたりますが、それだけでセキュリティのリスクをコントロールすることは困難なので、第1線にあたる各部門の中にも、現場のセキュリティマネジメントを担う役割を置いています。セキュリティ部門だけで全体のセキュリティを統制管理しているわけではなく、ガバナンスとマネジメントを分けた体制で組織のセキュリティを管理しています」

｢例外管理｣がカギ、個人ダッシュボードで自分ごと化を

では具体的に、現場サイドではどのようなリスクがあるのだろうか？ 近年のセキュリティリスクの流れとして外村氏がまず挙げるのが、急速なデジタル化や、そこからさらに発展したデジタルの“市民化”による影響だ。

「昔はシステムもネットワークもオンプレミスでIT部門が全部掌握していました。そのためセキュリティコントロールもしやすかったのですが、近年はクラウド化が進み、それが難しくなっています。さらに、SaaSの普及や生成AIの登場によってユーザー部門でもシステム構築ができるようになりました。IT部門が一元的に扱っていた状況から、各所でシステムが構築される発散的な状況に移行したことで、セキュリティコントロールは難しくなっています」