取締役会の言及｢年2回→毎月20分｣で経営層の意識変革に成功したPwC Japanのセキュリティ戦略、採用争いは｢完全リモート勤務｣で差別化

それでも、内部ルールをきちんと定め、そのルールに沿って業務が進められていれば、リスクを防げることが多い。実際、同社でも、通常のルールでは社用PCからアクセスできる外部ツールやサイトは限定されている。

問題となるのは例外への対応だ。たとえば、クライアントとの作業環境で特定のサイトや外部ストレージへのアクセスが必要になるケースがある。そういった場合、申請・承認プロセスを経ることで例外が許可されるが、多くのケースでは、その後、許可された例外が閉じられることなく放置されてしまうという。

「ビジネスを前に進めるときには申請許可をするのですが、その後の管理はどうしても甘くなりがちです。我々がやるべきことは、その状態にどういうリスクがあるかをユーザー部門にも理解してもらうこと。そのためには、セキュリティ部門とユーザー部門の双方による連携が不可欠です」

サイバーセキュリティのリスクはサイバー攻撃などの外部脅威と、過失による情報漏洩や不正などに起因する内部脅威に大別できる。「日々発生するリスクでいうと、内部脅威が9割以上」と外村氏はいう。この内部脅威への対策が重要な鍵となる。

社員一人ひとりが、「これってセキュリティ上まずいんじゃないか」と感じることができる“自分ごと化”が不可欠だ。

とはいえ、ひとくちに内部といっても一枚岩ではない。実際、同社で実施しているフィッシング訓練の結果では、入社1年以内の人は、3〜5年在籍する人に比べて引っかかる確率が圧倒的に高いという。入社後の研修回数などの違いもあり、どうしてもそういった違いが生じる。

そのため、それぞれの状況にあわせた情報を提供し、セキュリティの意識の向上を促すことが重要となる。そのために活用されているのが、「パーソナルセキュリティレポート」だ。

社内ネットのページ最上部から、一人ひとり異なるダッシュボードにアクセスできる。この場所には、セキュリティ研修の受講歴、自分が管理しているアプリケーションやハードウェア、パッチの適用状況、ローカルに残っているファイルの有無など、セキュリティに関して気をつけなければいけないことがまとめて表示される。マネージャーは部下の状況も確認して必要に応じて声をかけられる仕組みとなっている。

｢生成AI｣はトップテーマ､セキュリティ対策でも要活用

時代の変化にともない、新たな脅威も生まれている。それが、「デジタルの市民化」と「生成AI」だ。

「デジタルが市民化し、ITリテラシーがない人でもツールを使ってさまざまなシステムを作れるようになっています。しかし、リテラシーのない人がシステムを作り、リスクについて十分な検討がされないまま進んでしまうのは危険です。

たとえば認証機能ひとつでも、どの方式を使うのかをきちんと検討する必要がありますが、そういった部分が置き去りになってしまうことがあります。デジタルの市民化自体はとてもよいことですが、その市民化の中には、セキュリティをきちんと実装することもセットになってほしいと思っています」

さらに生成AIの台頭も、今後のセキュリティ対策には大きな影響を与える。これには、リスクが増える面と対策がしやすくなる面の双方があるという。