取締役会の言及｢年2回→毎月20分｣で経営層の意識変革に成功したPwC Japanのセキュリティ戦略、採用争いは｢完全リモート勤務｣で差別化

「リスク面は、外部生成AIツールの利用による情報漏洩や本物と見分けのつかない巧妙なフィッシングメールを容易に作れるようになったことがわかりやすい例でしょう」

一方で、AIを活用することでセキュリティ対策を効率的に進めることが可能になっている面もある。

「セキュリティの技術的なオペレーションでは自動化が進んでいますが、生成AIを活用することでよりシームレスな自動化が可能になります。これを活用しないと、攻撃だけが進んでしまう状況になります。本当にものすごい勢いで進んでいる部分なので、今考えなければならないテーマのトップにあると考えています」

セキュリティ人材確保のため､｢完全リモート｣で差別化

現場サイドのリテラシー向上や、内部脅威への対策、時代の変化で生まれたリスクへの対策を進めるには相応の人員確保が必要になる。セキュリティ部門の人材は、外村氏が着任した3年前から現在までで、2倍近くの規模に拡大している。それまではグローバルと連携して技術寄りの対策を打つ組織はあったものの、技術対策だけでは、内部脅威対策などは不十分だったという。

セキュリティ部門には、外村氏のように社内のコンサルティング部門から移籍するケースに加え、多様なバックグラウンドを持つ中途入社者が多数在籍している。採用難のなかで人材を確保する鍵となっているのが完全リモートの勤務体制だという。

「オフィス回帰を進める会社も多いですが、私たちは今も完全リモートで業務にあたっています。東京以外の地域で働く社員も少なくありません。これが採用の競争力になっています」

モチベーションの維持においては、セキュリティ部門ならではの視点が必要になる。外村氏はこれを、消防署と火事に例えて説明する。

「セキュリティは消防署のようなもので、平時はほとんど何も起こりません。ボヤにあたるような小規模なインシデントは発生するものの、それが大火事にならないよう収められている状況で、『もし収まっていなかったらどうなっていたか』という想像力を働かせることが平時の業務の重要性を認識する機会となり、モチベーション維持にもつながっています」

規模が大きな組織ほど、セキュリティの管理統制は複雑になりがちだ。ガバナンスとマネジメントが連携し、トップダウンとボトムアップの両面から対策を進める同社の取り組みは、多くの企業にとって参考になるだろう。

とくに、経営層への継続的なコミュニケーションと、現場の個人レベルでの「自分ごと化」を促す仕組みづくりは、組織全体のセキュリティ意識向上に欠かせない要素だ。セキュリティリスクがますます複雑化するなか、技術的な対策だけでなく、人的な側面からのアプローチがより重要性を増している。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、酒井 麻里子さんの最新記事をメールでお知らせします。