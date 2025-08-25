

「チーフ・インフォメーション・テクノロジー・オフィサー」に着任した外村氏が、当時の取締役会でまず最初に交渉したこととは？（撮影：東洋経済）

【写真】PwC Japanグループのセキュリティ部門Security Trust and Data Officeの責任者およびチーフ・インフォメーション・テクノロジー・オフィサーを務める外村慶氏

「CISO（Chief Information Security Officer）＝﻿“最高情報セキュリティ責任者”」とは、企業や組織の情報セキュリティ戦略を統括する極めて重要な存在だ。日々サイバー攻撃や情報漏洩の脅威に晒される中で、どのように情報資産を守り抜いているのか。

多種多様な業界のCISOに、独自の事情を踏まえた課題と工夫を尋ねる本連載。組織の数だけセキュリティの難しさがあるーー。同じ「資産を守る者」として、きっとためになる発見があるはずだ。

今回は、PwC Japanグループのセキュリティ部門Security Trust and Data Officeの責任者および、チーフ・インフォメーション・テクノロジー・オフィサーを務める外村慶氏に話を聞いた。

外村氏は、「毎月20分」の継続したコミュニケーションで経営層の意識に変革をもたらしたという。またトップダウンの改革とあわせて、内部脅威対策にもつながる現場のセキュリティリテラシー向上も重要だ。外村氏はいったいどのようなアプローチで双方の改革を進めたのか？ グローバル企業の組織体制づくりを聞いた。

【PwC Japanグループ】世界中にネットワークを持ち、ファーム会計・監査、税務、コンサルティング、ディールアドバイザリー、法務など幅広い領域でプロフェッショナルサービスを提供するPwCの、日本におけるメンバーファームおよびそれらの関連会社

｢月20分ください｣､取締役会で経営層の意識変革に成功

外村氏が着任する以前、同社の取締役会でセキュリティについて話す機会は年に1、2回程度だったという。外村氏がまずトップに交渉したのは、毎月20分の時間を確保すること。1年間をひとつのシリーズと考え、20分×12回のシリーズのなかで何を伝えるかを設計した。



「もちろん、それまでもセキュリティが軽視されていたわけではありません。どんな企業も、セキュリティ対策は重視しています。しかし、セキュリティの専門家ではない経営者は、『それが本当に重要なのか』『どの程度重要なのか』といった段階まで分解して考えることができないのです」（外村氏、以下同）

そこで外村氏は、12回のシリーズのなかで、「本当に自社にはセキュリティのリスクがあるのか」を問いかけるところからスタート。この段階では、経営層にリスクを「感じて」もらうことが目的だ。この問いかけを最初の3回で実施し、「セキュリティはやはり必要」だというコンセンサスを形成。その後4回目から、「それに対して何を考えていけばいいか」を理解するフェーズに入る。このプロセスを経ることで、最終的に投資の判断をあおぐ場合にもスムーズになるという。



外村 慶 （とのむら・けい）／PwC Japanグループ チーフ・インフォメーション・テクノロジー・オフィサー。IT業界にてソフトウェア、サービスおよびコンサルティングビジネスに関する25年以上の実務経験を有し、10年以上にわたり情報セキュリティ市場に特化した経歴を持つ。大学卒業後、大手外資系コンピューター企業にてソフトウェアの開発、販売、役員補佐を歴任。その後、大手外資系セキュリティソフトウェア会社の日本法人COOとして、日本市場におけるセキュリティビジネスの戦略と実行を担当。2017年にPwCコンサルティング合同会社に入社後は、同社ならびにPwCあらた有限責任監査法人を含むPwC Japanグループのサイバーセキュリティビジネスを統括する責を持つ（写真：PwC Japanグループ提供）

「正しく判断するためには、まずリスクを『感じる』、次に『理解する』、そして最終的に『判断する』という3つの段階を踏むことが不可欠です。この継続的なコミュニケーションを通じて、経営層がセキュリティリスクを正しく理解し、それに対する投資判断ができるように促していきました」

外村氏が所属するセキュリティ部門「Security Trust and Data Office」は、監査法人、コンサルティング、M&A部門など複数の法人を統合したグループ全体のセキュリティをリードする立場だ。このほかに、PwC Japanグループ内のIT部門も存在し、セキュリティと横並びの組織体制となっている。セキュリティ部門は、リスク管理本部のCRO（最高リスク責任者）に、IT部門はCAO（最高管理責任者）にそれぞれレポートし、外村氏が両部門を統括する。

グローバルでも同様の体制が取られており、テクノロジーグループの中でセキュリティとITが連携し、各国と協調しながら業務を進めている。

「PwCは、グローバルと一緒に取り組みを進められることが大きな強みです。USを中心としたグローバル共通の取り組みだけでなく、各国の多彩でユニークな取り組みから学ぶことができます」

現場で業務にあたる社内の各部門での管理も重要だ。そこで必要となるのが、組織のリスク管理と統制を3つにわけて考える「3ラインディフェンスモデル」の観点だ。このモデルでは、第1線を事業部門、第2線をリスク管理などの専門部署、第3線を内部監査部門が担う。

「ガバナンスを作っていくセキュリティ部門は第2線にあたりますが、それだけでセキュリティのリスクをコントロールすることは困難なので、第1線にあたる各部門の中にも、現場のセキュリティマネジメントを担う役割を置いています。セキュリティ部門だけで全体のセキュリティを統制管理しているわけではなく、ガバナンスとマネジメントを分けた体制で組織のセキュリティを管理しています」

｢例外管理｣がカギ、個人ダッシュボードで自分ごと化を

では具体的に、現場サイドではどのようなリスクがあるのだろうか？ 近年のセキュリティリスクの流れとして外村氏がまず挙げるのが、急速なデジタル化や、そこからさらに発展したデジタルの“市民化”による影響だ。

「昔はシステムもネットワークもオンプレミスでIT部門が全部掌握していました。そのためセキュリティコントロールもしやすかったのですが、近年はクラウド化が進み、それが難しくなっています。さらに、SaaSの普及や生成AIの登場によってユーザー部門でもシステム構築ができるようになりました。IT部門が一元的に扱っていた状況から、各所でシステムが構築される発散的な状況に移行したことで、セキュリティコントロールは難しくなっています」

それでも、内部ルールをきちんと定め、そのルールに沿って業務が進められていれば、リスクを防げることが多い。実際、同社でも、通常のルールでは社用PCからアクセスできる外部ツールやサイトは限定されている。

問題となるのは例外への対応だ。たとえば、クライアントとの作業環境で特定のサイトや外部ストレージへのアクセスが必要になるケースがある。そういった場合、申請・承認プロセスを経ることで例外が許可されるが、多くのケースでは、その後、許可された例外が閉じられることなく放置されてしまうという。

「ビジネスを前に進めるときには申請許可をするのですが、その後の管理はどうしても甘くなりがちです。我々がやるべきことは、その状態にどういうリスクがあるかをユーザー部門にも理解してもらうこと。そのためには、セキュリティ部門とユーザー部門の双方による連携が不可欠です」

サイバーセキュリティのリスクはサイバー攻撃などの外部脅威と、過失による情報漏洩や不正などに起因する内部脅威に大別できる。「日々発生するリスクでいうと、内部脅威が9割以上」と外村氏はいう。この内部脅威への対策が重要な鍵となる。

社員一人ひとりが、「これってセキュリティ上まずいんじゃないか」と感じることができる“自分ごと化”が不可欠だ。

とはいえ、ひとくちに内部といっても一枚岩ではない。実際、同社で実施しているフィッシング訓練の結果では、入社1年以内の人は、3〜5年在籍する人に比べて引っかかる確率が圧倒的に高いという。入社後の研修回数などの違いもあり、どうしてもそういった違いが生じる。

そのため、それぞれの状況にあわせた情報を提供し、セキュリティの意識の向上を促すことが重要となる。そのために活用されているのが、「パーソナルセキュリティレポート」だ。

社内ネットのページ最上部から、一人ひとり異なるダッシュボードにアクセスできる。この場所には、セキュリティ研修の受講歴、自分が管理しているアプリケーションやハードウェア、パッチの適用状況、ローカルに残っているファイルの有無など、セキュリティに関して気をつけなければいけないことがまとめて表示される。マネージャーは部下の状況も確認して必要に応じて声をかけられる仕組みとなっている。

｢生成AI｣はトップテーマ､セキュリティ対策でも要活用

時代の変化にともない、新たな脅威も生まれている。それが、「デジタルの市民化」と「生成AI」だ。

「デジタルが市民化し、ITリテラシーがない人でもツールを使ってさまざまなシステムを作れるようになっています。しかし、リテラシーのない人がシステムを作り、リスクについて十分な検討がされないまま進んでしまうのは危険です。

たとえば認証機能ひとつでも、どの方式を使うのかをきちんと検討する必要がありますが、そういった部分が置き去りになってしまうことがあります。デジタルの市民化自体はとてもよいことですが、その市民化の中には、セキュリティをきちんと実装することもセットになってほしいと思っています」

さらに生成AIの台頭も、今後のセキュリティ対策には大きな影響を与える。これには、リスクが増える面と対策がしやすくなる面の双方があるという。

「リスク面は、外部生成AIツールの利用による情報漏洩や本物と見分けのつかない巧妙なフィッシングメールを容易に作れるようになったことがわかりやすい例でしょう」

一方で、AIを活用することでセキュリティ対策を効率的に進めることが可能になっている面もある。

「セキュリティの技術的なオペレーションでは自動化が進んでいますが、生成AIを活用することでよりシームレスな自動化が可能になります。これを活用しないと、攻撃だけが進んでしまう状況になります。本当にものすごい勢いで進んでいる部分なので、今考えなければならないテーマのトップにあると考えています」

セキュリティ人材確保のため､｢完全リモート｣で差別化

現場サイドのリテラシー向上や、内部脅威への対策、時代の変化で生まれたリスクへの対策を進めるには相応の人員確保が必要になる。セキュリティ部門の人材は、外村氏が着任した3年前から現在までで、2倍近くの規模に拡大している。それまではグローバルと連携して技術寄りの対策を打つ組織はあったものの、技術対策だけでは、内部脅威対策などは不十分だったという。

セキュリティ部門には、外村氏のように社内のコンサルティング部門から移籍するケースに加え、多様なバックグラウンドを持つ中途入社者が多数在籍している。採用難のなかで人材を確保する鍵となっているのが完全リモートの勤務体制だという。

「オフィス回帰を進める会社も多いですが、私たちは今も完全リモートで業務にあたっています。東京以外の地域で働く社員も少なくありません。これが採用の競争力になっています」

モチベーションの維持においては、セキュリティ部門ならではの視点が必要になる。外村氏はこれを、消防署と火事に例えて説明する。

「セキュリティは消防署のようなもので、平時はほとんど何も起こりません。ボヤにあたるような小規模なインシデントは発生するものの、それが大火事にならないよう収められている状況で、『もし収まっていなかったらどうなっていたか』という想像力を働かせることが平時の業務の重要性を認識する機会となり、モチベーション維持にもつながっています」

規模が大きな組織ほど、セキュリティの管理統制は複雑になりがちだ。ガバナンスとマネジメントが連携し、トップダウンとボトムアップの両面から対策を進める同社の取り組みは、多くの企業にとって参考になるだろう。

とくに、経営層への継続的なコミュニケーションと、現場の個人レベルでの「自分ごと化」を促す仕組みづくりは、組織全体のセキュリティ意識向上に欠かせない要素だ。セキュリティリスクがますます複雑化するなか、技術的な対策だけでなく、人的な側面からのアプローチがより重要性を増している。

（酒井 麻里子 ： ウレルブン 代表）