[五味明子のLock on!& Rock on!]

シスコをセキュリティカンパニーに変革したCISOが説く「企業戦略としてのセキュリティ」

2020年2月6日(木)五味 明子(ITジャーナリスト/IT Leaders編集委員)

東京オリンピックの開催が迫り、日本企業に対するサイバー攻撃の激化が予想されている。また、DXや働き方改革といった近年日本社会に大きな変化をもたらしつつある潮流に対しても、セキュリティリスクに対する恐怖や不十分な備えから、積極的なアクションをためらう企業が少なくない。2020年になってもなお、多くの日本企業にとってのセキュリティは手を付けにくいコストセンターで、戦略的な投資が進みにくい苦手分野のままだ。この閉塞した状況を何とか打開できないものか──そんなことを考えていたところ、シスコシステムズの説明会に登壇したCISOのスティーブ・マルティーノ氏から大きな示唆を得た。シスコの自社事例として紹介された経営戦略とセキュリティの一体化の方法と実践だ。

 これまでのサイバー攻撃事案の報道から明白なように、セキュリティリスクの放置は間違いなく、企業活動の停滞と企業価値の損失を招くことになる。オリンピック開催を半年後に控えた現在、高まる一方のセキュリティリスクに対し、日本企業はこれまでのように無策でいるのではなく、戦略的に対処する必要に迫られていることは明らかだ。

 具体的にどのような姿勢でセキュリティに臨むべきなのか。2020年2月3日に東京都内で開かれたシスコシステムズ(Cisco Systems)の説明会に立った、米国本社シニアバイスプレジデント兼最高セキュリティ責任者(CISO)のスティーブ・マルティーノ(Steve Martino)氏(写真1)のプレゼンに多くのヒントが示されていた。以下、同氏がグローバル大手企業のセキュリティリーダーとして取ってきたアプローチから、経営戦略にセキュリティを統合することの必然性、実践のポイントを考えてみたい。

写真1:米シスコシステムズ シニアバイスプレジデント兼最高セキュリティ責任者(CISO)のスティーブ・マルティーノ氏

みずからをセキュリティ企業と名乗るシスコ

 "Cisco"という社名を聞けば、たいていの人がネットワークの会社とイメージするだろう。だが、ここ数年の同社はみずからをセキュリティカンパニーと名乗ることが多い。それは単にセキュリティソリューションを提供したり、ルーターなどネットワーク機器のセキュリティ機能を拡充していることだけを指すのではない。グローバルで約13万人の従業員を抱えるシスコという大企業が、セキュリティの強化を重要な事業戦略として展開した結果、同社自身のデジタルトランスフォーメーション(DX)を促進し、企業として大きなアドバンテージを獲得したことも含んでいる。自身の大規模プロジェクトとして、経営戦略にセキュリティを統合させてきたわけだ。

 「シスコは4年前の2016年にミッションを大きく変更した。そのミッションとは『すべてをセキュアに接続して、あらゆることを可能に』というものだ。当社はもともと"つなぐ"ことが得意な企業だが、ただ接続するだけではすでに不十分となっていた。顧客にセキュアな接続を提供するためには、まず当社自身がセキュアな企業にならなければいけなかった。そこであらゆる戦略においてセキュリティを段階的かつ継続的に含めていく方針を策定した」(マルティーノ氏、写真2

写真2:マルティーノ氏は「シスコは世界最大のセキュリティベンダー」と明言し、3つのステップに裏打ちされたセキュリティ戦略がセキュリティベンダーとしての信頼感のベースとなっていることを説明した
拡大画像表示

 では、シスコはどのようにセキュリティカンパニーへの道を歩んでいったのか。マルティーノ氏はセキュリティの「統合」「コントロール」「適用」という3つのステップについて説明している。

(1)統合:ファブリックにセキュリティを埋め込む

 企業という組織全体をセキュリティ体質に変えていくには、従業員ひとりひとりが業務のあらゆるシーンにおいてセキュリティを意識する機会を増やすことが重要となる。シスコには以前より、グローバル全社の情報セキュリティを推進するInformation Security(InfoSec)チームが存在していたが、2012年頃からサプライチェーン、社内の運用モデルおよび開発モデルにセキュリティをネイティブに組み込むようにしている。

 結果として、ビジネスファブリック全体にセキュリティが組み込まれ、経営層を含めてセキュリティへの意識が高まり、ブランドプロミスにもセキュリティが含まれるようになったことで、透明性という点において顧客から評価されるようになった(写真3)。

写真3:シスコがセキュリティをビジネスファブリックに組み込むまでの進化の変遷。数年かけて、業務上の重要なポイントにセキュリティを織り込んでいった
拡大画像表示

 また、全社規模で運用する包括的なセキュリティアーキテクチャを策定、「ポリシーおよび標準事項」「セキュリティオペレーションおよびモニタリング」「アイデンティティおよびアクセスにおけるガバナンス」「アプリケーションセキュリティ」「データセキュリティ」「インフラストラクチャセキュリティ」という6つのフレームと、これらのアップグレードやパッチ当てなどを含めて体系化。このアーキテクチャはシスコが顧客に対して提供するソリューションにおいても基本のフレームワークとなっている(写真4)。

写真4:シスコでは社内のワークフローとITを紐づけるにあたって順守すべきセキュリティアーキテクチャを6つのフレームに定めている。セキュリティベンダーとして顧客に提供する製品もこのアーキテクチャに沿っている
拡大画像表示

 このように社内のセキュリティ戦略に責任を持ち、その重要性を浸透させていくことが、マルティーノ氏のようなセキュリティリーダーの責務であり、経営層はその活動を支援する義務がある。特にシスコのような大企業であれば、全社員へのアプローチを迅速に進めるためにも経営層のコミットは大前提だ。セキュリティがトップダウンで始まらなければ成功しないという理由はここにある。

●Next:セキュリティのコントロールと運用でシスコが徹底したことは?

この記事の続きをお読みいただくには、
会員登録(無料)が必要です
  • 1
  • 2
  • 3
バックナンバー
五味明子のLock on!& Rock on!一覧へ
関連キーワード

CISO / ゼロトラスト / Cisco Systems

関連記事

トピックス

[Sponsored]

シスコをセキュリティカンパニーに変革したCISOが説く「企業戦略としてのセキュリティ」東京オリンピックの開催が迫り、日本企業に対するサイバー攻撃の激化が予想されている。また、DXや働き方改革といった近年日本社会に大きな変化をもたらしつつある潮流に対しても、セキュリティリスクに対する恐怖や不十分な備えから、積極的なアクションをためらう企業が少なくない。2020年になってもなお、多くの日本企業にとってのセキュリティは手を付けにくいコストセンターで、戦略的な投資が進みにくい苦手分野のままだ。この閉塞した状況を何とか打開できないものか──そんなことを考えていたところ、シスコシステムズの説明会に登壇したCISOのスティーブ・マルティーノ氏から大きな示唆を得た。シスコの自社事例として紹介された経営戦略とセキュリティの一体化の方法と実践だ。

PAGE TOP