サイバーハイジーン基礎の基礎 第6回 IT投資から ESG投資へのマインドチェンジを!
昨今、上場企業のIR情報を見ていると、“ESGレポート”を公開される企業が急に増えてきたと感じます。2020年10月に日本政府は2050年までにカーボンニュートラルを目指すことを宣言しました。温暖化への対応を成長の機会と捉え、従来の発想を転換することが、大きな成長に繋がると発信しました。また、グローバル視点で国際的に加速化するESG開示フレームワークの策定や公表が加速され、多くの組織が「TCFD」(温室効果ガスの排出削減に向けた国際的な枠組)などの指標(KPI)に則った、ESGレポートを提出する機会も増えました。さらに日本取引所グループからは“改訂コーポレートガバナンス・コード”が、金融庁からは“日本版シュチュワードシップ・コード”が公開されています。一見、これらはITやセキュリティに関わる方々にとって無関係な話に聞こえますが、実は密接に関係していることを解説します。
限られたIT投資枠で、KPIベースのセキュリティのモニタリングは不可能
昨今、投資家の投資指標として注目されているのが、企業におけるESGの取り組みであることは言うまでもないでしょう。同様にサイバーセキュリティ対策の取り組みが重視されている点をご存じでしょうか? 正確には、組織がサイバーセキュリティの目標に対して、その達成状況を評価指標(KPI)ベースで公開するという取り組みです。
日本でもESGマテリアリティ(ESGの取り組みにおける重要課題)として、サイバーセキュリティの取り組みをレポートする組織も見られるようになりました。評価指標(KPI)を定めるのは、定性的で“曖昧”な情報でなく、投資家が判断できるような“正確”で“定量的”な情報開示が求められているからです。
しかし、組織規模の拡大、M&Aの加速、そしてネットワークが子会社や孫会社まで接続されるようになり、その視野を“サプライチェーン”まで広げる必要が出てきました。そうなると、このKPIに則った自組織における評価業務が「大変な負担になってしまった」という声も聞こえてきます。これは表現を変えると「ガバナンスの実態を正確に評価できない」ということと同義です。経営者の目線からみると、サイバーセキュリティの取り組みや、その効果がより一層、分かりづらくなってしまっている状況にもなっています。 しかし“現場”では限られたIT投資やセキュリティ投資の枠の中で、KPIベースのモニタリングをしようものなら、人的・物理的コストが跳ね上がり、とても現在の予算枠で対応することは不可能でしょう。
サイバーセキュリティの高度化をESG投資で捉えるマインドセット
実は、ここで新しい取り組みをしている組織があります。限られたIT投資枠の中で議論するのではなく、そもそも投資枠のスコープを変えて、IT投資ではなく「ESG投資」として投資の“枠”を捉える取り組みです。
ここに大変興味深いデータがあります。日本サステナブル投資フォーラムが公開している情報を参考すると、<2021年の日本におけるESG投資額は前年比で65.8%増加し、その投資額はなんと514兆円>にもなるようです。実際に、この金額からIT総投資総額を逆算すると、数%かそれ以下位のイメージではないでしょうか?
IT投資やセキュリティ投資に苦しんでいる担当者の方は実際に多くいらっしゃるでしょう。しかし経営視点からESGの取り組みは避けて通れません。これからは経営者も、サイバーセキュリティの高度化をESG投資として捉えるようなマインドチェンジが必要になるでしょう。 またESG視点でみれば、最も分かりやすいのがCO2削減です、実は、タニウムのソリューションは中継・分散・キャッシュサーバーを一切使用しないアーキテクチャなのです。そのため、既存ITインフラにおける当該サーバーが不要になり、大幅なCO2削減を実現したという事例もあります。ESGのスコープは幅広いのですが、中長期に向けた施策の中で、ぜひ“ESG投資”の視点で提案されるのもよろしいかと思います。
<参考>第1~5回も下記のリンクよりお読みください
第1回 なぜパッチ適用のプロセスに苦慮するのか? その課題と解決策
第2回 裸の王様とKPIについて
第3回 ガバナンス実現に求められる共通の物差し(KPI)
第4回 サイバーハイジーンの評価指標となるサイバーセキュリティ「KPI」について考察
第5回 攻撃力と防御力の反比例から紐解くサイバーハイジーン
タニウム合同会社
Chief IT Architect
CISSP, CISA
楢原 盛史(ならはら もりふみ)
タニウム合同会社のチーフ・IT・アーキテクトである楢原盛史は、トレンドマイクロ社、シスコシステムズ社、ヴイエムウェア社のセキュリティ営業、コンサルタント、アーキテクトを歴任し、特に経営層向けにセキュリティ対策のあり方から実装、運用までを包含した、「現場」目線における鋭い視点は多くのファンを持つ。また、2022年からはデジタル庁が主導する次世代セキュリティアーキテクチャ検討会の有識者としても活躍中。
サイバーハイジーン基礎の基礎の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。