Geodesic Capital×SMBCグループ シリコンバレー・デジタルイノベーションラボ ESG経営・DX発展の鍵 日本企業に求められるサイバーセキュリティ戦略

近年、持続可能性や環境問題への対策など、企業を取り巻く様々なテーマを対象にしたESG経営を推進する動きが国内外ともに拡大しており、投資家からの関心も高まっています。ESG経営について、日本では自然災害などの環境問題への対策が注目を集める一方で、GDP上位国などを含む欧米諸国ではイノベーションやサイバーセキュリティを注力領域として定める傾向があります。特にサイバーセキュリティ戦略は、ESG経営の根幹をなす要素として注目されており、グローバル企業にはサイバー危機管理対策や自社のセキュリティポリシーに関する具体的な情報を投資家や顧客などのステークホルダーに提示することが求められています。
本記事では、近年のESG経営に関するグローバルの動向や、日本企業がESG経営やDXを一層発展させていく上での課題や対策について、SMBCグループ シリコンバレー・デジタルイノベーションラボの田谷氏・緒方氏、SMBCグループ出資先で、シリコンバレーベースのベンチャーキャピタルであるGeodesic Capital のDivya氏・Will氏が対談した内容をご紹介します。
田谷欧米ではサイバーセキュリティ対策やシステムリスクマネジメントなどのガバナンス関連施策がESG経営の注力領域として定められる傾向があります。特にサイバーセキュリティ戦略は、ESG経営における主要要素として注目されており(下図参照)、企業にはDXの推進と併せてガバナンス関連施策の強化を図る必要性が指摘されています。
ESG経営やDXを取り巻く近年の動向に関して、Geodesic Capitalが注目しているグローバルの動向やガバナンス関連施策、サイバーセキュリティを取り巻く最新のトレンドについて教えてください。


田谷 洋一氏
Divya欧米では、ESGに関連する法規制として、環境や社会などへの事業方針の開示に加え、ガバナンス施策への投資やシステムリスクマネジメント、サイバーセキュリティに関する情報の開示が義務化されているほか、組織のガバナンス体制に関する評価基準を示すガイドラインも公表されています。また、グローバルでサイバー攻撃が深刻化しているため、サイバーセキュリティに関する様々な法律やガイドラインも施行されています。
米国では2021年にサイバーセキュリティに関する大統領令が公表されましたが、特に注目されているのは、サプライチェーンセキュリティに関する内容です。これは企業や組織などに対してソフトウェア部品表(SBOM)※1を提供することを要求したり、製品に使用されているオープンソースソフトウェアの脆弱性に関する情報を提示することなどを求めています。また、2022年に公表されたサイバーセキュリティー・パフォーマンス・ゴールズ(CPGs)※2では、通信やエネルギー、金融、医療など16セクターに対して、インフラ事業者が取るべきサイバーセキュリティ対策が示されています。
米国では、ソフトウェアサプライチェーンに対する管理が一層強化され、様々な企業にソフトウェアの安全性確保に関する対策が強く求められるようになりました。法規制への対応は、企業の戦略立案や事業内容にも大きく影響を与えることが予想され、サイバーセキュリティ対策の見直しや強化はグローバル企業にとって喫緊の課題となっています。

Divya Sudhakar氏
※1 SBOM:Software Bill of Materials。システムを構成するソフトウェアやライブラリ、脆弱性などの情報を統合的に管理する方式。ソフトウェアサプライチェーンのリスク管理等の用途で利用される。
※2 バイデン米政権、重要インフラ向けのサイバーセキュリティー対策目標を策定(米国)|ビジネス短信 ―ジェトロの海外ニュース - ジェトロ (jetro.go.jp)
日本企業も早急に対応が必要な、サイバーセキュリティ戦略
田谷システム環境の多様化に伴いサイバー攻撃の脅威も急速に増加しています。欧米のESG経営に関する先進の動向や投資家の関心などを鑑みると、企業の事業継続という観点において、日本企業もESGの中核施策としてサイバーセキュリティ戦略を明確に位置づけるとともに、予算の拡充や推進体制の整備を早急に図っていく必要があると考えています。

また、日本国内では経済安保推進法によって企業のサプライチェーンに関する審査(基幹インフラ事前審査制度。内容については下図参照。)が義務化されるなど、今後、様々な業界においてサイバーセキュリティ対策の強化が求められると予想されます。米国の動向などを鑑みると、企業にはソフトウェアの構成を含めたサプライチェーンの情報や管理体制について、政府から情報の提示を求められる可能性があります。安全性が十分に証明されない企業にはサプライチェーンの見直しなど厳格な対応が求められる場合もあるため、先行する米国の事例などを参考に、日本企業も対策を十分に検討していく必要があるでしょう。

緒方基幹インフラの事前審査制度の運用が本格的に始まると、国内においてもサイバーセキュリティ関連施策への対応や議論が急速に加熱するでしょう。一方で、費用対効果が見えにくく、被害が起きていない段階で予算を捻出するのが難しいなどの理由で、日本企業が積極的にサイバーセキュリティ対策に取り組めていない傾向も見られます。ESGやサイバーセキュリティに関する法規制が公表される以前から、米国企業はサイバーセキュリティ対策や関連する戦略立案を重視していたのでしょうか。米国企業がサイバーセキュリティ対策に積極的に取り組むようになったきっかけや経緯について教えてください。また、近年、投資額が大きい領域についても併せて教えてください。

緒方 雄二氏
Will米国でサイバーセキュリティが重視されているのは、米国で設立された企業が膨大な顧客データを保有しグローバルに大きな影響力を持つなど、攻撃者から標的にされる機会が多いためだと考えています。また、米国企業はAIやクラウドのように新しいテクノロジーの活用や、グローバルなデジタルサービスの展開など、国際的にデジタル化の先陣を切ってきた経緯があります。一方で政府や企業がデジタル化を積極的に進めると、様々なユーザーがデータやシステムへアクセスすることが可能な状態になり、システムに脆弱性が生まれるリスクも高まります。米国を拠点とするグローバル企業は、事業規模の拡大に伴う国際的なプレゼンスの高まりやデジタル化のイニシアチブを取ることによって、常にサイバーセキュリティ対策を講じる必要に迫られてきました。
Divya米国においてサイバーセキュリティは最も成長率の高い市場の一つであり、多くの経営層がサイバーセキュリティへの投資を最優先事項として挙げています。GDPR※3やPII※4などに関連する各国の法規制への準拠は、グローバル企業にとって対応が不可欠であり、迅速かつ厳格なセキュリティ対策が企業の評価や信頼を大きく左右します。いまやサイバーセキュリティ戦略の立案は、業種や事業規模にかかわらず、様々な企業において欠かすことができない要素です。
法規制のアップデートや大規模なセキュリティ被害の増加に伴い、セキュリティ分野の中でもリスク・コンプライアンスやデータセキュリティは近年資金が大きく投入されている領域です。特にサードパーティを含めたソフトウェアサプライチェーン管理やデータの保護対策など、組織のシステム運用状況やIT資産状況を統合的に可視化・管理する対策は、米国において取り組みが一層進んでいます。

Will Horyn氏
田谷日本企業がセキュリティ戦略の立案やセキュリティ対策への投資を強化していく上でヒントになるような事例はないでしょうか。
※3 GDPR:General Data Protection Regulation(EU一般データ保護規則)は、EUなどを含む欧州経済領域(EEA)における個人情報の取り扱いやプライバシー保護の強化について法的要件を定めた規則。2018年5月25日施行。
※4 PII:Personally Identifiable Information(個人情報)。名前、住所、電話番号、メールアドレスなどの個人を特定する一連の情報。
Divyaサイバーセキュリティ対策において経営層が果たすべき役割は大きいです。海外の先進グローバル企業では、CISOの設置などによって、経営層がサイバーセキュリティ戦略の立案に積極的に携わっています。経営者には、グローバルに深刻化するサイバー攻撃の動向や、自社・サードパーティを含めたセキュリティ対策の実態を正確に把握するとともに、トップダウンでサイバーセキュリティ戦略の立案や対策の見直しを図ることが求められています。
セキュリティ対策が企業の差別化要因に
Willこれに加え、米国では企業のセキュリティ戦略がコストセンターからプロフィットセンターへと変わるパラダイムシフトも進んでいます。セキュリティ対策は企業にとって競争上の優位性を示す要素でもあり、近年はセキュリティ機能の充実性を示すことがユーザーにサービスを提供する上での差別化要因になりつつあります。システムセキュリティやプライバシー保護を製品の主力機能として位置づけるような戦略への転換も起きています。例えば、Appleはデバイスやソフトウェアなど、サービスに関する一連のプライバシー保護機能やセキュリティ機能を当社独自の売りにしています。これはセキュリティを守りの観点ではなく、製品を一層魅力的に見せるための攻めのアプローチへと置き換えた事例であると言えます。


ESG経営やDXの根幹として、サイバーセキュリティ戦略を構築・整備することの重要性
田谷DXを推進する日本企業にとっても、システムの安定的な運用やシステムレジリエンスなど、ビジネスを支える根幹のインフラとしてITが果たす役割を十分に理解することが必要になるでしょう。また、米国の事例や動向を参考にして、経営層がサイバーセキュリティ戦略を主体的に立案する体制を構築・整備していくことが肝要です。
そのためには、政府がガイドラインなどを通して、ESG経営の根幹として日本企業がサイバーセキュリティ戦略の重要性を十分に認識できるような要素を具体的に示していくことも必要になるでしょう。我々シリコンバレー・デジタルイノベーションラボも、日本のESG経営やDXの一層の発展に向けて、様々な業界にとってヒントとなるような事例やビジネストレンドを探索していきたいと思います。

参考:ESG経営発展の鍵となるCybersecurity Strategy -欧米のESG・先進デジタル動向から考察する日本企業の課題と対策-
-
Geodesic Capital
PartnerDivya Sudhakar氏
Credit Suisseの投資銀行業務やOaktree Capitalの投資業務に従事した後、In-Q-TelやIntel Capitalにてエンタープライズ・ソフトウェア企業への投資を担当。現職となるGeodesic Capitalでは、Partnerとして主にエンタープライズ・ソフトウェア企業への投資を担当。ハーバード・ビジネス・スクールでMBA、UCLAで学士号を取得。
-
Geodesic Capital
VPWill Horyn氏
BMO Capital Marketsの投資業務に従事した後、シスコシステムズにて多数のM&Aおよびベンチャー投資を推進。現職となるGeodesic Capitalでは、投資先企業のサポートに加え、エンタープライズ・ソフトウェアのソーシングと投資業務に従事。Villanova Universityで金融と経済学を専攻し、学士号を取得。
-
株式会社 三井住友フィナンシャルグループ 兼 JRI America,Inc.
シリコンバレー・デジタルイノベーションラボ
Executive Director田谷 洋一氏
2006年、株式会社日本総合研究所入社。銀行やクレジットカードなどのインフラシステム開発のプロジェクトマネジメントや調査部での研究員としての業務経験を経て、現在はシリコンバレー・デジタルイノベーションラボにおけるR&D業務に従事(2019年より現職)。
-
株式会社 三井住友フィナンシャルグループ 兼 株式会社三井住友銀行
シリコンバレー・デジタルイノベーションラボ
Vice President緒方 雄二氏
2011年、株式会社三井住友銀行入行。法人営業に従事した後、NY拠点でのシステム導入企画や、国内のクラウド導入、大規模なセキュリティ企画プロジェクトなどを担当。2023年よりシリコンバレー・デジタルイノベーションラボにてR&D業務及び新規ビジネス創出に従事。