急増するサイバー攻撃から中堅・中小企業を守る。日本企業のサイバーセキュリティ底上げを支援する、SMBCサイバーフロント

SMBC 織田昨今、国内企業を狙ったサイバー攻撃が急増しています。これまで、大企業では人員・予算を積極的に投資し、サイバーセキュリティ対策が進められてきたものの、中堅・中小企業ではリソースの制約から十分に対策が取られていません。最近のサイバー攻撃は、企業規模を問わず様々な企業に向けられており、対策が進んでいない企業は大きな被害を受けるリスクはもちろん、それらの企業と取引のある大企業にとっても影響が出ている状況です。

MS&AD 宮井サイバーセキュリティ対策については、二つの大きな誤解があると考えています。一つめは「大企業だけが狙われる」という誤解です。攻撃者からすれば会社の規模は関係なく、どんな企業でもターゲットになる可能性があります。

二つめは「Webでよく目にするセキュリティ対策や、ITベンダから提案されるセキュリティソリューションを導入しておけば安全」という誤解です。直面しているセキュリティリスクや優先順位は企業毎に異なるため、自社のリスクを把握せず提案されるがままソリューションを導入しても効果的ではない場合があります。特に、中堅・中小企業では大企業と異なりセキュリティ予算や人的リソースが限られていることが多いため、自社にとって本当に危険なリスクを可視化し、適切に優先順位をつけながら対策をしていくことが重要です。

織田私たちが設立するSMBCサイバーフロントが、主に中堅・中小企業のお客さまを対象にしているのにはこのような背景があります。

織田今回の新会社設立にはSMBCグループ、MS&ADグループ、チェンジグループが携わっています。SMBCグループでは、これまでも非金融の領域で、お客さまの経営課題の解決に資するサービスを立ち上げており、近年、お客さまへのサイバー攻撃が表面化するなか、サイバーセキュリティ事業の立ち上げを検討してきました。この事業は、SMBCグループ単独では実現できないことも多々ありますので、それぞれの強みを持ち寄って事業を拡大させていきます。

宮井MS&ADグループでは、企業のセキュリティの脆弱性を発見するASM（Attack Surface Management）ツール「MS&ADサイバーリスクファインダー」を提供しています。これは、弊社が出資している米国のインシュアテック企業「Coalition」の技術をベースに、日本市場向けにローカライズした製品です。同社の脆弱性スコアリングは、実際に同社が蓄積している膨大なASM診断結果および事故データを活用してリスク判定のベースにしているため、信頼度が高いと考えており、SMBCサイバーフロントの提供するアドバイザリーサービスにおいても、お客さまにご提示する情報の一つに組み入れています。

チェンジ 石川チェンジグループはもともと人材領域のコンサルティングや研修を強みにしている会社ですが、近年ではサイバーセキュリティ領域への取組を強化し、今回新会社に出資するサイリーグHDを2023年12月に設立しています。サイリーグHDの子会社には、セキュリティコンサルタントを中心にしたセキュリティ人材100名超を擁する会社があり、イー・ガーディアンの子会社には、Webアプリケーションファイアウォールやセキュリティ診断を提供する会社もあります。この2社や他のチェンジグループ各社のサイバーセキュリティに関するリソースをフル活用するとともに、さらに買収・提携等を通じて、サイバーセキュリティの痒いところに手が届くサービスを増やし、今後必要になるソリューションの拡充を目指しています。

織田中堅・中小企業を対象に、セキュリティ対策を支援するサービスとして広く普及しているものはまだありません。そこには、予算や人員が限られる企業において、お客さまが求めているもの、そして実現可能な“ちょうどよい”サイバーセキュリティ対策の見極めが難しいという課題があります。この点をどのように明らかにし、支援する体制を築いていくか。その模索に非常に苦労しました。

どのお客さまとお話ししていても、サイバーセキュリティ対策の必要性は当然ご理解されています。一方で、そこに事業資金を投じて対策の実行へと踏み出すことは大きな決断が必要となってくるのです。

SMBCサイバーフロントは、まず、お客さまのセキュリティ対策の現状をヒアリングにより可視化し、第三者の視点から、短・中期的における実行計画の策定をご支援するところから始めます。自社の現状をご覧いただくことはあまり機会がないと思いますので、お客さまに気付きを得ていただく一つのポイントになっています。

対策の実行に一歩踏み出していく際も、その歩幅は各企業によって大きく異なります。その中で、自社ツールを持たないSMBCサイバーフロントが、フラットな目線でお客さまに最適なツールやソリューションを選びご提案していくことにより、無理のない範囲でセキュリティ対策を実現していくことができます。

織田経営者と情報システムの担当者が、自社のサイバーリスクについて目線を合わせて会話をする機会は、これまであまり多くありませんでした。我々は、アドバイザリーサービスとして、経営者目線・システム部門目線、双方の観点でお客さまと会話し、経営課題としてのサイバーリスクに目を向けていただくとともに、個別のお客さまに合った対策の立案から実行支援まで、長く伴走していきます。

宮井サイバーセキュリティ対策を進めるには、経営者自身がサイバーセキュリティ対策を「生き残りのために必要な投資である」と認識し、自らの言葉で社内に伝えたうえで、実行に向けて強力に推進していくことが重要です。

SMBCサイバーフロントは、SMBCグループが日々築かれているお客さまとのリレーションにより、経営層に直接サイバーセキュリティ対策の必要性を訴求していきます。さらに、MS&ADグループが持つツールを活用しながら脆弱性の可視化をするとともに、チェンジグループの強みを活かしてその可視化された穴を塞ぐ施策をご提案していきます。

各社がそれぞれの持ち味を足し算ではなく掛け算で活かすことにより、中堅・中小企業の皆さまに寄り添う現実的かつ効果的な伴走支援ができると自負しています。

石川サイバーセキュリティは多くの企業にとって非競争領域と考えるべき領域です。人材や情報を自社だけで囲い込み、競合他社に差をつけるのではなく、各社での経験を共有して、地域全体、日本全体を守っていくような活動をしていくことができる領域といえます。経験や情報をSMBCサイバーフロントが集約し、適切な形に加工し、多くのお客さまに対して提供していくことで、中堅・中小企業全体のセキュリティ意識が底上げされるでしょう。その前提でサービスを提供していけば、今までとは違う形でマーケットを拡大できると思っています。

織田サイバー攻撃については、皆さんが普段ニュースなどで目にされている以上に、どの会社においても、日々何かしらの攻撃を受けているというのが実情だと思います。さらに、サイバー被害を受けたという事実は、通常、不祥事として世に広まることが多く、その被害が拡大した根本的な原因に関する情報などはあまり公になりません。結果として、他社がその教訓を活かした対策を行うに至らず、同様の事案が多発していると感じています。SMBCサイバーフロントは、そのように“防ぐことのできたかもしれない”サイバー被害を一つでも減らすことを目指しています。

宮井例えば、アメリカでは企業間取引の条件として、サイバー保険加入が義務づけられている場合があります。今後、外資系企業と取引を行うなかでは、日本企業も企業規模を問わずサイバー保険加入などサイバーセキュリティへの取組を求められるようになると予想されます。また、政府や官公庁などのガイドラインなどで、取引先にも対策を促すよう求められ始めていることを受けて、日本企業間でも同様の流れが加速すると想定されます。

織田脱炭素とサイバーセキュリティとの明確な違いは、「ここまでやれば大丈夫」という指標がないことです。脱炭素には削減目標という定量的な数値がありますが、サイバーセキュリティは「外部からの攻撃を減らしたい」「攻撃を受けても耐えられる体制を築きたい」など、企業が自ら目標を設定しますが、それにより必要な対策も異なるものです。内的・外的、さまざまな条件が企業によって異なる中、身の丈にあった対策を選び取ることは簡単なことではありません。そこに、SMBCサイバーフロントのアドバイザリーサービスが受け入れられる余地があると考えています。

石川今回の取組は、サイバーセキュリティの専門家のみで作りあげていないことも大きな特徴です。非セキュリティ人材の知見を取り込むことで「サイバーセキュリティ＝専門家がやること」という認識を変え、経営層にもその必要性を理解してもらう。さらに個別の企業のサイバーセキュリティを強化するだけでなく、地域全体、サプライチェーン全体、日本全体のサイバーセキュリティのレベルアップを支援していきたいと思います。

織田これからの時代は、生成AIなどの進化により、サイバー攻撃はより激化・複雑化していくでしょう。5年後、10年後には対策の形も劇的に変化していくと予想しており、我々の提供するサービスの内容も時代に応じて変化させていきます。

SMBCサイバーフロントは、SMBCグループの一員として、お客さまをご支援する観点に立ち、その都度必要な形で、適切なご支援を提供していきます。変革の時代に対応するための、常に最先端のサービスを提供できる会社でありたいと考えています。