インタビューイー(写真左から)

KPMGコンサルティング株式会社

金融セクター

アソシエイトパートナー 田畑 直樹

シニアマネジャー 山口 万梨子

 

株式会社みずほフィナンシャルグループ

サイバーセキュリティ統括部 リスク管理室室長 武田 信義氏

サイバーセキュリティ統括部 リスク管理室ヴァイスプレジデント 佐々木 稔氏

 

※記事の記載内容は2024年7月時点のものとなります。

 

Key Factors for Success ~本プロジェクトを成功に導いた鍵となるポイント

 

  • サイバーセキュリティリスク管理における海外での先進事例・国内金融機関とのギャップ、および適用を考える場合の勘所の理解
  • サイバーセキュリティに係る各種ガイドラインベストプラクティスの理解、および改善活動に活用するうえでの勘所の理解
  • サイバーセキュリティを組織文化に織り込んでいくために必要となるアクションと金融機関において展開する勘所の理解
  • サイバーセキュリティに係る経営陣の主体性を引き出していくうえでの報告協 議の勘所の理解

 

グループグローバルでサイバーセキュリティ対策強化を推進

株式会社みずほフィナンシャルグループ(以下、みずほ FG)は、世界で加速するデジタル化や地政学的変化から、さまざまな種類・目的のサイバー攻撃事案が増加するなか、サイバー攻撃を経営上のトップリスクの一つと位置付け、継続的にサイバーセキュリティ対策を推進している。「サイバーセキュリティに対する経営陣の意識が年々高まり、2022年度よりサイバーセキュリティ対策強化プログラムを立ち上げました。これを体系的に推進していくため、リスク管理やガバナンスの分野を広範に担っていただけるパートナーが必要でした」と武田氏は当時を振り返る。サイバーセキュリティ対策強化に取り組むうえで武田氏がキーワードとして挙げたのが “グループ・グローバル”。多くの海外拠点やグループ会社を展開するみずほ FG にとって、国内のみならず海外も広くカバーできる対応力や欧米の先進的な知見の活用が重要であり、こうした状況がKPMGコンサルティングをパートナーとして選定したことの背景にある。

KPMGコンサルティングは 2019年度より、リスク評価の枠組みを構築段階から支援してきた。その後も年次の評価運用の支援を通じてみずほ FG の企業文化への理解を深め、さらなる実行力の向上に活かしてきた。しかし、外部環境の変化や新たな脅威に対し、「リスク評価の枠組みを進化させ続ける必要があった」と佐々木氏は語る。そこで KPMG コンサルティングは専門的知見を活かした評価ロジックの高度化や効率化に取り組み、支援を続けてきた。「国内外に多様なリスク評価のフレームワークがあるなかで当グループに適した枠組みを構築するのは非常に難しい課題でしたが、構築からアップデートまで粘り強く伴走いただき、枠組みを作り上げることができた」と武田氏は語る。

また、みずほ FG のビジネスにおいて、さまざまなサイバーセキュリティリスクが経営にどの程度の影響を与えるのか、リスクの定量化を通じてその規模を財務インパクトに換算して可視化することにも取り組んだ。リスクの定量化は国内ではまだ事例がほとんどなく、海外の事例においてもみずほFGのビジネスに適用できるものがなかったため、その作業は困難を極め、試行錯誤の日々が続いた。「まさに答えのない世界であり、先進的な取組み。KPMG コンサルティングと議論に議論を重ね、ようやく納得できるものになったという実感があり、とても印象に残るプロジェクトでした。経営陣からも評価いただき、努力が報われました」と佐々木氏は語る。みずほF GとKPMGコンサルティングが一丸となり、前例のないところに一つの道筋を切り拓いたという意味で非常にチャレンジングな取組みだったといえる。

 

 

 

経営陣への報告高度化を目指し、経営と現場の橋渡しに奔走

みずほ FG は「サイバーセキュリティ経営宣言」※1 を掲げている。金融という重要な社会インフラの担い手として安心・安全なサイバー空間の構築に貢献するために、経営陣の強力なリーダーシップのもとで態勢強化に取り組み、サイバーセキュリティ対策を推進させる必要がある。そのためには、経営陣はサイバーセキュリティを自分事として捉え、高い関心をもって活発なディスカッションを行うことができなければならない。みずほ FGは 2022 年度よりグループ CISO※2 が部会長を務めるサイバーセキュリティ高度化部会という経営陣が集う会議体を設け、サイバーセキュリティに係るさまざまなアジェンダの議論を開始した。

しかし、サイバーセキュリティに係る論点は幅広い。なかにはリスク評価や対策状況といった現場レベルの内容もあり、これを経営レベルで議論できるアジェンダに仕立てていくことは、非常に難しい課題であった。「サイバーセキュリティに関して知見がある方もいれば、そうでない方もいるなかで、いかにして経営陣に報告し、理解を促し、当事者意識を持って動いてもらえるか、そこが重要だった」と武田氏は語る。リスクの根源をたどれば、その一つひとつは非常に細かく、外部環境によるさまざまな因子も影響する。日々刻々と新たな脅威が発生するなかで、どのようなサイバーセキュリティリスクがあるのか、現状どのような対策ができているのか、残存リスクはどのくらいなのか。KPMGコンサルティングは、経営陣のサイバーセキュリティリスクに対する理解を深め、さまざまな粒度のアジェンダについて活発にディスカッションできるよう経営と現場の橋渡しに奔走。みずほ FG の各部署、各担当者との草の根的な取組みを通じて、経営陣への報告の高度化を支援し、経営陣主導による組織全体でのサイバーセキュリティ対策の推進に寄与した。

 

※1 みずほFG:サイバーセキュリティ経営宣言(mizuho-fg.co.jp) ※2 Chief Information Security Officer(情報セキュリティ担当)

 

 

 

高度化するサイバー攻撃との終わりなき戦いに伴走する

KPMG  コンサルティングがさまざまな取組みにおいて伴走役を担ううえで、重視したことの一つが現場における運用性だ。

「『現場で使える』というところに常に着意を持って取り組んでいただいた。頭だけではなく、手を動かし、汗をかいて、私たちが使いやすい枠組みを構築いただけたことが大変ありがたい」と武田氏は評価する。佐々木氏も「一歩先を読み、次に起こることを想定しながら、私たちと一緒になって課題と向き合っていただけた」と語る。先を読むことには大きく2 つの要素がある。1つは、サイバーセキュリティの動的な外部環境や社会の動きがどう変わっていくのか。もう 1つが 、今取り組んでいる施策がどのような目的なのか、そこに変化の予測を加えた場合に何が必要になるのか。頭で考えるだけでなく、現場の状況をしっかりと踏まえて先を読み、仮説を立てて動くことが重要だ。

「経営陣の意識が今後ますます高まっていくなかで、サイバーセキュリティ対策をいかに強化していくか。KPMGコンサルティングと築き上げてきたリスク評価の枠組みも抜本的にレベルアップしていかないといけない。社会のデジタル化が進み、サイバー攻撃が高度化・複雑化するなかで、さらなる高みを目指したい」と武田氏は今後の展望を語る。社会や経済の重要インフラである金融機関はサイバー攻撃の主要な標的として、常に脅威にさらされている。 KPMGコンサルティングは、これまでの成果に満足することなく、みずほ FG の経営や現場の課題に寄り添いながらサイバーセキュリティのさらなる高度化の可能性を追求し続け、サイバー攻撃との終わりなき戦いに粘り強く対峙していく。