年末恒例、日経紙主催の「Cyber Initiative Tokyo 2023」。今年も企画をお手伝いし、登壇することになった。2日間の日程で、日経ホールから放映(*1)される。昨年はフィリピン・シンガポール・インドなど英語圏からの接続が増え、徐々に国際色が濃くなった。今年の企画には英語セッションも増え、私の担当セッションもスライドだけは英語併記が求められた。
初日は午後一番の「経営戦略としてのサイバーセキュリティ:CISOが2024年にすべきこと」の司会をする。昨年まで3年連続「サプライチェーンセッション」の司会をしていたが、今回いただいたお題はCISO。中小企業の話から、大企業中心のテーマに移った。大企業ではCISOを置くこと、場合によっては役員に列することも増えてきた。
ただ「DX with Security」の推進にあたっても、CIOがアクセルなのにCISOはブレーキ。コンフリクトもあるだろう。また本社だけCISOが管掌していても、事業部門・管理部門・関連会社からは距離がある。新事業(or DX)を勝手にやった挙句、サイバー攻撃で吹き飛びましたとあとで言われても、CISOは困る。そこでこれらの部門に事前に相談に来てもらえるようなら、優れたCISOだし優れた会社だ。
そこで優れた会社と思える大企業に何人か出演を打診したのだが、Openの場では話せないとの反応が多かった。ようやく製薬会社のDX部門長と30ほどの関連各社を持つ小売グループの責任役員が登壇してもらえることになった。彼らにコンサル会社の識者を加えて、45分のパネルを組み立てた。
製薬会社の人は、急速にデジタル化する業界の中で、最悪人の命にも関わるサイバーセキュリティを俯瞰して進めている現状を紹介してくれた。小売りグループの人は、個々に事業形態も、顧客も、重要情報も、事業規模も違う30社の「ハリネズミ経営」を支えるには、各社に「+セキュリティ人材」が必要だと言った。コンサルの人は、自らが今までに出会ったCISOのバリエーションを話した。
最後に2024年に向けて、CISOは日々の防御だけではなく、先を見た予防に努めなくてはならないとまとめた。キーワードは「CISOを見れば、企業が見える」。