海獣セイレーンに引き込まれるように、エコシステムへと導かれている、と筆者は説く(写真:Adobe stock)

転機にあるCISOモデル

CISO(最高情報セキュリティ責任者)というロールモデルは、1995年に米国で誕生して以来、企業のサイバーセキュリティを牽引してきました。昨年で30年を迎え、その重要性は現在も変わっていません。

実際、本邦企業におけるセキュリティ投資は増加が続いており、生成AIの普及による攻撃高度化への対応も、AI自体が攻撃対象となる問題も喫緊の課題です。この状況において、CISOへの期待はむしろ膨らんでいるように見えます。

最高情報セキュリティ責任者の前提が揺らいでいる(写真:Adobe stock)

しかしその一方で、本質的な変化が進行しています。それは、AIによって加速される「エコシステム型ビジネス」への移行です。取引関係は多層化し、変化が常態化し、企業の境界は曖昧になります。その中で、リスクは個社の内部にとどまらず、ビジネスを構成する「関係性」の中を流通するようになります。

このとき、CISOの前提――すなわち「自社を守る」という枠組み――は揺らぎ始めます。

最終回となる今回は、この構造変化を踏まえ、エコシステムセキュリティの課題を整理し、その限界を見極めます。その上で、次の段階としてのガバナンスへの転回の必要性を提示します。

エコシステム高度化に引き込む、麗しき歌声

ギリシア神話に登場する海獣セイレーンは、美しい歌声で航海者を惑わせ、破滅へと導く存在です。

エコシステムもまた、強い魅力を持ちます。効率性、柔軟性、レジリエンス、更には、統合化や自律化――これらの価値は、経営判断において抗いがたいものです。AIによって最適化されたサプライチェーンでは、脆弱性やアクセス管理までも自動的に検知・調整され、代替サプライヤーや物流経路も即時に再構成されます。

しかし、この「美しい歌声」は同時に、CISOにとっての構造的な難所を生みます。その典型がサプライチェーンセキュリティ(SCS)です。

現在、本邦でも制度整備が進み、企業間でのセキュリティ水準の可視化と底上げが試みられています。しかしそこには本質的な難しさがあります。SCSの核心は、組織内部の統治問題を、契約を通じて外部に実装しなければならない点にあります。企業内では、人・プロセス・技術(PPT)を統合的に管理することでセキュリティを担保できますが、SCSではそれを他社に求め、その履行を継続的に確認しなければなりません。

さらに重要なのは、SCSが企業単体の管理の問題にとどまらない点です。リスクは連鎖します。直接の取引先だけでなく、その先へと広がる多層構造の中で、どこか一つの脆弱性が全体のリスクへと変換されます。このとき、CISOは「境界の外」にあるリスクと向き合わざるを得ません。

SCSは、潜在的なリスク連鎖を、自社の経済的・法的責任として引き受ける構造でもあるのです。