KPMGジャパンのコンサルティングファームとして、我々は多くの企業経営者と頻繁に意見を交換している。また、国内外のCEOの意識や課題を把握するため、「KPMGグローバルCEO調査」を毎年実施している。

 そうした活動から分かってきたことの1つが、多くの日本企業の経営者が、技術革新への対応の遅れを懸念材料と考えていることだ。例えば、「業界における技術革新のスピードへの対応に苦慮している」とするCEOの割合は、世界平均が36%であるのに対し日本は72%と倍になっている。

 また、「競争力を維持するため、経営モデルの抜本的な変革を率いていく準備が『個人的に』できている」と答えた日本のCEOは47%。世界では71%が「Yes」と回答しているのと比較しても、日本企業が準備不足を感じていることは明らかだ。その結果、自社の成長率を「5%未満」と低く見積もるCEOが多い。

一層のセキュリティ強化に向け積極的な投資を行うべき

 実際、日本は米国や中国に比べて破壊的テクノロジーで世界に大きな影響を与えている国ではない、というのが世界の共通認識でもある。残念ながら、今のところこれは事実に近いと言わざるを得ない。

 テクノロジーへの対応と並行して日本企業が取り組むべき領域が、情報セキュリティだ。「メール・Webなどのセキュリティ対策はできている」とする日本企業は全体の89%。これだけ高い数字が出た背景には、過去に被害を受けた企業が多いことも関係している。調査でも、31%の企業が「不正侵入の痕跡があった」と回答しており、再発防止の取り組みが奏功している可能性は高い。

 ただ、対策の進むセキュリティの中でも、一層の強化が必要な領域はある。工場の製造設備や社会インフラをコントロールする制御システムにおけるサイバー攻撃対策がその例だ。

 制御システムのセキュリティ対策が「できている」と答えた日本企業は全体の23%。製造設備でインシデントが発生すると、その企業のシステムや業務が遅延・停止するだけでなく、取引先や顧客などのステークホルダー全体にまで被害が及びかねない。ここは早急な改善が望まれる領域といえる。

 現在のサイバー攻撃の脅威は、「もし」から「いつ」の段階に移行している。企業は、「万一の際に備える」という従来型のマインドで対策を検討するのではなく、「いつ攻撃があってもおかしくない」前提で積極的にセキュリティ投資を行うべき。これが当社の見解だ。

既存ビジネスモデルを脱却せよ CEOの覚悟が明暗を分ける

 調査結果を整理すると、日本企業が再び成長を加速するために必要な取り組みが見えてくる。まず、先進テクノロジー活用をはじめとする“攻め”の領域のポイントは、「CEOのコミットメント」「顧客重視の戦略」「意思決定プロセスの迅速化」「人財の獲得、外部との連携」の4つである。

 CEOのコミットメントとは「既存のビジネスモデルを変える覚悟はあるか」ということだ。勝つか負けるかではなく、生きるか死ぬか─。CEOがそれだけの危機感と真剣さを持って自社の変革を陣頭指揮しなければ、日本企業の復興は見込めない。

 また、顧客重視の戦略は「物事を考える際の順序」を転換することで実現できる。まず顧客ニーズを把握し、その後にニーズを具現化する方法を考える。ニーズを具現化する方法にはデジタル技術の活用が必須であり、推進役として既存の枠組みにとらわれず強力なリーダーシップを発揮する最高デジタル責任者(CDO)を置くこともお勧めしたい。

 意思決定プロセスも変革が必要だ。根回しや役員決裁の過程で議論に時間のかかる従来方式では、現在のビジネススピードに追従できない。AI、IoTなどの先進技術の活用もしかり。まずは試し、ダメならすぐ別の方法を考えるアジャイルな方式を容認することが不可欠になっている。

 そして最後の人財の獲得には、産学連携や異業種交流を含め、エコシステム全体でリソースを確保する観点が重要。同時に、社内の人材を適正に評価するタレントマネジメントの仕組みも確立することで、適材適所の配置が可能になるだろう。

 一方の“守り”の領域では、セキュリティ対策が核となる。ポイントは「リーダーシップの必要性」「組織的対応」「有事の対応」の3点だ。

経営トップの危機認識と指導力で組織的なセキュリティ対策を実現

 まず、CEOが現在の状況を正しく認識する。独立行政法人情報処理推進機構(IPA)と経済産業省が2017年11月に発表した「サイバーセキュリティ経営ガイドラインVer.2.0」でも、3原則のトップに「経営者のリーダーシップ」を据えている。トップの意識改革は何より重要なものといえる。

 その上で、全社のセキュリティ対策を担う組織としてCSIRT(Computer Security Incident Response Team)を設置する。日本企業での設置率はまだ30%程度と低く、大企業でも5人以下の体制がほとんどだが、今後は企業規模や事業内容に応じた体制を確保する必要があるだろう。これにより、有事の対応をより確実なものにできる。サイバー攻撃の実演による訓練なども日ごろから行っておくことが望ましい。

 加えて、セキュリティ対策はビジネスパートナーにも配慮したものでなければならない。サプライチェーンのどこまでを対象とするかや、対策チームに社外の専門家も含めるかといったことに関する十分な議論と、明確なゴール設定が的確な対策実施に欠かせないものとなる。

 環境変化の激しい状況下において、取り組むべきことは多々あるが、要点を押さえれば成功に導くことは難しくない。

出典:日経コンピュータ 特別レポート版
記事は執筆時の情報に基づいており、現在では異なる場合があります。