Vaillant-CISO：「始めることが大切、待つのではなく」

Vaillant Group

エネルギーセクターは、サイバー犯罪者の標的としてますます注目されています。専門家やドイツ連邦情報セキュリティ庁（BSI）の見解では、この分野の保護を大幅に強化する必要があるとされています。ドイツの現状をどのように評価していますか？

ライス：現在私たちが目にしている地政学的緊張は、脅威レベルの上昇をもたらしています。これは当然、Vaillantが事業を展開している暖房業界にも影響し、家庭での暖房や温水という人々の基本的なニーズを満たす分野です。こうした分野は、確実に強化された保護が必要です。問題は、攻撃がますます標的化され、複雑になっていることです。今では、かつての経験の浅いスクリプトキディではなく、組織化されプロフェッショナルなサイバー犯罪者が相手です。彼らの目的は、企業やその国の経済に損害を与えることです。

さらに、企業やサプライチェーンへの攻撃のハードルは、企業内での人工知能の活用によりこれまでになく低くなっています。これにより、例えば標的型フィッシングメールの作成やマルウェアの開発が、以前よりもはるかに容易になっています。

この変化した状況にどのように対応していますか？現在、どのように自社をサイバー攻撃から守っていますか？

ライス：私たちは情報セキュリティにおいて包括的なアプローチを採用しています。つまり、すべてのテーマを上から下までしっかりと見直し、多層的なセキュリティコンセプトを導入しています。これには、予防的および対応的なセキュリティ対策の両方を取り入れ、有事の際には迅速かつ効果的に対応できるようにしています。私たちは、どの企業も絶対的な安全を保証できないことを認識しています。そのため、誰もが常に攻撃が成功する可能性を前提に計画すべきだと考えています。

私たちは自社の内部IT環境の保護だけでなく、グローバルな生産やお客様向け製品の保護にも注力しています。特にランサムウェア攻撃の脅威が高まる中、エンドユーザーの保護と高いセキュリティ基準の遵守を最重要視しています。私たちの焦点は、リスクを積極的に最小化し、長期的に当社ソリューションへの信頼を確保することにあります。

従業員については？

サイバーセキュリティは人から始まります。Vaillantのグローバルなネットワーク化を背景に、セキュリティ面でも明確にこの点に重点を置いています。私たちのホリスティックな4本柱アプローチにより、ゲーミフィケーションから実践的なコンプライアンス研修まで、全従業員への包括的な意識向上を図っています。また、通信事業者や宅配業者のフィッシング事例など、プライベートな環境のテーマも取り上げ、関連性を高め、持続的な学習プロセスを促進しています。

現在、CISOが最も苦労している課題は何ですか？

ライス：まず最初に、CISOの役割は過去数年で根本的に変化しました。以前は主に技術的側面や運用上のセキュリティに重点が置かれていましたが、現在は戦略的な方向性やリーダーシップ能力が重要なキーとなっています。現代のCISOは、技術的リスクだけでなく、経営陣のパートナーとしてビジネスリスクを評価し、情報セキュリティを企業戦略の不可欠な要素として定着させる必要があります。

私の見解では、現在最大の課題はNIS2、DORA、サイバーレジリエンス法などの新しい法規制への対応です。私はこれを「規制のジャングル」と呼んでいますが、まずは理解することが必要です。私たちは複雑な規制環境の中で、現実的に解釈し、適切なリソースで実行しなければなりません。最終的には、コンプライアンスを確保するだけでなく、企業全体のセキュリティレベルを高め、レジリエンスを向上させることが目的です。

セキュリティルールが多すぎるのでしょうか？

ライス：暖房業界では、NIS2などが関連しているとはいえ、規制要件は比較的わかりやすいです。基本的に、統一された基準はドイツやヨーロッパのセキュリティ向上につながるため歓迎しています。課題は各国での実装にあります。各国が規定を異なる解釈で運用するため、国際的に活動する企業にとっては大きな複雑さをもたらします。

ヨーロッパ全体で実装できる統一的かつ現実的なセキュリティルールを作ることは、NIS2の立法者にはできませんでした。NIS2はEUレベルで採択されましたが、各国の国内法に落とし込む必要があります。つまり、各国が独自の解釈を加えることになります。ヨーロッパ全域で活動する組織は、それぞれの地域の法規制も考慮しなければなりません。ここで標準化された手続きを保証することは、さらなる複雑さと高い調整コストを意味します。

なぜ多くの企業が今も実装に苦労しているのでしょうか？

ライス：多くの場合、規定の解釈に明確さが欠けています。多くの企業、特に中小企業は、自分たちが適用範囲に入るのかどうかさえ分かっていません。さらに、リソース配分に関する疑問もあります。実装を社内で行うべきか、外部パートナーと行うべきか？責任はIT部門、コンプライアンス部門、それとも専任のセキュリティチームが持つのか？加えて、サイバーセキュリティをどこでどのように戦略的に定着させるべきかという成熟度や意識が不足していることが多く、こうした要素が進捗を妨げ、企業にとって貴重な時間を失わせています。

「レシピ」のような規則対応策はありません。私は企業に対し、自社の現状を分析し、最初のステップを定義して、まずは始めることを勧めます。私のモットーは「始めることが大切、待つのではなく！」です。