都築電気は「サイバーセキュリティ経営支援サービス」を2022年9月から始めたところ、医療や製造、流通・サービスといった業種顧客から高い評価を獲得し、受注増に手応えを感じている。サービス価格は90万円から、2カ月以内にセキュリティ診断の結果報告を行うもので、一般的なセキュリティコンサルティング費用の数分の1、約半分の期間に短縮させているのが特徴だ。非対面のオンライン方式でユーザー企業の負担も少ないことから、最新のデジタル技術を駆使して新しいサービス開発を担う事業部門単位でも利用しやすいことなどが評価につながった。
（取材・文／安藤章司）

DXでの「活用のしやすさ」を配慮

　サイバーセキュリティ経営支援サービスは、ユーザー企業とともにビジネス面や業務面でのゴールを設定し、そのゴールを実現するための情報セキュリティはどうあるべきかを可視化する点を重視。サービス名称に「経営支援」の文字を入れたのは、「ビジネスや業務といった“経営”を支援する意味を込めたから」と、都築電気の上新周作・サービス＆サポート本部テクノロジーデザイン統括部統括部長代理兼セキュリティビジネス推進部長は話す。
 


　最新のデジタル技術を駆使して新サービスを立ち上げるといったDXに対応するため、「DXを担う事業部門単位でも利用しやすいサービス体系にした」（内海慶太・セキュリティビジネス推進部担当部長兼第一セキュリティ課長）という。一般的なセキュリティコンサルティングサービスの費用の数分の1、納期半減を実現できた背景には、NRIセキュアテクノロジーズ（NRIセキュア）の「Secure SketCH（セキュアスケッチ）」ツールを活用した要因が大きい。

　Secure SketCHはNRIセキュアが開発したSaaS型のセキュリティ診断ツールで、セキュリティ強度のデータを収集・分析するエンジン部分に米Security Scorecard（セキュリティスコアカード）の脅威評価サービスを採用するとともに、NRIセキュアが独自に開発した75項目の設問に回答することで、ユーザー企業のセキュリティ対応度の「得点」や「偏差値」が分かるツールである。NRIセキュアでは日系企業を中心とした顧客約3100社のセキュリティ対応の状況を基準に、「他社と比較して自社がどのあたりに位置しているのか客観的に分かる」（NRIセキュアの足立道拡・DXセキュリティプラットフォーム事業本部本部長）ようにした。
 

医療や製造など業種顧客からも評価

　都築電気は21年からSecure SketCHを自社で導入しており、セキュリティ対策の戦略や組織、技術、有事対応などの状況の可視化に役立てている。社内で蓄積してきたノウハウはサイバーセキュリティ経営支援サービスに反映してきた。例えば、組織に課題が見つかれば改善の提案を行ったり、有事対応で不備が見つかれば専門とするセキュリティチームを活用した関連商談につなげるようにしたりしている。

　22年9月のサービス開始以降、問い合わせや商談件数が多かったユーザー企業を業種別に見ると、データを暗号化して金品を要求するランサムウェア攻撃の脅威にさらされているにも関わらず、セキュリティ診断にかけられる予算が限られるケースが散見される病院や、サプライチェーン攻撃に神経をとがらせる製造業ユーザーが多く見られるのと並行して、DXを推進する事業部門単位での商談も増えている。

　ほかにも、流通・サービス業で企業間取引のデジタル化を推進するケースでは、「デジタル化の推進とセキュリティ水準の維持の両面でサポートする」といった案件を想定している。上新統括部長代理は「セキュリティ診断の“点”ではなく、ビジネス全体の“面”でサポートできるところにサイバーセキュリティ経営支援サービスの強みが凝縮されている」と話す。

サプライチェーン全体にも対応

　ツールとして活用しているSecure SketCHはオンラインで使えるため、本社や地方の事業所、子会社、海外拠点、取引先、委託先に至るまで大きな負担なく使え、「共通の物差しを用いてサプライチェーン全体のセキュリティ水準を高められる」と、NRIセキュアの川崎聡太・DXセキュリティプラットフォーム事業本部GRCプラットフォーム部グループマネージャーは指摘。全社的に導入し、さらに取引先や委託先などサプライチェーンまで範囲を広げ、セキュリティ強度のばらつきの有無を可視化することも可能だという。
 
　サイバーセキュリティ経営支援サービスでは、75項目の設問に基づいて自社のセキュリティへの対策がどの程度のものなのかを可視化するが、都築電気では、ユーザー企業の負担軽減のため「一度に75項目を調べるのではなく、年間スケジュールを立てて1年かけて実施する」（内海担当部長）方式も有効だとみている。予算を策定するタイミングに合わせて関連項目を診断し、セキュリティ予算の最適な配分に役立ててもらうことも想定している。

　デジタル化が進み、セキュリティ脅威の対応に追われるユーザー企業のなかには、往々にして強いストレスや疲労感が見受けられるという。サイバーセキュリティ経営支援サービスでは、こうした“セキュリティ疲れ”を軽減し、「ビジネス的なゴールを見失うことなく、効果的、網羅的なセキュリティ対策をユーザー企業に伴走しながら支援する」（上新統括部長代理）ことを重視。向こう3年で200社のユーザー企業へのサービス提供を目指す。