同社によると、NIST(米国国立標準技術研究所)のフレームワークと自社の知見を融合させた新手法により、経営層と現場が一体となって実行可能な改善計画を策定する取り組みだという。
25年以上にわたり国内企業のセキュリティ改善に携わってきた実績を持つエクサが、セキュリティ課題の構造的解決を図る狙いがある。
近年、国内外でサイバー攻撃の高度化が進み、企業の防御体制が試されている。従来の他社事例追随型対策では限界が明らかになり、組織内で「何を守るべきか」の認識が共有されないまま投資だけが先行するケースも増えていた。エクサはこうした課題に対し、経営層を含む「全社対話」によるリスク評価手法を導入し、実行力ある対策計画を共に設計する手法に移行する。同社はJFEスチールを母体に、キンドリルジャパンを親会社とするITサービス企業である。これまでも製造・金融・社会インフラなど広範な分野で DXやセキュリティ施策を支援してきた。
NIST基準を軸に新プログラム展開
新プログラムは、NISTのサイバーセキュリティフレームワークを基盤に開発された。同社独自のアセスメントにより、企業内の脆弱箇所を数値化して「見える化」し、リスク低減効果や依存関係を踏まえた優先順位付けを行う。さらに、短期で実施可能な対策を「Quick Win」と位置づけ、投資効果を最大化する構成を採る。
最終的には、法規制対応や事業戦略との整合性を考慮しながら、短期・中期・長期にわたる段階的なセキュリティロードマップを共創プロセスで策定する。
この共創型手法の導入により、企業が直面するセキュリティ課題を「見て、判断し、実行する」段階まで現場レベルで一貫して推進できるようになるとエクサは説明する。同社取締役常務執行役員の服部茂氏は「企業経営を揺るがすリスクとしてセキュリティを捉える時代になっている。組織が『何を守るか』を定義し直すための場を設けることが狙いだ」と述べた。
サイバーリスクの経営化で対応格差拡大
ランサムウェアや生成AIを悪用した攻撃が急増し、事業停止や顧客情報流出を経営レベルのリスクとする認識が広がっている。
一方で、特に中堅企業では経営判断とIT対策の分離が課題として残る。情報投資の優先順位付けが曖昧で、実効性のある計画に落とし込めない例が多い。エクサは、企業の業種・規模を問わずガバナンス体制を強化する必要があるとみて、共創型プログラムによる横断的な支援を打ち出した。
同社は「経営と現場をつなぐ対話モデル」を掲げ、ツール導入ではなく意思決定の仕組みづくりを重視する。米国では既にCISO(最高情報セキュリティ責任者)を中心としたガバナンス型体制が一般化しており、日本企業も同様の経営統合モデルの構築が急務となっている。国内ではNECや富士通など大手SIerも類似支援を展開しているが、業界関係者は「大企業中心の支援モデルが多く、中堅企業に寄り添う共創型アプローチはまだ少ない」と指摘する。
専門家の評価と産業界への波及効果
ITガバナンス研究者は、エクサの取り組みを「セキュリティを経営課題として再定義する試み」と位置づけている。単に脆弱性を発見するだけでなく、経営資源配分の優先順位を可視化するという点で、従来のコンサルティングとは異なる価値を持つとの見方だ。
AIやクラウド技術の導入が進む中、データ連携や生成AI活用も新たな情報漏洩リスクを孕む。こうした政策潮流の中で、企業横断的なセキュリティマネジメントの整備支援に期待が集まっている。
経済産業省の推計では、国内サイバーセキュリティ関連市場は2024年の約1兆6,000億円規模から2030年にかけて2兆円超へ拡大する見通しだ。人材不足が成長の制約要因となる中、今回のようなプログラム型支援には中長期的な市場形成効果もあるとみられる。
共創型モデルの拡大と企業戦略への影響
デジタル化とセキュリティ対策を両立させる需給構造の中で、同社が掲げる「共創型サービスインテグレーター」という立場を産業横断的に打ち出す狙いがある。
業界では、企業のセキュリティ投資を「守りのコスト」から「経営の持続性を支える資本投資」として位置づける流れが顕著になっている。こうした潮流が一段と明確化するかどうかが、今後の普及の成否を左右するだろう。
また、AIを活用したセキュリティ分析や自動防御の領域でも競争が激化する見込みだ。産業界では「経営課題としてのセキュリティ」を誰が主導し、どのように実行計画へ落とし込むかが今後の焦点となりそうだ。