zero/one:保険のSOMPOが手掛けるサイバーセキュリティの誕生とこれから PartⅠ
SOMPOリスクマネジメントのサイバーセキュリティ事業の責任者を務めます経堂 恭(きょうどう たかし)です。2017年12月の当事業立ち上げメンバーの一人です。
当社は、損保ジャパンを中心とした保険会社グループ、SOMPOホールディングスの一員として、サイバーセキュリティに関わる各種サービスをご提供しています。しかし、皆さんの中には、「なぜSOMPOがサイバーセキュリティを提供するのか?」と疑問に思う方も多いのではないでしょうか?この連載コラムでは、私たちが如何にしてサイバーセキュリティ事業に参入したのか、その想いや今後目指す方向性などをお伝えしていきます。
前回はコラムの本題に入る前に、Part0とし、少し自己紹介をしましたが、今回のPartⅠでは『胎動:新規事業の立ち上げ』と題し、サイバーセキュリティ事業の立ち上げに至った経緯等を書きたいと思います。
SOMPO CYBER SECURITY 事業責任者 経堂 恭
胎動:新規事業の立ち上げ
第1回目は、「胎動:事業の立ち上げ」とのタイトルで、事業参入に至った背景や経緯を通じて、この事業に込めた想いをお話します。
「破壊的イノベーション」
SOMPOホールディングスは、グループ全体のDX実現に向け、2016年4月にデジタル戦略部を発足させ、さらに、デジタル分野における研究・開発を目的とする拠点「SOMPO Digital Lab」を東京、米国シリコンバレーに新設しました。
デジタル戦略部では、既存事業の価値向上を目指す「持続的イノベーション」と、既存の概念にとらわれず、新たな発想により新サービスを生み出そうとする「破壊的イノベーション」の2チームに分かれて、DX推進に取り組んでいました。
当時、日本では情報社会「Society4.0」に続く新たな社会「Society5.0」が提唱され、世の中は「デジタル化」へとさらに加速していました。企業はこぞって「DXしなければ生き残れない」との掛け声のもと、IoTやAI、ビックデータ解析などに取り組み始めていた頃です。
その「破壊的イノベーション」チームを率いていたのが2022年の現時点でSOMPOシステムズ代表取締役社長を務める宮嵜部長です。当時、私は宮嵜と共に「破壊的イノベーション」チームの新規事業企画担当として、社会が求める新たなサービスを検討する上で、「今後、人々にとって何が一番の脅威となるのか?」ということについて考えを巡らせていました。
CyberTech Tokyo2018で登壇する宮嵜(2022年6月現在 SOMPOシステムズ代表取締役社長)
新規事業としてのサイバーセキュリティ
宮嵜は「「持続的イノベーション」にしても「破壊的イノベーション」にしても、デジタル技術の活用なしには成し遂げることはできません。社会環境・生活環境が正にDXの名のもとに変化を余儀なくされ、その流れに社会も個人も委ねざるを得ないという状況の中、新たなリスクに対してしっかりと対処できなければ、お客さまそして社会を守るというSOMPOとしての使命役割を果たせないのではないかと強く感じ始めていました。」と当時を振り返ります。
近年の先進技術の飛躍的な進歩は、あらゆるビジネスに大きな影響を与えています。SOMPOグループの中核をなす損害保険事業も、収入保険料の約半分を占める自動車保険では、自動運転をはじめとする技術革新や若者の車離れやシェアリングといった社会・文化的要素などにより、大きな転換期を迎えています。
GAFAというくくり方は既に古いのでしょうが、そうした従来の社会やビジネスの枠組みの変化とともに、事業を取り巻くリスク環境も様変わりしてきています。
宮嵜は、自動運転によりこれまでのドライバーの「運転ミス」から自動運転システムへの「ハッキング」へと自動車保険に関わるメインリスクが変化していくように、デジタル化でデータの利活用が盛んになる一方で、それらを支える情報システムに致命的なダメージを与えるサイバー攻撃こそが、これからの企業・組織にとって最大のリスクになるとの考えに至りました。
サイバー攻撃のリスクへの対応は、お客さまの「安心・安全・健康」に資するサービスを提供するというSOMPOグループの経営理念そのものです。「破壊的イノベーション」チームは、新規事業の第1号として、サイバーセキュリティ事業参入に向けた検討に着手しました。
私たちのパーパス(存在意義)
まずは、国内の企業・組織におけるセキュリティへの取り組みについてリサーチを行いましたが、そこで見えてきたのは、欧米各国と比較して圧倒的に脆弱な状況でした。
日本企業の多くは、欧米のように企業内のセキュリティ人材が十分でなく、セキュリティ対策については外部のセキュリティベンダーに大きく依存しています。
(参考資料:我が国のサイバーセキュリティ人材の現状について(総務省))
また、ソリューションは海外メーカーのものがほとんどで、総じて価格が高く、その運用には専門的な知識が必要となるものも多いため、特に人材も予算も乏しい中堅・中小企業にとっては導入することが難しいということが浮き彫りになってきました。
大企業においても、自社の防御は一定進んではいるものの、セキュリティが脆弱なグループ会社や海外拠点、取引先等を狙った攻撃への備えは十分ではありません。今後は、サプライチェーン全体でのリスクマネジメントに対するニーズが高まっていくことは間違いありません。
こうした日本企業の実情を踏まえると、単にソリューションを導入すればOKというわけではなく、ベンダー依存の体質から脱却し、企業がリスクマネジメントの観点からセキュリティ対策を自律的に取り組めるようにサポートすることが必ず求められるはずです。
しかし、そうしたきめ細やかなサポートを行うには要員もコストもかかります。実際に、国内のセキュリティベンダーは、効率化の点から予算が潤沢な大企業にフォーカスしており、ともすればメーカーやベンダー側の意向に沿ったソリューションの検討が進められる傾向にあります。
SOMPOグループは数十万社の事業者をお客さま基盤として有しており、さらにその大部分が中小企業です。私たちは、企業におけるリスクマネジメントのプロ集団として、大企業から中堅・中小企業まで幅広く、コストも含めて最適化した対策をサポートすることが使命です。
新たなサイバーセキュリティ事業においても、常にお客さまの側に立って一緒に伴走し、目に見えないリスクへの対応を通じてお客さまに安心・安全をお届けすること。これが私たちのパーパス(存在意義)となります。
事業参入のかたち
2017年12月SOMPOリスクマネジメント(当時はSOMPOリスケアマネジメント)にサイバーセキュリティ事業本部が新設されます。事業本部長には宮嵜が就任し、事業推進部長の私を含む8名体制で事業参入への具体的な準備が始まりました。SOMPOリスクマネジメントはSOMPOホールディングスの100%子会社で、企業のリスクマネジメントに関するコンサルティングや調査研究、セミナーなどのサービスを提供する会社です。
SOMPOリスクマネジメントでは、以前よりセキュリティポリシーやガイドラインの策定支援、ISMS認証取得支援等のコンサルティングサービスなどを提供しており、この分野の知見・データを有していました。
当初、事業参入にあたってサイバーセキュリティの専門会社を新たに設立することも検討しましたが、単にソリューションを販売するのではなく、企業のリスクマネジメントを通してお客さまをサポートするという私たちのパーパスの実現のためには、SOMPOリスクマネジメントの一つビジネスユニットとしてその基盤を活用することが最も適した事業参入形態だと判断したのです。
保険との関係性
ビジネスモデルの検討にあたっては、SOMPOグループの中核事業である「保険」との関係性を整理しておく必要があります。SOMPOグループにおける新規事業の立ち上げでは、やはり「保険」ありきになりがちな傾向があります。では、私たちのサイバーセキュリティ事業はどうでしょうか。
損保ジャパンをはじめとした損害保険会社は、有事の際にベンダーを紹介するサービスをサイバー保険にセットしていますし、セキュリティベンダーとのコラボレーションにより、ソリューションにサイバー保険をセットして販売したりしています。それらはいずれも、サイバー保険の販売促進や保険加入者向けの付加価値サービスが目的で、ビジネスモデルの中心に「保険」を置いています。
もちろん、「保険」はインシデント時の被害の極小化・事業の早期回復のためには有効なものですし、保険会社グループとしてその機能をビジネスモデルに組み込むことができるというのは、大きな強みにもなります。
しかし、私たちは、従来の「保険」を中心としたアプローチを踏襲するのではなく、次元の異なる新しい価値を市場に作り出すことを目指しています。
企業・組織が自律的にセキュリティ対策をマネジメントできるようにサポートし、「インシデントのない社会」の実現を目指す。「保険」の販売はゴールではなく、そのための手段の一つである、というのが私たちのビジネスモデルにおける「保険」の位置づけとなります。
私たちが現在取り組んでいるこのビジネスモデルでは、保険ありきと言うよりは、「サイバーセキュリティ」と「保険」がバランスよく対等な立場で共存できている印象があり、これは新規事業の立ち上げに関わった一人として、いい意味での驚きでもありました。
イスラエルとのパートナーシップ
事業参入の準備において、イスラエルは非常に重要なファクターとなりました。
後発での参入となるため、私たちには市場における優位性が必須であり、リスクアセスメントや対策強化のための技術的・先進的なソリューションのスカウティングに取り組みました。
2016年のデジタル戦略部発足時から2017年にかけて、まずは、東京・米国シリコンバレーのSOMPO Digital Labを活用し、グローバルのセキュリティベンダーやテックファームのリサーチを精力的に行いましたが、価格や仕様などの観点から、日本のマーケットにインパクトを与えられるようなものはなかなか見つかりません。
そうした中、宮嵜はイスラエルに注目しました。
イスラエルは世界有数のハイテク輸出大国であり、サイバー先進国です。産業界・政府・軍隊・大学などの研究機関の連携によってエコシステムが成り立っており、数多くのスタートアップを持続的に輩出しています。この辺りは当社の連載コラム『エコシステム:ハイテク輸出大国イスラエルを生み出したからくり』でも詳しく紹介しています。
当時を回想し、宮嵜はこうコメントを寄せています。
「当時、シリコンバレーでも巨大企業のGoogleがWazeに代表されるイスラエルのスタートアップ企業を買収するなど、米国企業のサービスやソリューションの技術的な要素自体がイスラエル発祥であることも珍しくなくなってきていました。そうした中、今あるサービスやソリューションを使ったり買ったりするのではなく、その技術的な要素自体を自ら取り入れ、SOMPOならではの新しい価値をつくれるのではないかと考えるようになっていきました。
また、地政学的にも宗教・政治的にも技術を発達し続けなければならないイスラエルは世界でも最先端の技術を有しており、特にサイバーセキュリティのビジネスをする上では、最も魅力のある国と言えます。その最先端技術の動向を注視し、より早くお客さまへサービスとして提供するためには、イスラエルにも情報収集する拠点が必要だと考え、当時の上長であった楢崎CDO(当時)へ相談しました。」
そのような経緯を経て、2017年12月のSOMPOリスクマネジメントにサイバーセキュリティ事業本部を設立と時を同じくして、イスラエルのテルアビブに3箇所目のSOMPO Digital Labが設置されました。現在、Labではサイバーセキュリティのみならず、デジタルヘルス、モビリティなどの分野でグループ全体のDXの実現に向けて既存事業の変革と新規事業の創出に取り組んでいます。
イスラエルのテルアビブにあるSOMPO Digital Labが入るビル(左)とオフィスからの景色(右)
「保険会社×セキュリティ」の組み合わせにより、既存の保険会社やセキュリティベンダーとは異なる新しいビジネスモデルを構築したい、という熱い想いで立ち上げた新規事業。もちろん、簡単なことではないと認識していましたが、実際にスタートしてみるとその難しさは想像以上でした。
事業本部設立後の苦労や困難については、次回の連載コラム第2回でお話します。
イスラエルのSOMPO Digital Labにて、サイバー担当をしているロテム氏のコラムも、
6月末配信予定なのでお楽しみにお待ちください。