儲かるビジネスと化した「サイバー攻撃」の脅威 謝罪と禁止は卒業、セキュリティ強化の近道は
これまで日本企業は、日本語という言語の壁によってサイバー攻撃から守られていた面がありました。メールに書かれた不自然な日本語の文章は一目で怪しいとわかりましたが、生成AIの登場で、日本語が母語ではない外国人でも自然な日本語の文章を簡単に作ることができるようになりました。今後、日本企業は世界中のサイバー攻撃者から狙われやすくなるでしょう。
攻撃の成功を前提にしたセキュリティ対策を
――企業は、どうしたらサイバー攻撃の脅威から身を守ることができるでしょうか。
約10年前ですが、数千万人分の顧客情報が流出した米国の大手小売りチェーンをターゲットとしたセキュリティ事案は、出入り業者経由で社内システムに侵入されたとみられています。つまり、どこからリスクが忍び寄るのかわかりません。
企業が、攻撃者の侵入経路をすべて予測して、ふさぐことは困難です。仮にすべての侵入経路をふさごうとして、リスクのある行動をかたっぱしから禁止してしまうと業務に不便をきたします。
すると、社員は効率的に仕事をするために「抜け道」に走り、個人向けサービスを使うなど、さらに大きなリスクを生んでしまうので逆効果です。
セキュリティ対策は、攻撃者に侵入されることを前提に、また禁止事項ばかりで社員が不便さを感じることがないよう「デザイン」することが望まれます。
――経営陣は、セキュリティ強化のために何ができますか。
IT部門に丸投げだと、IT部門の権限としてできることは禁止事項を増やすことくらいになりますので、社員を抜け道に追いやるだけになってしまいます。
セキュリティ対策は、誰かがやってくれるものではありません。現場の社員から経営陣まで全員が当事者として考えなければならない全社的な課題です。
そのうえで、セキュリティ強化には社内にどんなデータがあり、どのように利用しているのか。漏洩したらどんな影響があるのか……といったビジネスの仕組みを理解した「ビジネスを語れるITエンジニア人材」が必要です。
ところが、日本では、エンジニアがITベンダーやSIerに偏在して、IT企業以外にいるエンジニアは少ないのが現状です。
エンジニア出身の経営メンバーとなると、なおさら少なくなっています。日本企業は、セキュリティ事故が起きると経営者が謝罪し、社員に禁止事項を増やして対応しようとしますが、「謝罪と禁止の文化」では、セキュリティ問題は解決できません。
無料会員登録はこちら
ログインはこちら