日本企業に染みついた残念すぎる「サイバー対策」 セキュリティ部門にブレーキかけているのは?
日本では自然災害発生時に、政府や報道機関が「国民全体に対して被害状況を積極的に伝えることで、深刻な被害を回避するための自助、共助、公助につながる行動変容を促せる」という取り組みが十分に成熟している。
観点を変えると、日本の国民や企業は、自ら能動的に状況を把握する努力をせずとも、政府や報道機関により周知される情報を受動的に得ることで、被害状況を把握することができる。
そのような仕組みに慣れてしまった日本企業は、サイバー攻撃のリスク対策も、この仕組みの中にあると漠然と捉えている可能性がある。
組織内の意思決定を行う経営層が、セキュリティ対策の追加的措置にかかる予算や人材の割り当てを検討する際は、その判断基準となる「新たなサイバー攻撃に関する理解(知識と洞察)」と「その攻撃によるビジネスリスク(影響見積もり)」を適切に持つ必要がある。
これには複雑かつ多様化するデジタル利用の状況を理解する以上の多大な学習コストがかかるが、筆者がインシデント対処支援で垣間見る現状の限りでは、経営層はその努力をほとんどしていない。報道などで伝えられる他社の被害ストーリーにより得られた想像力の範囲で判断する傾向が強くなっている。
そのため「役員ではないCISO」や「CSIRT」が、経営層にどのような説明や提案を積み重ねても、直近のサイバー攻撃に適合したセキュリティ対策を実現することが困難な状況に陥っている企業が思いのほか多い。
サイバーセキュリティの予算の割り当てにも課題
わが国のサイバーセキュリティに関する重要施策の中で、多くの予算が割り当てられているのは、「人材育成」「技術開発」「設備投資」という、何かしらのビジネスに直結したものだ。
一方、経営層の意識改革に関する施策については、その重要性と切迫性が高いにもかかわらず、その努力はわずかしか行われていない。
おそらく、その理由はビジネスエコシステム(多数の企業や顧客が集結し、分業と協業による共存共栄の関係)に移行することが期待できない施策は、政府機関による持続的な努力を要することに加え、出口戦略を作りにくく、担当する部門のインセンティブも低くなるためだろう。
また、日本の政府機関において、企業に対してサイバー攻撃に関する情報を適切かつ迅速に伝える仕組みが整備されておらず、その成熟度を高めるための基盤も希薄である。
無料会員登録はこちら
ログインはこちら