サイバー被害､侮ってはいけない｢公表資料｣の価値 正確な現状把握を阻むセキュリティ対策の課題

個人の利用するものも含め、攻撃を受けた従業員のPCから情報が盗まれることで、本丸である企業内のネットワークや利用しているクラウドサービスに被害が波及していく事例は、最近目にする機会が増えている。

しかし、業務のあり方など組織の構造的な問題を含むことから担当者だけでは容易に解決はできない。

サイバーセキュリティの脅威は固定化しつつある

ここで取り上げた2つの事例は、経営層が知っておくべき事例のごく一部だ。

情報処理推進機構は例年、脅威動向のトレンドをまとめている「情報セキュリティ10大脅威」を公開しており、選出された脅威を見ると、今どのような脅威に目を向けなくてはならないかを知ることができる。

すでに2024年の選出がされているが、「〇年連続〇回目」という表記が並んでいることからもわかるように、毎回新しい脅威が選出されているのではなく同様の事案が毎年続いている。

有効な対策があるにもかかわらず固定化が進んでいるのは、適切な防護策を講じていない組織がまだ多くある裏返しだろう。10大脅威のような事態に対して、「うちは大丈夫なのか？」と経営層から担当者に丸投げをしてしまうことがあるかもしれないが、それでは経営層の理解不足は解消されない。

やはりカギとなるのは、現場担当者とのコミュニケーションに尽きる。十分なフォローを行えている経営層がどれほどいるかは、最近のセキュリティ事案を見ても決して多くはないと感じている。

担当者は、限られたリソースの中でセキュリティ強化を図らなければならないという無理難題と格闘する日々に疲弊している。何も問題が起こらなければ評価がされず、いざことが起きれば減点となる、そんな評価軸の組織も珍しくはない。

サイバーセキュリティをめぐるさまざまなリスクへの対応は誰か一人が抱え込むものではなく、組織全体として取り組むべき課題であることを改めてお伝えしたい。