セキュリティ対策の効果が｢出る企業｣｢出ない企業｣の差 "同業他社が〇〇に感染→〇〇対策"は非効率？ お金･人的リソースをムダ遣いしない方法

こうした格差や非効率性の問題の根本には、発生しうるインシデントへの対処に重点が置かれ、企業全体のリスク管理に目が向けられていない点にある、とIIJグローバルソリューションズの松木和彦氏は指摘する。

「サイバーセキュリティでよくありがちなのは、何をやったらよいかわからないから全方位で守ろうとしてしまうことです。あるいは、システム部門によってメールシステムはしっかり守られているのに、ビジネスの継続性の観点ではより重要であるはずの事業部門のシステムは十分守られていない、といったちぐはぐな対策です。

つまり、企業としてきちんとリスクとその重さが特定されておらず、取り組むべき課題の優先順位もつけられていないのです」

従来のサイバーセキュリティ対策は「サイバーリスクはビジネスリスクになる」との観点が弱く、最低限のインシデントへの対処に重点が置かれる傾向があった。

この立場に立つ企業では、サイバーセキュリティはコストと捉えられて担当者任せになり、予算はなかなか取れない。そして、主な対策も各種インシデントに対応したツールのつぎはぎ的な導入になりがちである。

しかし「サイバーリスクはビジネスリスクになる」との認識に基づき、リスクに目を向けた企業はそうではない。組織的なサイバーリスク対策が行われ、リスク中心の考え方で効果的な投資が実施されているという。

これまでインシデントへの対処に重点を置いてきた企業は、どうリスクに目を向けていけばよいのだろうか。

リスクは継続的にモニタリングしないと意味がない

「リスクを方程式で表現すると『リスク＝影響度×発生可能性』といわれています。これに沿って事業への影響度が高い領域と、攻撃を受ける可能性が高い領域を整理していくと、どこから着手していくべきかが明確になっていきます。これをリスク中心のアプローチと呼んでいます。