アサヒ､アスクルは対岸の火事ではない！《｢国家×犯罪｣連合が日本企業を襲う》 地政学的サイバー攻撃で見えたセキュリティ後回しの"ツケ"

さらに、インシデント時に誰がネットワーク隔離の判断を行うのかという体制も重要だ。権限や指揮命令系統が明確でなければ、迅速な対応は不可能である。

経営関与が成熟度を高める

この1カ月で経営層のセキュリティ意識が高まったのを感じる。朗報なのは、経営層の関与が大きいほど企業のセキュリティ成熟度が高まる、という調査結果が示されている点である。逆に、経営から切り離された情報システム部門だけにセキュリティを委ねる構造では、迅速かつ戦略的な対応は期待できない。

日本のCISOの設置率は他国に比べて低い（画像：筆者提供）

しかし日本では、経営層がCISO（Chief Information Security Officer）を専任として置く割合はわずか2.5%にすぎない。兼務を含めても30%程度である。対照的に、米国では71%以上、オーストラリアでは67%近くの企業が経営層をCISOに任命しており、この差がそのまま危機対応力の差につながっている。

非経営層がセキュリティを牽引する場合、経営判断を伴う迅速な意思決定が難しい。結果として、インシデント発生時の対応が遅れ、再発防止策も形式的なものに終わるリスクが高まる。

セキュリティ担当役員や要員の地位向上も急務である一方で、CISOやセキュリティ担当者の「燃え尽き症候群」が世界的に深刻化している。プルーフポイントの調査「2025 Voice of the CISO」によると、過去1年間に燃え尽きを経験したCISOは63%に達するとの報告もある。

インシデントが起きなければ評価されず、発生すれば責任を問われる——そんな構造が彼らを追い詰めている。経営陣には、セキュリティ担当者の心身のケアやキャリアパスの明確化、組織としての支援体制の整備が求められる。

サイバーセキュリティは、もはやIT部門の課題ではない。経営の意思と文化が問われる経営責任そのものである。

安全を犠牲にした効率追求の時代は終わった。これからの日本企業に求められるのは、「業務を守るために業務を止める勇気」だ。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、増田 幸美さんの最新記事をメールでお知らせします。