侵害されたアカウントをいかに検知して対応するのか、という対策はまだまだ日本には浸透していない。
「業務を守るために、業務を止める」決断ができるか
先述した通り、日本企業はサイバー攻撃による業務停止を最も強く恐れている。
業務を止めることは、売り上げの減少や顧客への影響、現場の混乱を直ちに引き起こすため、経営として回避したい気持ちは理解できる。
しかし、サイバーセキュリティの文脈において、現実は次の二択に近づきつつある。
● 脆弱性のパッチを適用するために、計画的に数時間システムを止める
● ランサムウェア攻撃によって、意図せず数週間、あるいは数カ月にわたって止まる
前者は、停止のタイミングも範囲も事前に把握できる。影響を受ける業務を限定し、顧客や取引先への説明も準備できる。一方、後者はいつ起きるか分からず、どこまで影響が広がるかも制御できない。復旧のメドが立たないまま、現場は疲弊し、取引先や社会からの信頼も失われていく。
にもかかわらず、日本企業では「業務を止めてはいけない」という価値観が先に立ち、平時に止める判断を先送りするケースが後を絶たない。その結果、攻撃者に付け入る隙を与え、最も避けたかった“長期停止”を自ら招いてしまう。
日本企業が抱えている最大のリスクは、サイバー攻撃そのものではない。「短く業務を止める決断ができないこと」こそが、最も長く止まってしまう原因になっているのである。
ここで必要なのは、「レジリエンス」という抽象的な言葉ではない。平時にシステムを止めることを、経営として許容できるかという、極めて具体的な意思決定だ。
● 脆弱性対応のためのシステム停止を、経営が後押しできているか
● 「止める権限」を現場に与えているか
● 業務効率より安全性を優先できているか
これらは、IT部門やCISOだけでは決められない。経営陣のサイバーリテラシーそのものが問われている。
日本の取締役会が業務停止を最も恐れているという事実は、裏を返せば、止まることのインパクトを誰よりも理解しているということでもある。だからこそ発想を転換すべきだ。サイバー攻撃による業務停止を起こさせないために、普段から、計画的にシステムを止めることを許容する。
サイバーセキュリティは技術の問題ではない。「止めない経営」から「賢く止める経営」への転換――それこそが、これからの日本企業に求められる経営判断である。
