その結果、多くの日本企業はセキュリティ対策の大部分をセキュリティベンダーへアウトソースする道を選んできた。しかし、これこそが、日本企業特有の脆弱性を生む要因となっている。
セキュリティ業務をベンダーに委託すること自体は、リソース活用の観点から合理的な選択肢の1つである。しかし、問題は「自社に判断基準を持たない丸投げ」の状態に陥り、「ビジネスへの影響を考慮したリスクベースでの対策」が機能しなくなることにある。
例えば、Webの脆弱性診断で問題が見つかったとしよう。サイト管理を委託しているベンダーに修正を依頼する際、契約外の作業を無償で強要すれば、コンプライアンス上の問題が生じかねない。そのため、追加費用を支払って対応してもらうことになる。
するとベンダー側にとっては、修正作業そのものが「売上」となる。その結果、リスクの低い軽微な脆弱性であっても、利益を優先して、言われるがままに修正作業を受託するケースも少なくない。
「リスクベース対策」が機能していない日本
しかし、サイバーセキュリティの本質は、単にシステムを防御することではない。「自社のどの事業継続が最優先か」「どのデータが流出した際に最も経営ダメージが大きいか」というビジネスの文脈に基づいたリスク判断を行い、限られた予算とリソースを最適に配分することにある。
ベンダーは技術的な脆弱性を塞ぐプロであるが、自社の「どの業務が止まると致命傷になるか」という経営判断の機微までは肩代わりできない。自社内にビジネスとセキュリティの両方を理解し、ベンダーをコントロールできる人材がいなければ、形式的な対策は整っても、真の「急所」が守られないまま放置されるリスクがあるのだ。
こうした観点での「リスクベース対策」が機能していない何よりの証左は、多額の予算が投じられているにもかかわらず、いまだにビジネスが長期間にわたって停止するといったサイバー被害が後を絶たないという現実にある。
次ページが続きます:
【生成AIの急速な普及がもたらした影響とは?】
