私はIT業界で20年以上働いているため、製造業や小売、流通、医療、ベンチャー企業から上場企業まで多岐にわたる業界の経営者の方とセキュリティについてディスカッションの経験があります。
会社ごとに固有の課題や業界共通の悩みなどセキュリティについての生の声をたくさん聞いてきました。経営層の方々と対話して、私が強く感じるのはサイバーセキュリティに対する認識が急速に変化しているということです。かつては「うちの会社には関係ない」と考えられていたサイバーセキュリティが、経営上の重要な課題として認識されています。
そして経営層の方々からよく聞く本音はこちらの4つです。
- 自社も攻撃対象になる可能性がある
- ITセキュリティの専門家が社内にいない
- セキュリティ対策と業務効率化のバランスが難しい
- セキュリティ投資にはお金をかけたくない
これらの声は企業の規模や業種を問わず共通しています。
本記事では私の20年以上にわたる企業との対話から得た経験を基に、この4つの本音について順を追って詳しく解説していきます。
自社も攻撃対象になる可能性がある
「以前はサイバーセキュリティなんて大企業の問題だ。うちのような中小企業が狙われるはずはないと思っていた。ただ同業の企業や取引先がランサムウェア攻撃を最近受けた。うちも何かしないといけないが具体的に何から手を付ければいいのかさっぱり分からない。」
今は業種や業界、会社規模に関係なくサイバー攻撃に狙われる時代です。
少し前までは「うちは中小企業だから狙われない!」という考えの経営層の方もいましたが、今はセキュリティの危機感が低い方は極めて少なくなりました。
ただサイバー攻撃のリスクを理解していても、「経営資源の中からどう優先順位をつけるのか?セキュリティ対策にどこまでコストをかけるべきか?」の判断基準があいまいな経営層の方は多々いらっしゃいます。
ITセキュリティの専門家が社内にいない
「IT部門は日々のシステム運用で手一杯。セキュリティまで手が回っていないのが現状だ。セキュリティの専門家を雇いたいが、採用しても技術の進歩が早すぎるので本当に即戦力になるのかが不透明。そもそもうちに応募してくれるかもあるが……」
IT部門に対してセキュリティ研修や資格取得支援をして社内で専門家育成をしている企業もあります。ただセキュリティ攻撃は日々進化しています。そのため、社員を育成してもどこまで戦力になるのかは不透明との声があります。
私の考えではセキュリティ対策を自社だけで運用するには限界があるので、「外部の専門家への委託」がベストだと思います。
サイバーセキュリティ対策の現状と目標のギャップ分析と必要な対策の整理で使われるNISTのサイバーセキュリティフレームワークでは、セキュリティ対策を『統治』『特定』『防御』『検知』『対応』『復旧』の6つの機能で示しています。
本記事ではNISTの解説は割愛しますが、要はセキュリティ対策で考えないといけない範囲は非常に広く、情報システム部門が通常業務と並行して対応していくのは難しいということです。餅は餅屋ではありませんがコンサルやベンダに自社の現状把握から伴奏してもらいながら整備していくことをお勧めします。
セキュリティ対策と業務効率化のバランスが難しい
「厳しいセキュリティ対策を導入すると、業務効率が落ちてしまい従業員から不満の声が上がる。生産性が落ちるのは目に見えているが、緩すぎると事故のリスクが高まるのでジレンマだ」
社内のPCでは特定のURLしか閲覧できない、メールは上長が内容を確認して承認しないと外部へ送信できない、月1回社内システムの各種パスワードを変更しないといけないなど、セキュリティ対策を厳しくすればするほど、業務効率が落ちる可能性が出てきます。
また生産部門や営業部門が強い企業ですとセキュリティ対策よりも生産性や営業効率が重視されるケースがあり、社内のパワーバランスが強く出てしまうことがあります。
バランスをとるためには定期的に従業員の声を聞きながらセキュリティポリシーを柔軟に考えて、経営層がセキュリティ対策と業務効率のバランスをどこに設定するかを示す必要があります。
セキュリティ投資にはお金をかけたくない
ここまでの解説で経営層は、
「セキュリティ事故はもはや対岸の火事ではない。対応するセキュリティ人材が必要で、業務効率とのバランスを考えて対策を打たないといけない」
と考えていることがお分かりいただけたのかと思います。
ただ経営層の最後の本音はこれらを覆すことになるのですが、
「とはいいつつも……お金はかけたくない」
これが経営層の本音でもあります。
保険的な性質のセキュリティ投資に対してどこまで『コスト』をかけるべきなのか、それよりも売上につながることに『コスト』をかけたいとの声を聞きます。
ただセキュリティ投資は『コスト』ではなく『事業継続のための必要投資』です。情報システム部門の方々はセキュリティリスクの危険性を認識していますので、セキュリティ対策に積極的に投資をしたくても、経営層がこの考えでは稟議が通らずやるべき対策が打てません。そしてセキュリティ事故が発生すると社内で矢面に立たされるのは情報システム部門で、経営層からは「なぜセキュリティ対策をしていなかったんだ!」と𠮟責されます……
経営層がセキュリティ対策を『コスト』と考えている段階では社内での推進は難しいです。
取引先や業界団体からの「セキュリティ対策を強化しないと取引に影響が出ますよ」の声がでないと経営層の考えは変わりません。
またあまりよくないケースですがセキュリティ事故が一度起きると経営層の考えは180度変わります。
- 抽象的だったセキュリティリスクを現実的なものとして認識
- セキュリティ事故後の復旧コストを認識。予防的投資の重要性を理解
- セキュリティ事故による法的責任とコンプライアンスの重要性を再認識
経営層はセキュリティ事故後、このような意識変化が起きて、セキュリティ投資に対して積極的な姿勢になります。本来はセキュリティ事故が起きる前に意識変化が起きるのが望ましいのですが……
まとめ
本記事では経営層の方々のサイバーセキュリティに関する本音を解説してきました。
セキュリティ対策は、『あったら良いもの』ではなく、ビジネスを継続するための『必須のもの』となっています。経営層には自社の状況に合わせた適切なセキュリティ戦略を立て、実行することを強くお勧めします。
またセキュリティ対策は経営層だけの話ではありません。社員全員が意識を高め、協力して取り組むことが成功の鍵となります。セキュリティ文化を醸成し、安全で強靭な組織になれば幸いです。