最大のリスクは
トップの理解不足

 セキュリティー対策の必要性は以前から指摘されているが、重要情報の流出をはじめとする事件事故が相変わらず続いている。その原因の一つとして挙げられるのが、情報の重要性に対する経営者の意識の低さだ。

 例えば、製造や販売、物流など多数の企業で構成されるサプライチェーン。「ウチの会社は下請けとして部品を供給するだけだから、狙われるような重要情報はない」と考える経営者もいるかもしれない。

 だが、これまでにも、対策が手薄な企業への攻撃を突破口に、大企業の機密情報が窃取された例は少なくない。そういった場合、攻撃のきっかけをつくってしまった企業は取引停止を余儀なくされ、サプライチェーンからの離脱で事業継続が困難になったり、企業の社会的評価が低下したりすることになる。セキュリティー対策の不備が、経営の危機に直結してしまうのだ。

セキュリティーに関する
現場と経営層のギャップ

 多くの経営者にとって、セキュリティー対策の必要性はそれこそ、「耳にたこ」ができるほど聞かされてきたはずだ。それでも効果的な対策が進まないのはなぜだろうか。

 サイバーセキュリティーに関する経営層や企業の動向について興味深い調査結果がある。情報処理推進機構が3月に発表した「企業のCISO等やセキュリティ対策推進に関する実態調査報告書」だ。CISOとは、情報セキュリティー統括責任者のことで、設置している企業はセキュリティー対策にも力を入れているはずだが、図のような調査結果が示されている。

 サイバーセキュリティーに関する課題として、「リスクの見える化が困難」「インシデント発生に備えた準備が不十分」「セキュリティ対策が場当たり的」といった、対策上の問題が上位に挙げられている。

 その一方、「経営とセキュリティの両方を理解している人材がいない」「セキュリティの取組が企業価値の向上につながると認識されていない」「経営層のリスク感度が低い」「経営層にITやセキュリティの重要性を理解してもらえない」といった経営層に関わる課題が指摘されている(図の青文字部分)。

 また、同調査報告書では、経営層が果たすべき役割として、サイバーセキュリティーに対する人材の育成・確保に加えて、投資・対策を進める際に、自社ビジネスへの影響度を把握した上で意思決定を行うことを挙げている。

 自社の何を守り、事業をどう発展させ、社会に貢献するか。セキュリティー対策は経営課題であり、その推進は経営者の責務であることを肝に銘じたい。