例えば、情報を暗号化し、元に戻すためには身代金を要求する「ランサムウェア」に攻撃されれば、セキュリティ技術で完全に防ぐことは難しい。身代金を払わなければ、最悪、業務遂行が不可能になり、取引先との関係の継続が不可能になれば、最悪、倒産に至る可能性もある。
では、こうした情報セキュリティ対策の最前線には、社内の誰が立つべきなのか。多くの企業でセキュリティ対策を担うことが多い情報システム部門は、実のところ、適任ではない。情報システムの最適化を図ることと情報セキュリティの確保は、本来、利益相反の関係にあるからだ。
しかも、従来の情報システム関連機器以外の機器、すなわち、IoT機器やIP電話、工場や研究所等の機器の多くは、情報システム部門で対応できないこともある。
また情報セキュリティの対応すべき範囲は、企業の行動全体に及んでいる。したがって、情報セキュリティ対策は、経営管理や人事総務部門の業務(監査やコンプライアンス等)と考えるべきである。
2017年5月に発生したランサムウェア「WannaCry(ワナクライ)」による被害が、イギリスに236あるNHS Trust病院のおよそ3分の1で発生した。事前の警告を多くの病院が無視したことが原因とされている[1]。
従来、セキュリティ部門もオフィス機器のセキュリティ対策は考えるが、工場内の機器や病院、研究所等の設置機器は、期限切れのソフトウェアが導入され、外部ネットワークへの接続も気づかず、被害にあう。過去にも、米国で銀行のATMがウイルス感染し、機能停止したことがあった。
