経営者、管理者の役割とは?
まずはサイバーセキュリティに関心を持つ

 情報セキュリティは、経営問題だということを踏まえた上で、経営者や責任者にはどのような態度が求められるのか。

 大企業や政府・自治体等では、サイバーセキュリティ関連役職「CISO(Chief Information Security Officer)」に就く人が、他の役職を兼務している何の知識もない「あて職」であるケースが多い。そして、サイバーセキュリティのことはよく分からないが、予算獲得には高位の人が望ましいと言われることも少なくない。

 実際、CISOやCIO(システム部門長)が、「何も知らない」ことを自慢しているという話をよく聞く。知らないことがなぜ自慢になるのだろうか? なぜ、部下に相談したり、社外で話を聞いたりしないのだろうか?

 かつて、大企業で、営業と人事しか経験がないにもかかわらず、システムの一部門の管理者になった部長がいた。システム部門長会議後に、「この部分がよく理解できない。分かりやすく教えてくれ」と私に尋ねてきた。当然ながら、説明する側には誰でも分かるような説明が求められる。

 ある大企業のCEOが、1月に韓国で大規模なシステム障害の発生[2]をTVの報道で知り、自社のシステム担当役員に「当社は問題がないか?」と電話で尋ねたところ、担当役員は担当課長に同じ質問をしたという。 担当課長は、「当社のネットワークでは昨年8月に対応し、正常に稼働しています」と回答し、担当役員からCEOにこの情報が返された。

 CEOがシステムやネットワークに詳しくなくても、この問題に関心・興味を持ってくれたことに、担当課長以下、担当者は非常に感激したと語っていた。

 サイバーセキュリティが企業経営に大きな影響を及ぼす、あるいは問題が起これば経営者が退任に追い込まれるケースもある。それを考えると、最低でも経営者にはサイバーセキュリティへの興味・関心を持つことが求められ、それが被害を防ぐ第一歩になるだろう。

(情報セキュリティ大学院大学名誉教授 内田勝也)

【参考文献】
[1] ZDNet Japan「『WannaCry』被害の英病院、パッチ適用の警告を無視していた」
[2] atmarkit「SQLワーム被害に『人災だ』の声、日本での影響は軽微」