経営者が指示すべきは、目先のリスク対策ではない
山中氏は、日本企業の情報セキュリティ対策について、「新たな手口のサイバー攻撃が報道されると、ひとまずそれに対処することに躍起になるケースが多いようですが、対症療法では全く意味がありません。どんなマルウエア(悪意あるソフトウェアやプログラム)が襲ってきたとしても、被害を最小限に食い止め、早期に事業を復旧できるように、体制構築を図っておくことが大切です」とアドバイスする。
攻撃者たちは、常に思いもよらない斬新な手口を生み出しており、それを完璧に食い止めるのは、どんなに優秀なエンジニアでも不可能に近い。
「社内の情報システム担当者の力量では、とても手に負えないといっていいでしょう。経営者がすべきことは、新しい手口が流行するたびに小手先の対策を指示するのではなく、日頃から有効な情報セキュリティ体制をしっかりと固め、能動的に対処、回復できる仕組みを整えておくことです」
その際、「経営者には、『企業はなぜ存在するのか』という根本的な問い掛けに基づいて体制づくりを考えていただきたい」と山中氏は語る。
「企業の存在理由は、株主に利益を還元すると同時に、社員や顧客、社会全体の利益に貢献することです。その存在意義を発揮するためには、売り上げを伸ばし、持続的に利益を増やしていかなければなりません。だからこそ、新たな製品やサービスを生み出し、生産体制やサプライチェーンを改善しながら、効率よくマーケットに投入しようとするわけです。情報セキュリティ対策も、同じ考え方に沿って進めるべきです」
サイバー攻撃によって生産や供給が止まれば、株主や社会への利益還元という存在意義そのものが失われてしまうのだから、新たな設備投資をしたり、工場の稼働率を上げたりするのと同じように、情報セキュリティ対策も重要な経営アジェンダの一つと認識して意思決定することが大切なのだ。
「どんなウイルス対策ソフトを入れるとか、システムやネットワークをどのように改善するかといった細かいことは、各部門に権限委譲すべきです。工場の稼働率を上げることを指示しても、そのためにどんな設備を入れるのかという細かいところまで経営者が注文を付けることはないはずです。同じように情報セキュリティ対策についても、大きな枠組みや方向性を定めた上で、それに沿った取り組みを各部門に実践させることです」
