サイバー攻撃の脅威を知らない人はいないでしょう。でも、それがどんなものなのか、自社にどんな被害をもたらすのか、イメージができていない。率直に言って、本当の危機感を持っている経営者はわずかにしかいないのではないでしょうか。

 サイバー攻撃の脅威についての理解を広げるのに苦労しているのは日本だけではありません。例えば米国では、担当機関が連邦政府の関係部署や州政府などに何百ページというマニュアルを作成して配布してきましたが、なかなか浸透しませんでした。

――そうした厳しい状況をどうやって変えてきたのでしょうか。

 キーワードは「ストーリーテリング」です。米国では、最近のアニメのショートムービーを制作して活用しはじめています。1本あたり10分から20分の動画をスマートフォンで見るだけで、サイバー攻撃の脅威や対応マニュアルが理解できるようにしたのです。この取り組みは今、他の国々で広がり始めています。

保身のために事実を隠蔽、そんな企業に未来はない

――そうした取り組みで日本の現状も変わるでしょうか。

 今や、ランサムウェア攻撃が発生しない日はありません。でも、サイバーセキュリティの専門会社に「どうにかしてほしい」と駆け込んでくることが多くなっていますが、インシデント発生から時間が経っていることがしばしばです。発生直後の初動を社内対応でなんとかしようとしてできず、ベンダーを呼んでもどうにもならず、社内の関係する部門長と合意をしてから初めて外部専門家に委託するという流れになることがあります。

 驚くべきことに、そこまで追い込まれていてなお、自部門の保身や他部門への責任転嫁に走ったり、外部専門家に事実とは異なる説明をされたりすることがあります。その理由や背景はさまざまですが、社内の利害関係が非常に複雑であるケースや、社内特有の既定路線に沿って物事を進めなければならないという事情などが見受けられます。

 もうそんなことをしている場合ではありません。迅速に対処し顧客や投資家の利益を守らないと、事業継続も困難になる可能性が高まります。まず経営トップが「彼」と「己」を知ることで適切な危機感を持ち、サイバーセキュリティーに関する行動指針を定めて対策を進めないと、最低限の防御さえできず、全てのステークホルダーを危険にさらすことになる。不作為のリスクを理解すべきです。