中堅・中小企業が大手企業との取引を行う際、これまではISO27001の認証を取得していれば「ひとまず問題なし」とされてきました。しかし、実際には、多くの企業がISO認証取得のためだけの“形だけのセキュリティ対策”に留まり、実体との乖離が深刻になっています。経営者が本当に安心できる対策とは何か?本連載では、藤田哲矢・インフォセックアドバイザリー代表取締役の新刊『取引先から信頼される 日本発サイバーセキュリティ基準』より抜粋し、企業の実情に合った取り組み方をわかりやすく解説します(全3回中の第1回)。
形式上のISMS取得
低くなった“言語の壁”
2025年9月に発生したアサヒグループホールディングスへのランサムウエアの攻撃では、自社はもちろんのこと、共同配送を実施していた同業他社にまで影響が出た。
10月には通販大手のアスクルでもランサムウエアによるシステム障害が発生し、受注や出荷を停止。アスクルの子会社に配送を委託していた、無印良品やロフト、そごう・西武などのネット通販にもその影響は及んだ。
「ウチの会社は大丈夫か?」――。
セキュリティに関するニュースや同業他社のインシデントを知って不安を感じた経営層は、こうした質問をすることがある。しかし、「セキュリティ対策の費用対効果」や「自社の取り組みの妥当性」などを納得してもらえるように説明することは難しい。
セキュリティに対する経営層の認識不足を如実に表しているのが、「ISO認証への偏重」である。ISOはグローバルで通用する国際規格だが、情報セキュリティの分野ではISO/IEC27001がある。通称のISMS(情報セキュリティマネジメントシステム)で呼ばれることも多い。
日本の公共機関や民間企業では、調達の際にISMS認証の取得を条件としているケースが多く、「ISMS認証を取得・維持していることが、セキュリティが万全なことの証」と受け止めている経営層も多い。しかし、認証を取得したにもかかわらず、セキュリティが強化できているのか不安になる企業は少なくない。
たとえば、ISMS認証の更新のためには、毎年、PCやサーバーに保管しているデータなどの情報管理資産台帳を作成しなければいけないが、それが毎年の“恒例行事”と化して、認証の更新が目的になっている企業が少なくない。「手段の目的化」である。
中には、通常使用している台帳とは別にISMS専用の台帳を用意している本末転倒な例も見聞きする。
国際標準化機構が毎年発表している「ISOサーベイ」の2023年版によると、ISMS認証取得数が最も多い国は日本である。件数は、5599に上り、2位の中国の4108を大きく引き離す。一方、欧米諸国の取得数は、イギリスこそ3630と多めだが、IT大国のアメリカは1898、ドイツは1563しか取得していない。
だが、アメリカやドイツの企業はセキュリティ体制が脆弱で、サイバー攻撃の被害が顕著に多いわけではない。実は、そうした国の企業や組織は、ISMSだけでなく、他のセキュリティガイドラインを併用したり、独自の基準を設けたりして、セキュリティを担保しているのだ。
一方で、日本企業はセキュリティ強化を担当するCISO(Chief Information Security Officer)の設置率や、セキュリティ関連の投資額などで、欧米企業に大きく後れを取っている。
従来、日本は言語の違いから、サイバー攻撃の対象になりづらいとされてきたが、自動翻訳の精度が上がったこともあって“言語の壁”は低くなりつつある。
