企業規模を問わず、中長期経営計画を立てない経営者はまずいないだろう。達成すべき目標が明確になってこそ、必要な事業戦略も見えてくる。実は、情報セキュリティ対策も同様である。サイバー攻撃に対抗し、投資対効果を高めるためには、場当たり的な個別対策ではなく、事業の中にセキュリティを組み込み、対策をうまく連携させながら全体最適の仕組みをデザインする必要がある。

セキュリティ意識の低い経営者は
大きなビジネスリスク

 多くの企業が情報セキュリティ対策を講じているにもかかわらず、機密情報や顧客情報などを盗まれる被害が後を絶たない。こうしたサイバー攻撃は、最近特に巧妙化・悪質化してきている。

図1 サイバー攻撃の脅威が増す背景
拡大画像表示

 サイバー攻撃が激化している背景の一つに、実は世界的な経済格差の問題がある(図1)。豊富な資金力を持ち、最先端の技術力やマーケティング力を駆使してグローバルでシェアを拡大する組織がある一方、資金力や技術力で劣る組織は市場への新規参入が難しく、経済的な格差が広がっているのだ。競争力で太刀打ちできない組織の中から、「実力行使」とばかりに、ライバル企業の機密情報を盗み取ったり、知的財産を侵害したり、といった行動を選択するところが出てくる。

 一方、インターネットをはじめとする情報技術の進化の恩恵は、地域や経済の格差に関係なく一様に受けられる。悪意のある組織や人間にとってサイバー攻撃が比較的容易に行えるということも、サイバー攻撃激化の要因と言えるだろう。

 攻撃者の手口がより巧妙で複雑になる一方、企業経営者のセキュリティ意識はどうだろうか。「念のために対策を講じる」「他がやるから、わが社もやらざるを得ない」といった消極的な姿勢はないだろうか。そのような経営者の意識の低さが、いまや大きなビジネスリスクになると言っても過言ではない。

 鉱山会社のダイヤモンド採掘事業を例にセキュリティのあり方を考えてみよう。いくら採掘技術が優れていたとしても、採掘場から加工工場への安全な輸送手段(=セキュリティ対策)が考慮されていなければ、輸送中に盗難被害に遭うリスクが高くなり、事業成立が危うくなる。

「企業の情報も同じです。顧客情報をはじめ、企業が保有するビジネス情報は重要な資産そのものであり、ダイヤモンドやキャッシュと同様の価値があります。ビジネスプロセスの中にセキュリティを組み込まなければ、事業が成り立たないことを、経営者は理解する必要があります」とマカフィーの三好一久氏は指摘する。

 日本の多くの企業では、情報セキュリティ対策は場当たり的に個別製品を導入するだけで、事業に応じた中長期的な計画に基づくセキュリティ対策ができていないのが実情だという。その結果、対策が後手に回り、ビジネスを脅かすセキュリティリスクが高くなるだけでなく、投資の無駄を招くことになる。こうした状況を解消し、事業に沿ったセキュリティの全体最適化を進めるにはどうすればいいのだろうか。

 海外企業ではすでにさまざまな取り組みが進められている。IT予算の削減、スタッフの人員不足といった現象は海外でも同じだ。そんな中でも、オーストラリアの電力供給会社は社内システムの潜在的な脅威を早期に発見・分析する仕組みを構築し、逆にセキュリティガバナンスを強化している。アメリカのある自治体は、脅威の程度を可視化することで、限られた予算でも有効なセキュリティ体制を構築している。

この記事の続きと、本文で紹介した
事例の詳細が以下から
PDFをダウンロードして
お読みいただけます。