近年、世界中でサイバー攻撃の深刻さが増しており、新聞やニュースでも関連記事を目にしない日がない。サイバー攻撃に関する記事には、攻撃手法の解説等、技術的な内容を論じるものが多いが、もはやサイバーセキュリティ対策は、IT部門の問題ではなく、経営問題にほかならない。経営者はサイバー攻撃にどう立ち向かうべきか。プライスウォーターハウスクーパースのサイバーセキュリティコンサルタントが、全10回(予定)にわたってお届けする。

 第1回目の本稿では、「現代のサイバー攻撃に向き合う経営者が知るべきこと」に関して、特に社内における立ち振る舞いのあり方について、山本直樹・プライスウォーターハウスクーパース パートナーが解説する。

インシデント発生時こそ
経営者の器量が問われる

経営者は、セキュリティ管理者を責めてはいけない山本直樹(やまもと・なおき)プライスウォーターハウスクーパース パートナー/APAサイバーセキュリティ・リーダーシップチーム・メンバー/日本におけるサイバーセキュリティ・アンド・プライバシー・ソリューション・リーダー。金融機関や大手製造業などに対して、サイバーセキュリティ、ITガバナンス、アイデンティティ管理、事業継続管理等、幅広い分野のサービスを提供。また過去には、外資系企業日本法人の情報セキュリティ統括責任者としての実務経験も持つ。

 企業がひとたびサイバー攻撃を受けて大規模な情報漏洩が発生したりすれば、企業のトップは記者会見で頭を下げることになりかねない。経営者にとって、事件発生時のマスコミ対応ほど気が進まない役回りはないだろう。心の中で、「おいおい。うちのセキュリティ管理者は、一体何をしていたんだ?」と思ってしまうのは無理もない。

 経営者は、対外的には、顧客や株主の心情を考慮しながら、マスコミの矢面に立って謝罪しなければならない立場である。しかし、マスコミに激しく攻めたれられた勢いをそのまま社内に持ち込んで、部下であるセキュリティ管理者を厳しく叱責してしまうと、物事が悪い方向に転がり始める。経営者は、「俺の顔に泥を塗りやがって…」と内心穏やかでないだろうが、そこはぐっと堪えなければならない。

なぜ、セキュリティ管理者を
責めてはならないのか?

 現代のサイバー攻撃に関して、経営者が知るべきことの一つ目は、企業がサイバー攻撃を受けたからといって、必ずしもセキュリティ管理が甘かったわけではないということだ。

 もちろん、セキュリティ管理者が何もしていなければ、非難されても仕方がないのだが、専任のセキュリティ管理者を任命しているような企業であれば、一般的に考えられるセキュリティ対策は一通り講じている場合が多い。職務を全うしているセキュリティ管理者が責められたら、立つ瀬がないというものだ。