ダイヤモンド社のビジネス情報サイト
サイバーセキュリティ2020

経営者は、セキュリティ管理者を責めてはいけない

プライスウォーターハウスクーパース
【第1回】 2015年9月1日
著者・コラム紹介バックナンバー
previous page
3

稀少で貴重な人材を大切にしよう

 サイバー攻撃が年々深刻化している状況において、企業におけるセキュリティ管理者の役割は、今後ますます重要になっていくだろう。セキュリティ管理者は、経営者の側近としてリスク管理を支援する役割でなければならないのと同時に、経営者は、セキュリティ管理者にとっての最大の理解者であり、支援者でなければならない。

 双方向の信頼関係を強固なものにするためには、いつでも直接対話ができる風通しのよいコミュニケーション環境を構築する必要があるだろう。有能なセキュリティ管理者は、経営者が耳にしたくない「企業の問題点」をも積極的に報告する。それが経営者にとって重大なリスクだと知っているからだ。

 経営者の皆さんには、組織のセキュリティ管理者に尋ねてみてほしい。

 「うちのサイバーセキュリティ対策は大丈夫なのか?」と聞いて、もし「大丈夫です。問題ありません」という回答が返ってきたら危険信号だ。おそらく、セキュリティ管理者が何かを隠しているか、検知能力が低くて攻撃されていることに気付いていないか、のどちらかだ。

 経営者がセキュリティ管理者に任せっきりでサイバーセキュリティに無関心だったり、インシデント発生時に、セキュリティ管理者の責任論で片付けてしまうようなことがあれば、優秀なセキュリティ管理者は、その企業に居つかないだろう。プラスの評価がされることなく、何か起きた時だけマイナスの評価がされるような企業なら、当然、セキュリティ管理者の成り手を失う。

 海外では、すでにセキュリティ人材の引き抜き合戦が活発だ。国内でも、待遇の良い金融業界に他の業界から人材が流れる傾向がある。セキュリティ人材の絶対数が不足しており、育成が追いついていないのは明らかだ。

本稿のまとめ
現代のサイバー攻撃に向き合い経営者が知るべきことは、以下の点である。

(1)企業がサイバー攻撃を受けたからと言って、必ずしもセキュリティ管理者の怠慢というわけではない。サイバー攻撃を受けることを前提として考えるべき。
(2)世界におけるサイバー攻撃被害額の増加率が26%だったのに比べ、企業のセキュリティ投資額の増加率は4%に留まっている。対策が追い付いていない。
(3)経営者が率先して投資すべきセキュリティ領域は、サイバー攻撃を受けることを前提とした対策。「SOC」、「CSIRT」、「ISAC」等。
(4)セキュリティ管理者は経営者を救う存在であり、直接対話ができるコミュニケーション環境を構築すべきである。

 

previous page
3
IT&ビジネス
クチコミ・コメント

facebookもチェック

サイバーセキュリティ2020

近年、世界中でサイバー攻撃の深刻さが増しており、新聞やニュースでも関連記事を目にしない日がない。もはやサイバーセキュリティ対策は、IT部門の問題ではなく、経営の問題にほかならない。本連載は、サイバー攻撃に向き合う企業経営者に向けて、プライスウォーターハウスクーパース(PwC)のサイバーセキュリティコンサルタントが、全10回にわたってお届けする。

「サイバーセキュリティ2020」

⇒バックナンバー一覧