一方で、セキュリティの強化は業務の利便性を阻害する懸念もあり、多くの企業にとって悩ましい課題となっている。KADOKAWAの夏野社長は「セキュリティレベルの向上と効率性は、バランスの問題がある。今後も最大のセキュリティレベルを確保しながら、ユーザビリティもきちんと維持していく」と話した。 　ウェブサービス事業を手がける会社の幹部は「権限のあるIDを窃取されるのは怖いが、侵入された後の被害拡大を防ぐために権限を制限しすぎると生産性が下がってしまう」と苦悩を語る。前出の杉浦氏によると、動かなくなるリスクを回避するために、重要なシステムほどソフトウェアをアップデートしない場合があるという。

■被害団体の半数は監査を実施せず 　利便性とのバランスを取りながら、どの程度までセキュリティ対策を強化すべきかを判断するには、サイバーセキュリティの専門家によるチェックも欠かせない。システムのエンジニアのみでは、企業全体に関わる意思決定ができない場合もあるからだ。 　KADOKAWAでは、今回の事件を踏まえ、社外の大手セキュリティ専門会社による助言とチェックを基にした再発防止対策を推進するという。 　警察庁の調査によると、2024年上半期にランサムウェア被害を受けた企業・団体で、適切な情報セキュリティ対策を講じているかを評価する外部・内部監査を実施していたのは回答のあった66件中11件にとどまり、約半数の34件は外部・内部を問わず監査を実施していなかった。

　KADOKAWAのような他社の事例に学ぶことも対策の1つだろう。TMI総合法律事務所の大井哲也弁護士は「一般論として過去の事件の調査報告書は参考になる。攻撃手法や再発防止策の詳細はぼかされているが、攻撃シナリオを見て、自社に同様の攻撃があった場合に、どの対策で防げるのかについてシミュレーションをすることも有効だ」と指摘する。 　サイバー攻撃による経営上のリスクを、多くの日本企業に知らしめた今回の事件。先例を教訓にして、危機感を持って備えを講じられるかが問われている。