御社のサイバー攻撃対策は大丈夫？　経営者のための情報セキュリティチェックリスト

　まずは下のチェックリストを試してほしい。サイバー攻撃を防ぐための体制づくりから、被害を受けたときのシステム復旧法まで、情報セキュリティー対策の基本中の基本となる5項目を並べた。5つすべてにチェックが入らないと、御社の対策は心もとない。 【関連画像】（写真＝Pakin／stock.adobe.com） 　自分は勤務先の情報セキュリティー対策を把握しておらず、チェックを入れていいかどうか分からない。そんな声も聞こえてきそうだ。あなたが一般社員ならいざ知らず、もしも会社を経営する立場なら、それはまずい。 　サイバー攻撃は、1回の被害で会社を傾かせることも可能な、深刻な経営リスクだ。経営者であれば当事者意識を持って真剣に対処すべき課題である。「私はIT（情報技術）が苦手だ。わが社の情報セキュリティー対策がどうなっているのか知らない」では済まされない。 　しかし残念ながら、多くの経営者は、サイバーリスクをあまり深刻にとらえようとしてこなかった。 　飲料メーカーに勤める情報セキュリティー担当者の嘉門有馬氏（仮名）は、そう実感している。インタビュー中にやりきれない胸中を吐露した。 　「私は会社をサイバー攻撃から守るために、以前からウイルス検知装置の購入を上司にお願いしていた。しかし会社は予算を与えてくれなかった」 　そのとき、経営者はこう考えたに違いない。サイバー攻撃のリスクが高いことを認めると、情報セキュリティー対策にもっと多くのコストをかけねばならず、会社の収益が圧迫される──。経営者にとっては、「サイバー攻撃に備える必要がある」という嘉門氏の訴えは、できれば目をつぶりたい「不都合な真実」だった。 　何かしらの被害が予想されるのに、人は「まだ大丈夫」「それほど深刻ではない」などとリスクを過小評価することで、不都合な真実から目をそらしがちだ。そんな心の特性を心理学用語で「正常性バイアス」という。 　人はあらゆるリスクに反応していたら、心が疲弊してしまう。健康な日常生活を送るためにも、正常性バイアスを働かせて、ある程度鈍感になる必要がある。 　ところが時として正常性バイアスは、航空機事故から火事の逃げ遅れまで、様々な惨事の原因となってきた。嘉門氏が勤める飲料メーカーでも結局、身代金要求型ウイルス「ランサムウエア」にシステムが感染し、重要なデータを破壊された。嘉門氏が購入を提案していたウイルス検知装置があれば、防げた被害であった。