日本型組織へのランサムウェア攻撃 対処へ4つの課題
【コストの壁】セキュリティー投資への消極性
日本型組織では、セキュリティー投資を「コストセンター」(コストはかかるが利益を生まない部門)と捉える傾向が依然として強い。ある大手企業では、年間10億円規模のセキュリティー投資提案が「過大」として却下され、結果的にその3倍以上の損害を被ったケースがある。一方、米国企業ではセキュリティーを「ビジネスイネーブラー」(ビジネスを成長させるために必要なインフラ基盤)として捉え、積極的な投資を行う傾向がある。
【ローテーションの壁】専門性の軽視
日本企業に根強いジョブローテーション(定期的な配置転換)制度は、セキュリティー分野での専門家育成を阻害している。ある電機メーカーでは、セキュリティーチームのリーダーが2年ごとに交代し、専門性の蓄積が困難になっているケースがある。対照的に、米国のIT企業では、最高情報セキュリティー責任者(CISO)が10年以上その職に就き、経営層と対等に渡り合える専門性を持つ事例が見られる。
【沈黙の壁】情報開示への躊躇(ちゅうちょ)
「詳細が分かるまで公表したくない」という姿勢は、日本企業に広く見られる。しかし、この慎重すぎるアプローチが、かえって状況を悪化させることがある。ある金融機関では、初動の遅れから顧客情報漏えいが拡大し、当初想定の10倍以上の補償コストが発生した事例がある。
組織トップ層が積極的な行動を取れ
日本企業のサイバーセキュリティー対応力は確実に向上している。しかし、サイバー攻撃の進化は、組織の変革速度をはるかに上回っている現状がある。 日本型組織が抱える課題は、一朝一夕には解決できないかもしれない。しかし、独自の強みを生かし、国内外の「最適解」を柔軟に取り入れることで、世界に誇れるサイバーレジリエンス(回復性)を構築することができると確信している。 ここで重要なのは、意思決定者ら組織トップ層の積極的な関与である。サイバーセキュリティーは、もはやIT部門だけの問題に留まらず、組織全体にとっての経営課題となっている。 この課題に対処するためには、以下の5つの要素に注力することが求められる。 ・戦略的位置づけの明確化 ・リソース(資源)配分の最適化 ・リスク管理の統合 ・企業文化の改革促進 ・ステークホルダー(利害関係者)の信頼獲得 トップ層のリーダーシップが、組織の未来を大きく左右する。今こそ、果敢な行動が必要である。
【Profile】
名和 利男 サイバーディフェンス研究所専務理事/上級分析官。専門分野であるインシデントハンドリングの経験と実績を生かして、CSIRT構築およびサイバー演習の国内第一人者として支援サービスを提供している。現在サイバーインテリジェンスやアクティブディフェンスに関する活動を強化中。