IoTやAIなどがビジネスに活用されるデジタル時代を迎えている一方、足元では機密情報漏えいや情報改ざんなどサイバー攻撃のリスクは高まるばかりだ。こうした中、日本企業では次々と持ち込まれる新たな脅威情報に煽られた、対処療法的なセキュリティ投資が横行している。だが、セキュリティへの投資には自ずと限界があり、やみくもに対策を講じるのは賢明ではない。日本企業に今求められるのは、自社のセキュリティリスクとウィークポイントを見極め、効果的なセキュリティ構造の設計と投資判断を行う「セキュリティ企画機能」だ。戦略とITの両面から、2人の専門家が語る。

“ホラーストーリー”に煽られた
経営陣の意思なきセキュリティ投資が横行

――日本企業のサイバーセキュリティ対策は今、どのような課題を抱えているのでしょうか。

太田陽介
アクセンチュア 戦略コンサルティング本部
サプライチェーン&オペレーション戦略
(COOアジェンダ)日本統括
マネジング・ディレクター

アクセンチュア入社後、テクノロジー部門を経て現職。製造業・ハイテクなど複数産業、また国内外でのサプライチェーン企画・設計を多数歴任。サプライチェーン以外にも生産、調達、R&DなどCOOのアジェンダを広くカバーする経験を有し、ビジネスモデル変革からそれに応じた機能設計までを一貫整合して実施するスタイルで定評を得ている。

太田 サイバーセキュリティに対する脅威は、「ITの問題ではなく、ビジネス全体にインパクトを与える重要な問題である」という点については、日本においても共通認識になってきました。しかし、そのリスクをどのようにマネージしていくかを考える組織が自社内になく、人材も不足しているというのが多くの日本企業の現状です。

 その結果、セキュリティ製品メーカーから次々と持ち込まれる新たな脅威情報、我々は「ホラーストーリー」と呼んでいますが、これに煽られた、経営陣の意思なきセキュリティ投資が横行しているように見受けられます。こうした企業の場合、機器やソリューションの断片的な導入に終始しているため、実際に自社のセキュリティ能力を高める結果につながっているかどうかは不明瞭なままです。

 このようにホラーストーリーに乗っていたずらに投資を増やすべきではありませんが、かといって聞く耳を持たず、セキュリティリスクから目を背け続けるのはもっと問題です。

市川 以前はサイバーインシデント(重大な事故)が起きると、その企業の株価が急落して、Enterprise Value(企業の現在価値)も下がりました。しかし、最近のインシデント後の株価を見ているとほとんど反応がないケースもあります。世の中が顧客情報の漏えいに慣れてしまったのかもしれません。「インシデントが起きても自社のビジネスに実質大きなダメージはないだろう…」と、企業がセキュリティ対策に消極的になってしまうことが心配です。

太田 もちろん、単純に株価への影響度だけでセキュリティ投資の多寡を判断すべきではありません。盗まれたパスワードが他社への一斉型攻撃に使われるケースもあります。顧客の信頼を失わないように業界全体で話し合い、最適なセキュリティ投資を行っていこうといった議論も必要だと思います。

市川 セキュリティに対する責任のあり方にも課題があります。よくあるのは、ITを束ねている情報システム部長がCISO(最高情報セキュリティ責任者)を兼任しているケース。こうした企業では、脅威の有無やマルウェアに感染した端末の検出などについて診断・報告するセキュリティ・アセスメントを提案しても、大抵はいい顔をされません。アセスメントを実施して、自分の守備範囲であるIT領域にボロが出てしまったら立場が危うくなると考えるからでしょう。結局、大きなインシデントが発生して初めて脆弱性が露見することになってしまいます。

 対して、CISOがしっかり機能している企業では、セキュリティの不備を見つけて改善することがCISO自身の存在意義と捉えられているため、脆弱性診断や侵害調査などの提案を持ちかけると、熱心に耳を傾けてもらえることが多い。CISOがミッションとして本気でセキュリティと向き合っていることが伝わってきます。