セキュリティ対策を、経営者自身のアクションに

 もちろん、サイバーセキュリティがいかに重要であるといっても、セキュア品質とビジネスとしての競争力を両立するには、コストの観点を無視することはできない。見据えるべき深さも幅も拡大する中で完璧を求めればコストだけが無限にかさむことになり、経営視点がないまま従来のIT部門の予算内だけで対応しようとすれば、攻めの対策は到底おぼつかないだろう。

 こうした迷走を避けるために重要なことは、サイバーセキュリティを事業価値創出のための「投資」として正式に経営アジェンダに位置付け、経営者が責任を持って推進できる体制を構築することだ。そうして初めて、新規事業の立ち上げや、製品やサービスの企画・設計段階からセキュリティリスクの洗い出しと対策を機能と価格に織り込んでいく「セキュリティ・バイ・デザイン」の実践が可能になるのだ。

 セキュリティ・バイ・デザインの立案においては、被害者視点から加害者視点へ、リスクの捉え方を180度転換する必要がある。自社を被害者としてしか想定しないのであれば、リスクの把握も、その対策の検討も「自社が許容できるかどうか」という主観的な価値観だけで行えばよいが、加害者になることを想定するならそれは許されない。客観性に基づいたステークホルダーへの説明責任が求められるからだ。

 こうした取り組みを丁寧に行うことは、企業の強みにもなる。ステークホルダーを不用意に加害しないための「安全なdX」の推進を経営上の重要課題として織り込み、適切な情報発信を通じて説明責任を果たすことは、企業全体のガバナンスの向上、ひいては経営品質の向上をもたらすからである。

 以上のようなロジックは、情報感度の高い経営者であれば誰もが共感してくれる。しかし実をいうと「本当に」行動に移している経営者はほとんどいないのが現状だ。「当社ではすでに実践している」と言う経営者がいればぜひ問いたいが、今この瞬間にサイバーインシデントが発生し、明日記者会見を開くことになったと考えてみてほしい。本当にあなたは十分な説明責任を果たせるだろうか。

 いざとなればリモートワークに切り替えられる体制をつくっておくことの重要性は、コロナショック以前から語られていた。しかし、多くの企業がそれを実行に移すためには、政府が公式に「緊急事態宣言」を発令するのを待たねばならなかった。「経営課題として認識すること」と「行動に移す」ことの間には深い溝がある。しかし、サイバーセキュリティに関する緊急事態宣言は、実質的にすでに発令されているに等しいのである。