サイバーセキュリティ対策の重要性が高まりつつあるが、それでも、対策にかけたコストに見合う成果が得られるのか、セキュリティ事故はそうそう起きないのではないか、といったマインドの経営者はまだまだ存在する。どのように対策を進めればいいのだろうか。
サイバーセキュリティ対策の重要性が高まりつつあるが、それでも「果たして対策にかけたコストに見合う成果が得られるのか」「そもそもセキュリティ事故はそうそう起きないのではないか」といったマインドを持つ経営者はまだまだ存在する。
こうした状況を変えるために活動している一般社団法人サイバーセキュリティ連盟代表理事の小池敏弘氏が「2つの調査から見るサイバーセキュリティの『リアル』と『取り組むべきこと』」と題して基調講演を行った。
サイバーセキュリティ連盟は、日本全体におけるサイバーセキュリティの底上げを目的に2022年に任意団体として前身の「セキュリティ連盟」を発足し、2023年3月に一般社団法人となった。その目的に賛同して加盟した多くの企業や関連組織とともに、セキュリティ意識の底上げに取り組んでいる。
同連盟は活動の一環として、2つの調査を行った。
1つは「サイバー防御力ランキング」だ。会社として最低限必要だと考えられる基本的な対策、14項目を列挙したチェックリストを用意し、どれだけ「イエス」と答えられるかを業種ごとに調査した。
この結果「いわゆるIT系の企業やメディア、そして資産や機密情報を多く預かる金融・保険業は一定水準のサイバー防御力があるという調査結果が出ました。一方、濃淡はあるものの、その他の業種ではまだまだ満点には至らない結果となりました」(小池氏)
さらに、サイバー防御力が不十分とされる業種では、従業員の2人に1人が「自社のサイバーセキュリティ意識に問題がある」と回答していた。サイバーセキュリティに関する研修・教育を受ける機会がなかったり、そもそもセキュリティ意識が低かったりする会社の雰囲気があるという。
小池氏はまた、本来ならば同時に推進するべきデジタルトランスフォーメーション(DX)とサイバーセキュリティの関係についても、ギャップの存在が明らかになったと説明した。IT系や金融系では、DXへの取り組みとサイバーセキュリティ対策が両輪で推進されているが、卸売、小売、運輸、不動産といった業種では、DXが推進され、浸透している一方で、サイバーセキュリティ対策はまだ一定水準に達していないという。
「このギャップは将来に向けたリスクとなる恐れがあります。さまざまな投資によって外部とつながる状態が拡大すると、ひとたびサイバー攻撃を受けた場合、被害が甚大化する恐れがあるため、積極的に、早急に対策に取り組むべきです」(小池氏)
サイバーセキュリティ連盟はこの調査結果を受けて「なぜ、業種によってサイバー防御力にばらつきがあるのか」を探るため、意識、つまり「サイバーセキュリティマインド」に関するもう1つの調査を実施した。この結果、サイバーセキュリティマインドの低さがサイバー防御力を左右していることが判明したという。
2つ目の調査ではまず「サイバーセキュリティ強化の必要性を感じているかどうか」を尋ねた。すると一般社員クラスでは、半数以上が「強化しなくてもいい」と回答した。さらに「自社でサイバー攻撃対策を実施しているか」を尋ねたところ、やはり一般社員の半数以上が、そもそも「対策をしているか、していないか分からない」と回答した。
「この結果に頷く人もいれば、驚く人もいるでしょう。ただ少なくとも、こうした結果が事実として出てきています」(小池氏)
では、なぜサイバー攻撃対策を実施しないのだろうか。理由を尋ねたところ、経営者層と一般社員とでは異なる背景が浮上してきた。
Copyright © ITmedia, Inc. All Rights Reserved.
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
早稲田大学商学学術院教授
早稲田大学大学院国際情報通信研究科教授
株式会社CEAFOM 代表取締役社長
株式会社プロシード 代表取締役
明治学院大学 経済学部准教授