サイバーセキュリティ連盟の調査で判明――日本企業のサイバー防御力、ギャップを埋める鍵はセキュリティ意識の変革から:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
サイバーセキュリティ対策の重要性が高まりつつあるが、それでも、対策にかけたコストに見合う成果が得られるのか、セキュリティ事故はそうそう起きないのではないか、といったマインドの経営者はまだまだ存在する。どのように対策を進めればいいのだろうか。
経営者層では「サイバー攻撃に遭う可能性が低いと考えている」ことが大きな理由となった。これはつまり、多くの経営者が「うちは大丈夫だろう」と考えていることを意味する。小池氏自身、サイバー攻撃に遭って何とかしてほしいと相談してきた経営者に「なぜ対策していなかったんですか」と尋ねると、たいていの場合「うちは大丈夫だろうと思っていた」といった回答が返ってくる経験を何度かしてきたそうだ。
この結果を踏まえて小池氏は「まずは経営者自身がサイバーセキュリティに対して当事者意識を持つことが非常に大事だと考えています」とした。
一方で一般社員の場合は「そもそも権限がない」、あるいは「対策を実施していない理由が分からない」という回答が60%を占めた。
ある程度やむを得ないところがあるが、追加で「日常生活で、セキュリティに関して何か気を付けていることはあるか」を尋ねたところ、一般社員の多くが「特に何も気を付けていない」と回答したことも判明した。こうした結果を考え合わせると「一般社員の皆さんは、私生活においても、あるいは会社においても、サイバーセキュリティに対する意識はまだまだ低いという事実が出てきました」と小池氏は指摘した。
現場のリアルな情報を知り、横のつながりを通して防御力の向上を支援
この2つの調査を通じて、日本のサイバーセキュリティ対策にはまだまだギャップが存在すること、その背景にはサイバーセキュリティ意識、サイバーセキュリティマインドの低さが横たわっていることが明らかになった。
サイバーセキュリティ連盟ではまさに今、こうした意識の変革にあの手この手で取り組んでいる。
同連盟では、サイバーセキュリティ意識の向上には、大きく3つの壁があると捉えている。1つ目は、サイバーセキュリティを他人事ではなく、しっかりと「自分事」として捉えてもらうことだ。2つ目は、こうして自分事と捉える意識を持った上で「具体的にどうすればいいのか」を知ることだ。サイバーセキュリティ責任者が存在しない企業においても、具体的にどう取り組むべきかを知ることが課題となっている。そして3つ目は、対策の効率をいかに最大化するかだ。やるべきことを一通り整理し、それに必要なスキルを身に付けた上で、さらに効果を最大化するため、ベストプラクティスをどう知るかが最後の壁になっているという。
この状況に対し「サイバー攻撃による深刻な被害をゼロにする」ことを目指して発足したサイバーセキュリティ連盟では、レベルに応じたコンテンツやチェックリストを提供してきた。さらに「当事者が中心となって、生々しいリアルなコンテンツを共有する」「事業会社どうしの横のつながりを持つ」点にこだわりながら活動してきたという。
「役職に応じて抱えている課題は異なります。特に実務を担う情報システム担当者やサイバーセキュリティ担当者はなかなか横のつながりを得ることができず、リアルな情報に接して勉強する機会がありませんし、自ら何かを発信してフィードバックをもらったり、質問したりする場もないのが実情です」(小池氏)
こうした状況を変えていくため、実務に携わる情報システム担当者、サイバーセキュリティ担当者が横のつながりを持ち、リアルな情報を知るための場としてのコミュニティ「Cyber-sec+(サイバーセキュリティプラス・通称:Security Slack)」を設立した。日々業務を進める上で浮上するさまざまな疑問を投げかけ、回答を得る場として機能しており、開設から2ヶ月ですでに700人近くが参加している。
また、被害企業による会員限定セミナーも実施し「サイバー攻撃を受けた後、どのような対応策をとって立ち直ったのか」「どのくらいの投資を必要とし、上司をどのように説得したのか」といった、公式な報告書や報道などではうかがい知ることのできないリアルな裏側を学ぶ場を提供している。
他にも、経済産業省など中央省庁と連携し、サイバーセキュリティに関するガイドラインやフレームワークについて解説するセミナーを実施するなど積極的に活動を行っており、すでに入会企業は250社を超え、イベントの総参加数も750人を超えるに至った。
こうした取り組みを通して、まずはサイバーセキュリティを「自分事化」して初めの一歩を踏み出し、将来に備えた対策や戦略の立案に役立て、ひいては全体のサイバー防御力向上につなげていきたいという。
小池氏はあえて「連盟に入会してくださいと言いたいわけではありません」とし、まずサイバーセキュリティについて網羅的にカバーした情報や対策リストといった知識を得ることが重要だとした。知識が身に付けば、自ずと意識も向上する。その上で、現場の生々しい話、リアルを学びながら防御力を高めていってほしいとした。
そして最後に「まず、意識を変えることから始めてみてください。そして、IPAのツールやわれわれ連盟が提供するチェックリストなどを活用し、自社の現状を把握してください」と呼びかけ、一人一人が意識を高めていくことが、日本全体がもっとセキュアになることにつながるとした。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- DX推進とサイバーセキュリティ対策、双方に不可欠なのは「経営層のリーダーシップ」――東海大学 三角育生教授
- 医療データを扱うMDV、経営層への説明と現場への関わりのコツ――メディカル・データ・ビジョン 渡邉幸広氏
- 「サプライチェーン」を人質に取るようになったランサム攻撃 ――ラックの西本氏が語る、万一への備え
- スタートアップと金融機関、2つの側面を持つbitbankのセキュリティ対策とは? ――ビットバンク 橋本健治氏
- 経営と現場の板挟みになりがちなガバナンス、優先してやるべきことを明確に――リクルート 鴨志田昭輝氏
- 調査結果が明らかにした日本企業のCISO不在。リスクを見せる化し、経営視点を取り入れながらコミュニケーションすることで改善を――NRIセキュアテクノロジーズ 足立道拡
- セキュリティ担当者が夜しっかり眠れる運用体制とは?――守りのDXで攻めのDXを支えるアステラス製薬の取り組み
- 独自の観測結果から見えてきたランサムの今と、対策のポイント――SBテクノロジー 辻伸弘氏
- 脅威環境の変化を把握し、網羅的・体系的なアセスメントを通じて自社の弱点を発見・改善していくサイバーセキュリティリスク管理が重要――東京海上日動火災保険 黒山康治氏
- ハイブリッド戦争は日本にとっても他人ごとではない――慶應義塾大学 廣瀬陽子教授
- 「今日からセキュリティ担当、よろしくね」と言われたら、何から始める? 何を重視する?――freee CISO 茂岩祐樹氏
- コロナ禍やウクライナ侵攻を背景に混迷深めるサイバー情勢、経営層に必要なのは「現場丸投げ」からの脱却――サイバーディフェンス研究所 名和利男氏
- ウイズコロナ時代のサイバーセキュリティ、完璧を目指すより実践的で高い費用対効果を追求すべき――情報通信研究機構 伊東寛氏