セキュリティは技術課題ではなく経営課題
第35回:経営視点で考える「NIST CSF2.0」の導入効果

林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
2025/05/21
企業を変えるBCP
林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
上場のいかんを問わず、社会インフラを生業にしている企業や特段の配慮を要する個人情報を大量に扱う業種・業態(通販、金融、医療など)は、世界中のクラッカー(サイバー犯罪者)からターゲットにされます。身代金を目的にしたランサムウェア攻撃は犯罪社会において大金が動くビジネスに展開され、一向に収まる気配がありません。
偶然性によりセキュリティホールが空いてしまい、タイミング悪く被害に遭うケースもありますが、今後の傾向としては、AIを利用した標的型攻撃や内部犯行に留意すべきです。ITリテラシーがけっして低くない企業においても重大インシデントが発生していることを考えれば、現場の問題というよりも、経営的な問題だと考えるべきです。
いつどこからやって来るのかわからない、自分たちが経験していない、そんなサイバーセキュリティに対し、日本の一部の企業経営者は、たとえ上場大企業であっても技術に疎く、必要な経営資源を投下しない、十分なスキルを持った人材を配置する組織体制を構築しないなどの問題が指摘されています。これは、古くから日本人特有の「直接目に見えないもの(AIや技術アドバイザリーなど)」にお金を使わないという根源的な思想から来ているかもしれません。
しかし、一旦攻撃に晒され莫大な復旧費用や社会的信用失墜の憂き目に遭うと、途端に事の重大さに愕然とし、内外から、防御策を怠ったと経営責任を追及されることになる。そんな上場企業のサイバーセキュリティインシデントが毎年必ず発生し、ネットニュースを賑わせます。
こうした状況を危惧して金融庁は、昨年度からJ-SOXを改訂し、情報セキュリティに力を入れるように文言を追加しました。ただ、状況は以前と比較しても劇的な変化があるようには思えません。
一方で「情報セキュリティ」に関する管理策をマネジメントシステムとして規定したISO/IEC 27001、通称ISMS(Information Security Management System)の認証を取得する企業の数は、日本が世界で最も多いのをご存じでしょうか。
つまり、日本は情報セキュリティを強化する、アメリカはサイバーセキュリティを強化する。このスタンスの違いは何かについては以前、本コラムでも述べました(第28回:日米で異なるセキュリティ統制への要求)。が、実際に起こっている重大インシデントの被害金額、復旧に要する金額、社会的な信用失墜、ブランド低下を考えれば、経営的視点でサイバーセキュリティに力点を置くべきなのは明らかです。
企業を変えるBCPの他の記事
おすすめ記事
柔軟性と合理性で守る職場ハイブリッド勤務時代の“リアル”な改善
比較サイトの先駆けである「価格.com」やユーザー評価を重視した飲食店検索サイトの「食べログ」を運営し、現在は20を超えるサービスを提供するカカクコム(東京都渋谷区、村上敦浩代表取締役社長)。同社は新型コロナウイルス流行による出社率の低下をきっかけに、発災時に機能する防災体制に向けて改善に取り組んだ。誰が出社しているかわからない状況に対応するため、柔軟な組織づくりやマルチタスク化によるリスク分散など効果を重視した防災対策を進めている。
2025/06/20
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/06/17
サイバーセキュリティを経営層に響かせよ
デジタル依存が拡大しサイバーリスクが増大する昨今、セキュリティ対策は情報資産や顧客・従業員を守るだけでなく、DXを加速させていくうえでも必須の取り組みです。これからの時代に求められるセキュリティマネジメントのあり方とは、それを組織にどう実装させるのか。東海大学情報通信学部教授で学部長の三角育生氏に聞きました。
2025/06/17
入居ビルの耐震性から考える初動対策退避場所への移動を踏まえたマニュアル作成
押入れ産業は、「大地震時の初動マニュアル」を完成させた。リスクの把握からスタートし、現実的かつ実践的な災害対策を模索。ビルの耐震性を踏まえて2つの避難パターンを盛り込んだ。防災備蓄品を整備し、各種訓練を実施。社内説明会を繰り返し開催し、防災意識の向上に取り組むなど着実な進展をみせている。
2025/06/13
「保険」の枠を超え災害対応の高度化をけん引
東京海上グループが掲げる「防災・減災ソリューション」を担う事業会社。災害対応のあらゆるフェーズと原因に一気通貫の付加価値を提供するとし、サプライチェーンリスクの可視化など、すでに複数のサービス提供を開始しています。事業スタートの背景、アプローチの特徴や強み、目指すゴールイメージを聞きました。
2025/06/11
その瞬間、あなたは動けますか? 全社を挙げた防災プロジェクトが始動
遠州鉄道株式会社総務部防災担当課長の吉澤弘典は、全社的なAI活用の模索が進む中で、社員の防災意識をより実践的かつ自分ごととして考えさせるための手段として訓練用のAIプロンプトを考案した。その効果は如何に!
2025/06/10
緊迫のカシミール軍事衝突の背景と核リスク
4月22日にインド北部のカシミール地方で起こったテロ事件を受け、インドは5月7日にパキスタン領内にあるテロリストの施設を攻撃したと発表した。パキスタン軍は報復として、インド軍の複数の軍事施設などを攻撃。双方の軍事行動は拡大した。なぜ、インドとパキスタンは軍事衝突を起こしたのか。核兵器を保有する両国の衝突で懸念されたのは核リスクの高まりだ。両国に詳しい防衛省防衛研究所の主任研究官である栗田真広氏に聞いた。
2025/06/09
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方