セキュリティはテクノロジーリスクではなくガバナンスリスク(イメージ:写真AC)

ガバナンスリスクとしてのサイバーセキュリティ

上場のいかんを問わず、社会インフラを生業にしている企業や特段の配慮を要する個人情報を大量に扱う業種・業態(通販、金融、医療など)は、世界中のクラッカー(サイバー犯罪者)からターゲットにされます。身代金を目的にしたランサムウェア攻撃は犯罪社会において大金が動くビジネスに展開され、一向に収まる気配がありません。

偶然性によりセキュリティホールが空いてしまい、タイミング悪く被害に遭うケースもありますが、今後の傾向としては、AIを利用した標的型攻撃や内部犯行に留意すべきです。ITリテラシーがけっして低くない企業においても重大インシデントが発生していることを考えれば、現場の問題というよりも、経営的な問題だと考えるべきです。

直接目に見えないものにはお金を使わないという考えから来ているのか(イメージ:写真AC)

いつどこからやって来るのかわからない、自分たちが経験していない、そんなサイバーセキュリティに対し、日本の一部の企業経営者は、たとえ上場大企業であっても技術に疎く、必要な経営資源を投下しない、十分なスキルを持った人材を配置する組織体制を構築しないなどの問題が指摘されています。これは、古くから日本人特有の「直接目に見えないもの(AIや技術アドバイザリーなど)」にお金を使わないという根源的な思想から来ているかもしれません。

しかし、一旦攻撃に晒され莫大な復旧費用や社会的信用失墜の憂き目に遭うと、途端に事の重大さに愕然とし、内外から、防御策を怠ったと経営責任を追及されることになる。そんな上場企業のサイバーセキュリティインシデントが毎年必ず発生し、ネットニュースを賑わせます。

こうした状況を危惧して金融庁は、昨年度からJ-SOXを改訂し、情報セキュリティに力を入れるように文言を追加しました。ただ、状況は以前と比較しても劇的な変化があるようには思えません。

一方で「情報セキュリティ」に関する管理策をマネジメントシステムとして規定したISO/IEC 27001、通称ISMS(Information Security Management System)の認証を取得する企業の数は、日本が世界で最も多いのをご存じでしょうか。

つまり、日本は情報セキュリティを強化する、アメリカはサイバーセキュリティを強化する。このスタンスの違いは何かについては以前、本コラムでも述べました(第28回:日米で異なるセキュリティ統制への要求)。が、実際に起こっている重大インシデントの被害金額、復旧に要する金額、社会的な信用失墜、ブランド低下を考えれば、経営的視点でサイバーセキュリティに力点を置くべきなのは明らかです。