セキュリティは技術課題ではなく経営課題
第35回:経営視点で考える「NIST CSF2.0」の導入効果

林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
2025/05/21
企業を変えるBCP
林田 朋之
北海道大学大学院修了後、富士通を経て、米シスコシステムズ入社。独立コンサルタントとして企業の IT、情報セキュリティー、危機管理、自然災害、新型インフルエンザ等の BCPコンサルティング業務に携わる。現在はプリンシプル BCP 研究所所長として企業のコンサルティング業務や講演活動を展開。著書に「マルチメディアATMの展望」(日経BP社)など。
上場のいかんを問わず、社会インフラを生業にしている企業や特段の配慮を要する個人情報を大量に扱う業種・業態(通販、金融、医療など)は、世界中のクラッカー(サイバー犯罪者)からターゲットにされます。身代金を目的にしたランサムウェア攻撃は犯罪社会において大金が動くビジネスに展開され、一向に収まる気配がありません。
偶然性によりセキュリティホールが空いてしまい、タイミング悪く被害に遭うケースもありますが、今後の傾向としては、AIを利用した標的型攻撃や内部犯行に留意すべきです。ITリテラシーがけっして低くない企業においても重大インシデントが発生していることを考えれば、現場の問題というよりも、経営的な問題だと考えるべきです。
いつどこからやって来るのかわからない、自分たちが経験していない、そんなサイバーセキュリティに対し、日本の一部の企業経営者は、たとえ上場大企業であっても技術に疎く、必要な経営資源を投下しない、十分なスキルを持った人材を配置する組織体制を構築しないなどの問題が指摘されています。これは、古くから日本人特有の「直接目に見えないもの(AIや技術アドバイザリーなど)」にお金を使わないという根源的な思想から来ているかもしれません。
しかし、一旦攻撃に晒され莫大な復旧費用や社会的信用失墜の憂き目に遭うと、途端に事の重大さに愕然とし、内外から、防御策を怠ったと経営責任を追及されることになる。そんな上場企業のサイバーセキュリティインシデントが毎年必ず発生し、ネットニュースを賑わせます。
こうした状況を危惧して金融庁は、昨年度からJ-SOXを改訂し、情報セキュリティに力を入れるように文言を追加しました。ただ、状況は以前と比較しても劇的な変化があるようには思えません。
一方で「情報セキュリティ」に関する管理策をマネジメントシステムとして規定したISO/IEC 27001、通称ISMS(Information Security Management System)の認証を取得する企業の数は、日本が世界で最も多いのをご存じでしょうか。
つまり、日本は情報セキュリティを強化する、アメリカはサイバーセキュリティを強化する。このスタンスの違いは何かについては以前、本コラムでも述べました(第28回:日米で異なるセキュリティ統制への要求)。が、実際に起こっている重大インシデントの被害金額、復旧に要する金額、社会的な信用失墜、ブランド低下を考えれば、経営的視点でサイバーセキュリティに力点を置くべきなのは明らかです。
企業を変えるBCPの他の記事
おすすめ記事
リスク対策.PROライト会員用ダウンロードページ
リスク対策.PROライト会員はこちらのページから最新号をダウンロードできます。
2025/07/05
中澤・木村が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/07/01
「ビジネスイネーブラー」へ進化するセキュリティ組織
昨年、累計出品数が40億を突破し、流通取引総額が1兆円を超えたフリマアプリ「メルカリ」。オンラインサービス上では日々膨大な数の取引が行われています。顧客の利便性や従業員の生産性を落とさず、安全と信頼を高めるセキュリティ戦略について、執行役員CISOの市原尚久氏に聞きました。
2025/06/29
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方