イメージ(Adobe Stock)

企業の防御体制はむしろ弱体化している

リスクサービス*)の世界市場は、2026年には5000億ドル規模に達すると予測されている。業界はかつてないほど多くの資金を防御に投じ、膨大なデータを保有し、高度なツールを導入してきた。しかし、世界中の経営陣の間では、企業の防御体制はむしろ弱体化しているという認識が広まっている。

*)訳者注:「Risk Services」は「そもそもリスクをどう扱うか」という包括的なソリューションを指す。それには以下のような業務が含まれる。①事故を未然に防ぐための現場査定や教育。② 複雑な事故が起きた際、保険会社に対して正当な支払いを求める交渉支援。③ 過去のデータに基づき、将来の損失額を予測する数理分析。④ 自己保険(キャプティブ)の設立支援など、通常の保険以外のリスク管理手法の提案。

現代企業にとって最大の脅威は、もはや遠い国の国家支援型ハッカーや、門前に迫る過激派だけではない。むしろ、内部から脅威が迫っているのだ。監査・サイバーセキュリティ・物理セキュリティ・人事・広報・コンプライアンスといった各部門が連携して機能しないことで生じる、組織内部の分断が、その脅威の根源となっている。

断片化の代償

脅威が物理世界とデジタル世界を自在に行き来する現代において、企業の防御体制は依然としてアナログ的で分断されたままである。この摩擦が、しばしば業務上の失敗を招く。

ある大手企業で最近発生した事例を紹介しよう。内部監査チームが経費不正を疑う従業員を特定した。他方で、企業セキュリティ部門は、同じ従業員が国家に知的財産(IP)を提供しているスパイである疑いがあるとして、その従業員を追跡していた。監査部門は自らの「縄張り」を守るために孤立した状態で活動していたため、セキュリティ部門に相談することなく従業員に接触した。容疑者は即座に辞職し、重要な知的財産を持ち出して国外に逃亡した。部門横断的な簡単なプロトコルがあればこのような事態は防げたはずだが、企業内の縄張り意識と効果的なコミュニケーションの欠如が、このような事態を招いてしまった。

同様の失敗が、ある大企業で発生した。警備コスト削減を目的とした施設管理部門が、検証されていないカメラとアクセス制御システムを導入したのだ。「セキュリティ戦略」ではなく「予算上の選択」として扱われたため、意図せずネットワークのバックドアが作られてしまった。結果として、これらの機器に起因するハッキングが発生した。施設管理部門はコスト削減という目的は達成したが、その代償として会社は数百万ドルもの復旧費用を負担することになった。