「大企業を守るには、中小を守らねば」──セキュリティの“周回差”、ニッポンらしい埋め方は

辻：人間何回目だ、みたいな感じだ（笑）。大きな会社だと早くから回り始めているという感じですよね。日本は99％以上が「中小規模の企業」だと思うんですが、中小だといまどのへんにいると思いますか？

阿部：300人規模の“小企業”だと、まだ1周目でしょうね。

辻：ああ、やはりまだギャップが大きいと。

阿部：ギャップは本当に大きいですね。数十名規模の企業だとアウトソースすべきものも少ないのですが、200～300人規模だと、自分たちの大事なサービスがあり、大事なお客さまの情報を持つことになる。経営者の意識も上がり、「よし、次はアウトソースだ」と1周目に入っていく。

　昔と違う点として、いまはガイドラインが業界ごとに作られているので、これまでは手探りでアウトソースできていた分野も、割とそのガイドラインに従って動いている。そのような外圧的というか、事故が発生することを前提としたガイドライン対応が求められています。

辻：親会社の圧とか、取引先からの圧とかもありますよね。

阿部：「ガイドラインのこのチェックシートを丸にしたいんだけど、御社は具体的にどんな対応していますか？」みたいな。さっき挙げた周回の“またぎかた”のトリガーが増えてきています。

辻：セキュリティ対応のきっかけとなる入口は増えてきていますよね。ただ、自分たちでできることとできないことは、自分たちの目できちんと見極められないといけないと思っています。

　任せっぱなしだと、投げて終わりになっちゃうじゃないですか。セキュリティ対応に関して、自分たちが誰かに任せられるもの、そうでないものを理解できるのが理想だと思っているんですけど、中小規模だとまだそこにも到達できていない印象を持っています。

阿部：ガイドラインに書かれていることは把握できるようになったのではないかと思いますが、そこから一歩、具体的に落とし込んだときや、指定されていない部分は判断が難しいのだろうと思います。

辻：日本は「他社はどうしているんだ？」という点には敏感じゃないですか。他より優れる必要はないけど、劣ってはいけないという。今後を考えると、中小規模の企業は「ガイドラインのほんの少し先を意識する」のが良さそうですね。

阿部：その点では、「自動車産業サイバーセキュリティガイドライン」がうまいんですよ。レベルを3段階に分け、徐々に階段を上がっていくように作られています。

参考：自動車産業サイバーセキュリティガイドライン | JAMA - 一般社団法人日本自動車工業会