会社がランサムウェア攻撃を受けたらどう対応する？ 「事業継続」に関わる重大リスクに、専門家2人が提言

ここで一つ問題が生じます。そもそもサイバーセキュリティと利便性は相反することが多い。そこで、第１線事業部門は第2線が構築したセキュリティ対策をやりたがらず、組織としてセキュリティ対策の徹底が進まない。例えば、多要素認証（認証の3要素である「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせたもの）は非常に重要で、サイバーリスクを大幅に減らせると考えています。しかしながら、入力が面倒だということやりたがらない人が多い。その結果、組織レベルでのセキュリティ対策が進まないことになります。

そこで重要となってくるのは、サイバーセキュリティについての第一線による理解と協力、そして組織にサイバーセキュリティを浸透させるための経営層の働き掛けだと感じています。

――企業の方から、認証の強化などユーザーが逃げるじゃないか、とセキュリティ部門が怒られるという話もある。最近の企業の意識は変わっているか。

山岡　以前はほとんどの企業が、利益を生まないサイバーセキュリティーが事業の足を引っ張るとは何事か、という見方でしたが、最近はサイバーセキュリティーの重要性が根付いてきて、事業継続の観点からは業務がやや不便になってもセキュリティー対策はやむを得ないと受け入れる企業も増えている。特に金融機関などはそうした傾向が顕著です。

URBAZON/ISTOCK

中谷　サイバー攻撃の被害を直接受けてきた金融業界のサイバーセキュリティー対策は相対的に進んでいると思います。現在の金融業は、オンラインで安全にサービスを提供できることを前提にしているので、まさに経営課題の１丁目１番地になっていると思います。他方、全体的には、まだまだ費用対効果が出ているのかわからないという企業や、サイバーセキュリティ対策に力を入れているが切りがないので困っているという企業の声も聞きます。Wise Spendingが重要なのはその通りですが、やはりこれは地政学的リスクやレピュテーションリスク等のリスクを判断軸にするのではなく、金額基準で考えてしまうからだと思います。

また、日本では企業がインテリジェンス（分析情報）をベースにリスクを議論して経営陣が判断していくプロセスがまだ確立されていないように思いますが、これから進んでいくように感じています。

山岡　サイバーセキュリティーにインセンティブと制裁とをひも付けることも一案です。例えば、セキュリティーレベルが高い企業はサイバー保険の保険料が安くなったり、逆にサイバーセキュリティー対策を十分にしていない企業は公共工事への入札やサプライチェーンへの参加ができなかったりと。