日本企業に染みついた残念すぎる｢サイバー対策｣ セキュリティ部門にブレーキかけているのは？

日本企業はなぜ能動的に状況を把握しようとしないのか（写真：pasta / PIXTA）

以前は、アメリカやヨーロッパなどの主要国で発生しているサイバー攻撃の動向は、やや遅れて日本に到来する傾向があった。そのため日本は、他国の被害事例を報道ベースで把握でき、防止策となるソリューションを検討する時間的余裕を得ることができていた。

【写真】内閣サイバーセキュリティセンター（NISC）から2023年にメールデータが漏洩した可能性について公表された

ところがコロナ禍に、日本の社会全体で急速なデジタル化が進められたことで、遅れて到来するはずの「新たなサイバー攻撃」の発生を許してしまう領域が拡大している。

他国と日本の間で、発生時期のタイムラグが縮まり、組織的認知と事前対策（適切な予防策）が取られないまま、深刻な被害を発生させる日本企業が増え始めているのだ。

リスクに対する日本企業特有の慣行とは

こうして状況が大きく変化したにもかかわらず、多くの日本企業は、いまだに「報道などで伝えられる他社の被害事例を把握した後、組織的認知に基づいて追加的対策が行われる慣習と仕組み」を維持している。

一部の「役員ではないCISO（Chief Information Security Officer）」や「CSIRT（Computer Security Incident Response Team）」は十分に理解し、組織全体として改善の必要性を感じている。

だが、それを実現するのに必要な権限や社内政治力を有していないため、フラストレーションや疲弊感を募らせている。この背景には、日本企業特有の慣行があると考える。

日本では自然災害発生時に、政府や報道機関が「国民全体に対して被害状況を積極的に伝えることで、深刻な被害を回避するための自助、共助、公助につながる行動変容を促せる」という取り組みが十分に成熟している。

観点を変えると、日本の国民や企業は、自ら能動的に状況を把握する努力をせずとも、政府や報道機関により周知される情報を受動的に得ることで、被害状況を把握することができる。

そのような仕組みに慣れてしまった日本企業は、サイバー攻撃のリスク対策も、この仕組みの中にあると漠然と捉えている可能性がある。

組織内の意思決定を行う経営層が、セキュリティ対策の追加的措置にかかる予算や人材の割り当てを検討する際は、その判断基準となる「新たなサイバー攻撃に関する理解（知識と洞察）」と「その攻撃によるビジネスリスク（影響見積もり）」を適切に持つ必要がある。