日本企業に染みついた残念すぎる｢サイバー対策｣ セキュリティ部門にブレーキかけているのは？

これには複雑かつ多様化するデジタル利用の状況を理解する以上の多大な学習コストがかかるが、筆者がインシデント対処支援で垣間見る現状の限りでは、経営層はその努力をほとんどしていない。報道などで伝えられる他社の被害ストーリーにより得られた想像力の範囲で判断する傾向が強くなっている。

そのため「役員ではないCISO」や「CSIRT」が、経営層にどのような説明や提案を積み重ねても、直近のサイバー攻撃に適合したセキュリティ対策を実現することが困難な状況に陥っている企業が思いのほか多い。

サイバーセキュリティの予算の割り当てにも課題

わが国のサイバーセキュリティに関する重要施策の中で、多くの予算が割り当てられているのは、「人材育成」「技術開発」「設備投資」という、何かしらのビジネスに直結したものだ。

一方、経営層の意識改革に関する施策については、その重要性と切迫性が高いにもかかわらず、その努力はわずかしか行われていない。

おそらく、その理由はビジネスエコシステム（多数の企業や顧客が集結し、分業と協業による共存共栄の関係）に移行することが期待できない施策は、政府機関による持続的な努力を要することに加え、出口戦略を作りにくく、担当する部門のインセンティブも低くなるためだろう。

また、日本の政府機関において、企業に対してサイバー攻撃に関する情報を適切かつ迅速に伝える仕組みが整備されておらず、その成熟度を高めるための基盤も希薄である。

2023年3月、警察庁、総務省、経済産業省、NISC（内閣サイバーセキュリティセンター）、JPCERT/CC（JPCERTコーディネーションセンター）などが事務局を担うサイバーセキュリティ協議会における検討会から「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が策定された。

サイバー攻撃を受けた際に情報を共有する意義や、公表のタイミング、内容についてまとめたものだ。しかし、これを策定したNISC自らが、ガイダンスを軽視した行動をとるという皮肉な事態が起こる。

同年8月、NISCは電子メール関連システムからメールデータが漏えいした可能性について公表したが、そのタイミング、内容ともにガイダンスにのっとっているとは言い難いものだった。ガイダンスは、他社が利用可能な情報として不十分なものであったといわざるを得ない。

現在、日本は、2021年に設立されたデジタル庁のリーダーシップにより、関係する政府機関やその他の公的機関が社会全体のデジタル化を推進している。