本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
企業が生き残るためのセキュリティ対策
IT系のウェブ媒体はもちろん、新聞やテレビなどでもサイバー攻撃やそれに関連する事件が連日のように報道されている。特に、2020年に開催される東京オリンピック/パラリンピックのような世界が注目するイベントでは、注意が必要だ。全世界にいるサイバー攻撃者にとって、このようなタイミングは格好の標的になる。
現在のインターネットバンキングマルウェアやランサムウェアといった金銭目的のサイバー攻撃に加え、政治的な意図を持った攻撃が存在する。その標的になるのは、政府や公的機関ばかりとは限らないだろう。中には、何らかの形で社会インフラを担う業態の企業もある。そうではない場合も、一定以上の規模になれば「東京」という都市と何らかの関わりを持つ。サイバー攻撃を対岸の火事とは言っていらない。どんな企業も何らかの形でサイバー攻撃の被害を受ける可能性がある。
企業や法人のほとんどは営利が目的であり、セキュリティ対策が理由で倒産してしまうのは、本末転倒だと言っていいだろう。健康に気を使うあまり、過度にダイエットをしたり、必要以上にサプリメントを摂取したりして、むしろ健康を害してしまうような状況と似ている。筆者はよく「健康のためなら死んでも構わない」と冗談半分で例えるが、「健康」を「セキュリティ」に置き換れば、「セキュリティ対策のためなら、企業が倒産しても構わない」となり、いかにばかばかしいものであるかを理解していただけただろう。
しかし、企業は社会の一部として存在する。社会に迷惑をかけない程度の最低限のセキュリティ対策すらできないということは、社会的責任を果たせない組織と同義だ。そうなると社会や市場からその存在を否定され、退場させられてしまう可能性も高い。
それではまずいから、リスクと重要性を理解している経営者は、一定のセキュリティ対策とそのためのコストを許容する。もちろん、業種業態や扱う情報の重要度の違いなどから、セキュリティ対策の絶対量は異なる。重要なプライバシー情報や機密情報、人命が関わる情報など、対策すべき対象は企業によってさまざまだ。ただし、企業はその存続のために営利を追求しなくてはならない。身の丈に合ったセキュリティへの投資というのが、重要なポイントになる。
無意味な投資を続ければ、肝心なときに資金が枯渇してしまうし、セキュリティ事故はどんなに対策をしてもゼロにはならず、一定の割合で必ず発生してしまう。だからこそ、セキュリティ事故が発生した時にどのような対策をできるか、というのが企業の存亡にかかわる重要な課題だ。
