本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
2024年を振り返ると、国内・海外を問わず企業を恐喝するランサムウェアが依然猛威を振るい、事業継続に甚大な影響を与え得るサイバー脅威であることが改めて鮮明となった。ランサムウェアをはじめとした脅威と、ビジネス変革に向けて加速するデジタル施策を踏まえて、2025年度以降に企業が注力するサイバーセキュリティ施策について考察する。
変化するビジネスリスクと経営層の認識
長期間にわたるサービス停止や販売機会損失に伴う売上低下から、復旧不能な財務データによる決算報告の延期、億単位のインシデント対応コストまで、ランサムウェアをはじめとしたサイバー犯罪による事業への影響がさまざまな組織で発生した。一昔前には、「個人情報が漏えいしたところで社会的評判の低下以外に誰に何の実害があるのか?」と疑問を呈する経営層やセキュリティ担当者も多くいたが、ランサムウェアによって時代が大きく変わったことが一層鮮明となった。
KADOKAWAグループでの被害が報道されて以降、ランサムウェアがもたらし得る脅威に、多くの企業で経営層の危機意識が増大した。パロアルトネットワークスが実施した調査では、90%が経営層や上層部の危機意識が高まったと回答している。筆者は、2024年の1年間に多くの経営層やセキュリティ責任者と情報交換をする貴重な機会を得たが、ランサムウェアを踏まえた具体策や身代金支払いの是非に関する情報交換を求められる機会が数カ月もの間急激に増加した。
報道を賑わすインシデントが発生すると、「ウチは大丈夫か?」といった漠然とした問いが経営層から落ちてくることが一昔前はほとんどだった。依然として同じような問いがあったという現場の声は漏れ聞こえてはきたものの、「当社はどのような対策をとっているのか?」といった、より具体的な問いが落ちてきたという声も聞かれるようになった。サイバーリスクを経営課題と捉えて取り組む企業が増加していることの裏返しとも言えるだろう。
実に83%の意思決定層が、2025年度以降のセキュリティ予算を増加するとしている。新たなデジタル投資において対策を行う必要性があるなど、年々サイバーセキュリティにかかる費用は増加傾向にあるともいえるが、リスク認識の高さは、2025年度以降のセキュリティ投資にも反映されている。
(出典:パロアルトネットワークス)
