「何かあったらセキュリティベンダーに頼む」という方針が考えられるが、丸投げは難しいのが実情だ(図9)。まず第一に、どのセキュリティベンダーを選ぶかが問題になる。一口にセキュリティベンダーといっても、作業内容や料金など様々だ。ベンダーを探しているうちに時間は刻一刻と過ぎていく。
費用の問題もある。依頼するセキュリティベンダーを決めても、経営陣が費用を出し渋る恐れがある。「じゃあ、来週の経営会議で議論するから資料を作っておいて」といった答えが返ってくる可能性もある。「なぜ費用を出す必要があるのか」を説明しているうちに貴重な時間が浪費される。
ベンダーを選定して費用を確保しても、すぐに対応してもらえないケースもある。相次ぐサイバー攻撃により、ベンダーへの依頼が増えているためだ。ある企業の担当者は、ベンダーに依頼したら「2カ月待ち」と言われたという。
サイバー攻撃や事故の対応は一刻を争う。対応が遅れれば被害は拡大する一方である。例えばウイルス感染が拡大し、大量の情報が漏洩してしまう。もちろん、本格的な調査や対応はセキュリティベンダーに依頼すべきだろう。「どのようなウイルスに感染して、どのような情報が盗まれたのか」などは、専門家でないと詳しく調べられない。
だが、応急処置は可能だ。セキュリティベンダーに依頼するとしても、まずは自分たちでできる対応を実施するのだ。それにより、被害の拡大を最小限に抑えられる。