日経コミュニケーション編集長 加藤雅浩
日経コミュニケーション編集長 加藤雅浩

 「ウチのセキュリティ対策は大丈夫か?」――企業の経営層にとって、今やこの問いかけが頭から離れないのではないだろうか。高度化するサイバー攻撃、特に標的型攻撃から100%逃れる術はなきに等しい。「何はともあれウイルス対策さえやっておけば」という時代はもはや過去のものと言えるだろう。

 一方でサイバー攻撃対策に神経質になるあまり、経営層がセキュリティ担当者に対して、次のような「無茶振り」をするケースが見受けられるようになった。

「怪しいメールは絶対に開かせないように徹底してくれ!」
「予算の増額?いま何の問題も起こっていないのに必要なのか?」
「全従業員がルールを完璧に守るようにしてくれ!」
「インターネットにさえつながなければ安全だな?」
「新製品を導入したい?では投資対効果を数字で見せてくれ!」
「どんなサイバー攻撃もすべて防げ!
「情報漏洩対策?ウチには盗まれて困るような情報はないから不要だろう?」

「当社に盗まれて困るような情報はない」と言われたら
「当社に盗まれて困るような情報はない」と言われたら
出所:もしも社長がセキュリティ対策を聞いてきたら 入門編
[画像のクリックで拡大表示]

 こう言われてしまったセキュリティ担当者が、「…」と返答に困ったり、「社長!それは無理です」と悲鳴を上げたりすることなく、前向きに経営層と会話するためにはどうしたらいいのだろうか。

 ここでは、「すべてのサイバー攻撃を防いで、絶対に侵入させないように」と経営層から厳命されたセキュリティ担当者の「良い答え方」と「悪い答え方」を考えてみたい。

「すべてのサイバー攻撃を防いで、絶対に侵入させないように」

 最初に紹介するのは、経営層とのコミュニケーションに失敗してしまったセキュリティ担当者の回答だ。どこが駄目だったのだろうか。

経営層:サイバー攻撃を受けた企業のその後を見ると、株価が大幅に下落して数百億円の時価総額が吹っ飛んだり、経営陣が退任したりするケースが見られる。

セキュリティ担当者:株主も最近は、企業から情報が漏洩すると株価が下がることを知っています。セキュリティの事故が経営へのダメージに直結するケースも増えてきました。

経営層:ところでウチのセキュリティ対策は大丈夫か。すべてのサイバー攻撃を完全に防いで、絶対に侵入できないような対策をしてくれ。

セキュリティ担当者:しかし現状では、サイバー攻撃を完全に防ぐことはまず不可能です。

経営層:そうはいってもウチから情報漏洩は起こしたくない。すべてのサイバー攻撃を完全に防いでくれ。

セキュリティ担当者:了解しました…

 上記の会話では、サイバー攻撃の「防御」にこだわる経営層がリスクゼロに固執してしまっている。これに対し、セキュリティ担当者も同じリスクゼロの土俵でコミュニケーションを取ろうとしている。これでは失敗する。

 周知の通り、現在ではすべてのサイバー攻撃を防ぐことは難しい。そのためセキュリティ担当者は、経営層に納得してもらえる折衷案を提示しなければならない。ここで押さえておきたいのは、「防御」以外にもセキュリティ対策を考えるうえで重要なポイントが存在するということだ。この点を踏まえてコミュニケーションを取ろうとしないと、経営層に納得してもらうことはできない。