「取引先経由」のサイバー攻撃が増加 狙われる中小企業が見直すべき「セキュリティ対策」の3ステップ（3/3 ページ）

[濱川太一，ITmedia]

サイバー対策、うまくいく企業・いかない企業の違い

　尾崎氏によると、サイバー対策がうまく進む企業とそうでない企業には明確な違いがあるという。

　うまくいく企業は、まず「可視化」を実施し、自社の課題を把握してから必要なツールを選定する。一方で、うまくいかない企業は「不安だから」という理由でツールを導入し、その後に運用方法を考え始める。

　結果として大量のアラートに現場が疲弊し、対策そのものが形骸化してしまう。だからこそ、セキュリティ対策は製品選定の問題ではなく、設計の問題として捉える必要がある。

　尾崎氏は「セキュリティを情報システム部門だけの課題として扱うべきではない」と指摘する。限られた人員と予算の中では、全てを守ることはできない。何を優先的に守り、何を後回しにするか。「その判断を情シスの課長に任せるのは酷。経営マターとして、役員や社長が進んで意思決定してほしい」（尾崎氏）

　情報システム部門は、現状を可視化し、必要な情報を整理する役割を担う。一方で、どのリスクを受容するかという意思決定は、経営層が担う必要がある。

　サイバー攻撃の脅威が高まる中、万能な対策を一気に講じるのは難しい。まずは現状を正しく把握し、優先順位を定める。その第一歩となる「可視化」こそが、セキュリティ対策の出発点となる。