デジタルビジネスならではのサイバーリスクとは――これまでのITセキュリティと何が違うか？：Weekly Memo（2/2 ページ）

[松岡功，ITmedia]

深刻なサイバーセキュリティの人材・スキル不足

　図3は、ビジネス観点でのサイバーリスクに関する懸念を聞いた結果である。全部で12項目あるが、上段が上位6つ、下段が下位6つを示している。染谷氏はその上位と下位の内容に着目し、次のように説明した。

図3　ビジネス観点でのサイバーリスクに関する懸念

　「上位はサイバー攻撃によって直接発生する一次的な被害に対する懸念、もしくは短期的な観点で見たときのリスクに対する懸念だ。それに対し、下位はサイバー攻撃を受けた後の二次的なリスクに対する懸念、もしくは中長期的な観点で見たときのリスクに対する懸念を示したものだ。ビジネスの観点から見て重要なのは下位6つのような多面的リスク分析だ。従って、この結果はそうした分析ができる企業の割合が低いことを示している」

　改めて図3を見ると、上位と下位の割合に大差があるわけではないが、染谷氏が言うように、順位を見るとサイバー攻撃に対する意識の在り方が浮き彫りになる。興味深い見方である。

　図4は「サイバーセキュリティ関連のリソースが、デジタルテクノロジーを活用したビジネス施策のどの段階で組み込まれているか」を聞いた結果である。デジタル化したビジネスは、顧客や取引先だけでなく、株主やサプライチェーンなどのあらゆるステークホルダーに及ぼすセキュリティリスクを考慮して設計する必要がある。そのためには、ビジネスの企画段階から「法規制の順守」を含めてセキュリティを組み込むことが不可欠だ。

　法規制の順守は、例えば図3に記されている「顧客・取引先損失」「訴訟・賠償責任」「関係者の懲戒処分」などへの対応を指す。図4で染谷氏が最も訴えたいポイントは、「法規制およびサイバーセキュリティに関する専門家とも、対策が“後付け”になってしまっていると見ている」ことだ。

図4　サイバーセキュリティ関連のリソースはデジタルテクノロジーを活用したビジネス施策のどの段階で組み込まれているか

　同氏はこの調査結果を受け「サイバーセキュリティがデジタル化したビジネスに影響を与える中では、顧客や取引先だけでなく、株主やサプライチェーンなどのあらゆるステークホルダーに及ぼすセキュリティリスクを考慮してビジネスを設計する必要がある。そのためには、ビジネスの企画段階から法規制の順守を含めてセキュリティを組み込むことが不可欠だ」と指摘した。

　図5は、サイバーセキュリティの観点での企業経営上の課題について聞いた結果である。図には上位5位が記されている。1位は「サイバーセキュリティに関する人材・スキル不足」で、全体の50％を占める。この人材不足、スキル不足は、デジタルビジネスにおけるサイバーリスクでも非常に深刻な問題として認識しておく必要がある。

図5　サイバーセキュリティの観点での企業経営上の課題

　また、図5における2位以下は、要するに「セキュリティ担当部署だけでなく組織全体が有機的に動けるか」をさまざまな観点から表したものである。この調査結果に対して染谷氏は「慢性的な人材・スキル不足の中でサイバーセキュリティへの取り組みが関係会社や事業部門ごとにサイロ化され、深刻な事態が発生した際に一貫性のある対応ができないといった課題に、企業が直面している現状」との見方を示した。

　なお、パロアルトネットワークスでは、こうした調査結果に基づいて、サイバー攻撃から経営を守るためのセキュリティマネジメントフレームワークの導入支援サービスを2019年12月から提供するとしている。

　今回紹介した調査結果は、これまでのITセキュリティとはちょっと違う「デジタルビジネスならではのサイバーリスクとは何か」を示したものといえそうだ。