インシデント未経験のCISOは「恥」だ 日本企業の致命的な勘違いを正す

ランサムウェア被害が激化する中、セキュリティと経営判断の橋渡しをするCISOの存在は重要だ。しかし日本のCISO設置率は非常に低い。その背景には何があるのか。日本企業が真に強靭な組織へと進化するための、CISOの現実的な実装方法を聞いた。

[田渕聖人，ITmedia]

　サイバー攻撃が企業の存続を左右する経営課題となって久しい。特にランサムウェア攻撃は事業停止やデータ漏えいを通じて企業のブランド価値を一夜にして失墜させる破壊力を持つ。

　しかし攻撃手法が巧妙化し、RaaS（Ransomware as a Service）などの犯罪エコシステムが高度化する一方で、日本企業の対応は欧米諸国と比較して独特な軌跡をたどっている。Splunkでセキュリティ・ストラテジストを務める矢崎誠二氏は「日本は欧米に比べ被害数は少なく、さらに身代金の支払い額も極めて低い」と指摘する。

　一見、犯罪に屈しない健全な姿勢に見えるが、その実態を掘り下げると、日本企業が抱える「論理的判断の不在」と「CISO（最高情報セキュリティ責任者）という役職の誤解」が見えてきた。

ランサムウェア交渉で日本を縛る「論理を超えた正義感」

　セキュリティ企業DeepStrikeの調査によれば、日本企業は身代金の支払い額が低く、攻撃者との交渉にも消極的だ。この背景について矢崎氏は、「企業側に聞かなければ断定はできないが」と前置きしつつ、日本特有の精神性に触れた。

　「米国であれば復旧コストと支払い額を天びんにかけ、合理的に判断する選択肢が常にテーブルに乗る。しかし日本人は、論理的な計算よりも『悪い奴とは交渉してはいけない』という一種の正義感、あるいは性質によって動いている側面がある」

　実際、被害に遭った日本企業の多くは、あえて「一切支払っていない」と公言する。支払った方が復旧コストを抑えられる場合でも、その選択肢を排除することが「正しい振る舞い」とされる風潮がある。

　しかし矢崎氏はこうした一律の拒絶に対し、攻撃者の性質を考慮すべきだと説く。「個人的な意見として言うと、相手が金銭のみを目的とする脅威グループなのか、あるいは政治的主張を持つハクティビストなのか。相手がビジネスとして動いている組織であり、信頼性（支払い後の復旧可能性）の高い有名なグループなら、交渉も一つの選択肢になり得るだろう」

日本でCISOが根付かない背景には「ポジションのミスマッチ」がある

　サイバーリスクを経営判断として処理するためには、CISOが大きな役割を果たす。だが、日本においてCISOが十分に機能している例は少ない。矢崎氏によれば、その要因は日米における「Cクラス」の定義の差にあるという。

　「米国ではCISOといっても実態は日本の部長職や事業部長クラスであるケースも多い。しかし日本でCISOを置こうとすると、いきなり専務や執行役員といった重職に据えなければならないという思い込みがある。セキュリティの知見と経営の知識を兼ね備えた人材がいない中で、いきなり高い給与と役職を与えることは難しく、それが採用のハードルを上げている」

　一方で米国のCISOは近年、その地位をさらに向上させている。背景にあるのは、米国証券取引委員会（SEC）による規制強化だ。上場企業はインシデント発生時の報告が義務化され、情報漏えいによる株価下落が株主からの猛烈な突き上げを招く。

　「米国のCISOは高額な給与を得る代わりに、インシデントが起きれば責任を取って辞めざるを得ないというハイリスクハイリターンな職種だ。対して日本のCISOは、インシデントで辞めることはまれ。むしろ修羅場を経験した貴重な人材としてヘッドハンティングされることすらある。この責任の所在と報酬のアンバランスも、日本特有の構造だろう」

　矢崎氏はさらに、日本企業が陥りがちな「安全神話」を指摘する。「米国でCISOが『侵害を受けたことがない』と言えば、それは『何も見ていない（検知できていない）』ことと見なされる。侵害を受けない企業など存在しないという前提があるからだ。しかし日本では『大丈夫でした』という報告がそのまま信じられてしまう」

「守り」を「利益」に変える、現実的なCISOの実装

　では、日本企業はどこから手を付けるべきか。矢崎氏が提言するのは、CISOの「ハードルを下げる」ことと「役割の分離」だ。

　「まずは執行役員クラスにこだわらず、部長職や事業部長クラスからCISOを置くべきだ。重要なのは、CIO（最高情報責任者）との兼任を避けること。攻めのITを担うCIOと、機密性・可用性・完全性を守るCISOが、対等な立場でせめぎ合うことで、初めて健全なガバナンスが機能する」

　さらに、セキュリティ部門の地位を向上させる鍵は、セキュリティを「コスト」ではなく「ビジネスのドライバー」に昇華させることにある。

　「顧客のデータを守るという高いセキュリティレベル自体をサービスの売りにし、ユーザーに安心感を与える。セキュリティをビジネスの一要素として捉えられるかどうかが、CISOが組織に根付くかどうかの分岐点になるだろう」

　今回の矢崎氏へのインタビューを通じて浮き彫りになったのは、日本企業における「セキュリティの情緒化」という課題だ。身代金支払いを「悪」と断ずる姿勢は道徳的には正しいが、事業継続という観点で考えたとき、その判断が常に最適解であるとは限らない。

　日本にCISOを根付かせるためには、彼らを「専門家」として神格化するのではなく、ビジネスのリスクとリターンを計算する「現場の意思決定者」として再定義する必要がある。矢崎氏が提言するように部長クラスからのスモールスタートは、形骸化した「兼務CISO」から脱却するための現実的な解法といえる。

　日本企業に求められるのは今後、インシデントを「隠すべき不名誉」から「改善のための知見」へと転換するマインドセットの変革だ。攻撃を完全に防ぐことが不可能な時代、問われているのは「いかに清廉潔白であるか」ではなく「いかに論理的に立ち直るか」というレジリエンスの強化だろう。