「セキュリティに理解のない経営者」にならないための考え方 専門家に聞く4つの心構え：「セキュリティに理解のない経営者」にならないために（1/2 ページ）

[吉川大貴，ITmedia]

　政府がデジタル庁を創設し、社会全体のDX（デジタルトランスフォーメーション）を推進するなど、官民や企業規模を問わずDXの取り組みが進んでいる。一方、ITの活用が広がると、企業が新たに対策すべき課題も出てくる。情報を盗まれたり、業務を停止させたりしないための情報セキュリティだ。

　「企業の中には、情報漏えいを『末端の不祥事』程度に捉えているところもある。しかし現実は違う。情報セキュリティに弱みを抱えることは、ビジネスが止まる経営リスクにもなる。セキュリティはすでに、IT部門に任せるのではなく、経営者自身が取り組まなければいけない分野になっている」

　セキュリティ教育に特化した私立大学、情報セキュリティ大学院大学（横浜市）の後藤厚宏学長はこう話す。業界を問わずDXが叫ばれる中、経営者はどんな姿勢で自社のセキュリティ対策に取り組むべきなのか。後藤学長によれば、経営者が持つべき心構えは大きく分けて4つあるという。

特集：DXでリスク増大　経営層が知っておきたい情報セキュリティの課題と対策

デジタル庁の創設や印鑑・FAXの見直しなど、官民でDXが進んでいる。一方、DXによる利便性の拡大は常に情報セキュリティのリスクを伴う。そこでポイントになるのが、経営層や管理職によるセキュリティへの理解とリーダーシップだ。この特集では、経営者向けの解説や最新事例、ソリューションをお届けする。

「まず経営者から始めよ」企業セキュリティの鉄則

　1つ目は、とにかく経営層や幹部が少しでもセキュリティに関心を持たなければ、そもそも対策を始められないという自覚だ。「自社にとって重要な情報は何なのか、把握しているのは経営者や管理職。まずはこういった人が忙しい中でも意識を持ち、守るべき情報や止めてはいけない業務の優先順位をつけなければいけない」と後藤学長。

　本来は自社が持つあらゆる情報についてセキュリティ対策を練るべきだが、企業の規模や状況によっては難しい。しかし、サイバー攻撃のリスクはもはや情報を盗まれるだけではない。米石油移送パイプライン大手のColonial Pipeline Companyがハッカー集団に攻撃を受け操業を一時停止したように、業務が止まるリスクにもなっている。

　そこで必要になるのは、社内の業務構造を把握している経営層や管理職が、守るべき情報や止めてはいけないシステムを明確化することだ。重要な情報やシステムがサイバー攻撃の被害に遭う状況をシミュレーションすることで、初めて現場が対策を練れるようになるという。

　「持つべき意識は自然災害への対策に近い。南海トラフ地震が起きたらどれだけの死者が出るか、避難をしっかりすれば被害者をどれだけ減らせるかを考えるように、セキュリティ対策でも、業務を支えるデジタル技術が止まればどれだけ被害が出るかといった想定が大切。そのためにはまず経営層や幹部が危機感を持たなければいけない」