「セキュリティに理解のない経営者」にならないための考え方 専門家に聞く4つの心構え：「セキュリティに理解のない経営者」にならないために（2/2 ページ）

[吉川大貴，ITmedia]

実現できないゼロリスクは追いかけない

　2つ目に意識すべきは、サイバー攻撃を100％防ぐのは不可能という考え方だ。「導入するだけで全ての問題を解決できるようなやり方は存在しない」と後藤学長。経営者は攻撃を100％防ぐことではなくリスクを1％でも減らすことを意識し、並行してサイバー攻撃を受けたときの対応を考えておくべきという。

　そもそもセキュリティ対策は、攻撃者が新たな手段を生み出し、防御側がそれに対策することを繰り返すいたちごっこで、ゼロリスクを実現するのは現実的ではない。仮に実現を目指しても、コストと効果が見合わない。

　しかも「セキュリティを突破されない」ことを前提に対策を取ると、実際にサイバー攻撃を受けたときを想定した準備がしにくくなる可能性もあるという。つまりゼロリスクを目指すことは、余計やコストやリソースが掛かるだけでなく、インシデントが発生したときの対応力不足にもつながるわけだ。

　こうした事態を避けるためには、ゼロリスクではなく、リスクを最小限にするセキュリティを目指しつつ、防御を突破されたときの対策や、攻撃者の証跡を追う方法を並行して検討する必要がある。

後藤厚宏学長

　ただし企業の規模によっては、実際にサイバー攻撃を受けても、自社だけで攻撃者の証跡を追ったり、原因を分析したりするのが難しい場合もある。有事に備え、あらかじめ自社の事業や業務と相性の良いセキュリティベンダーを探しておき、いざというときに協力できる体制を整えておくべきという。

「セキュリティはこの前やったからいいでしょ」はNG

　3つ目は、こうしたセキュリティ対策を継続して行うことだ。サイバー攻撃がいたちごっこである以上、一時的にセキュリティを強化しても、将来突破される可能性がある。長期間にわたってサイバー攻撃から自社を守るためには「この前やったからいいでしょ」と考えず、継続的にセキュリティ対策に取り組むべきという。

セキュリティは“攻めの投資”

　最後は、セキュリティ対策は情報を守るために仕方なく行う“守りの投資”ではなく、自社の信頼性を高める“攻めの投資”と捉えることだ。セキュリティ対策が充実しており、その内容を外部に説明できる企業は、投資家からの評価も高まりやすいと後藤学長は話す。

　「本来、サイバー攻撃を受けた企業は被害者。しかし原因はどうあれ、攻撃を受けて情報が漏れてしまった企業は株価が下がる傾向にある。一方、攻撃を受けたとしても、事後に改善策や対策をしっかり説明できる企業が株価の回復が早い。同様に、平時においても投資家に自社の取り組みを説明できる企業はリスクが低いと判断され、評価が高まる傾向にある」

　後藤学長によればこういった傾向は現在、日本では東証一部に上場しているような大手企業でみられるという。しかし、今後は中小企業にも浸透していくと見込む。

　「米国では企業のセキュリティ対策や対応力を調査し、その結果を投資会社に販売するビジネスも生まれている。日本ではまだ先進的な企業だけが取り組みを進めている段階だが、いずれはこの考え方が広がり、中小企業などにも求められる時代が来ると考えている」