なぜ企業は、サイバー被害をいたずらに拡大させてしまうのか？

　近年、企業ではセキュリティ責任者としてCISO（Chief Information Security Officer）を選出して、彼らに対策を任せていることが多い。しかし、その上の取締役会において、サイバーリスク管理の取り組みを積極的に実施している企業は、ほとんど皆無なのが実情だろう。

　サイバーセキュリティは単なるITの問題でなく、全社的なリスク管理の問題だ。その法的意味を理解するために、CISOは法務部長が兼任しているケースが目立つ。とはいえ、法務部長は非役員であり、期待される任務を両方とも遂行することは難しい。

　名和氏は「特に株主総会の準備や大型案件の契約処理などを抱える多忙な時期だと、仕事を兼務しているとリーダシップが発揮できません。結果的に一部の企業では、ステークホルダーからの同調圧力でCISOを採用しているにすぎず、このような実態がサイバー被害をいたずらに拡大させる要因の1つになっているのです」と指摘する。

　日本では2013年に『サイバーセキュリティ戦略』が発表されたが、英国国際戦略研究所による「サイバー能力と国力」に関するネット調査では「狭い技術的な種類の古典的な情報セキュリティの修辞的（美辞麗句的）な原則に焦点を当てた」と表現されており、決して褒められた評価ではない。

　実際に『政府機関等のサイバーセキュリティ対策のための統一基準群』では「適切」「必要に応じて」という言葉が多用されている。しかし、これらを誰が判断するのかは明確でなく、外部や現場に丸投げしている。何かあれば矢面に立たされるのは現場側なので、「やっている感を醸し出す旧態依然の情報セキュリティ対策が横行している」（名和氏）という。

　しかし、このような状態が続けば、高まるサイバー脅威から企業利益を守ることはできない。そろそろ企業も真の意味でサイバーセキュリティに本腰を入れる必要があるのだ。