サイバー攻撃は、もはや大企業だけの問題ではありません。あなたの会社も、明日攻撃を受けてもおかしくない時代です。しかし、多くの日本企業ではサイバーセキュリティ対策が情報システム部門に丸投げされ、経営層の関心が薄いままという現状があります。そんな中、淵上真一氏が編著した『経営層のためのサイバーセキュリティ実践入門~生成AI、DX、コネクティビティ時代を勝ち抜くための必須スキル~』は、経営層にこそ読んでほしい一冊です。本書は、サイバーセキュリティを単なる技術的な問題ではなく、経営課題として捉え直し、ビジネス戦略に組み込むための知識と実践策を提供してくれます。
セキュリティ対策は削減すべきコストではなく必要不可欠な投資
本書が最初に訴えかけるのは、サイバーセキュリティに対する経営層の意識改革です。
経済産業省とIPA(情報処理推進機構)が共同で策定した『サイバーセキュリティ経営ガイドライン』では、経営者が認識すべき3原則とサイバーセキュリティ経営の重要10項目が示されています。本書はこのガイドラインを取り上げ、セキュリティ対策を削減したいコストではなく、事業を拡大するために必要不可欠な投資と考えるよう、経営層に意識改革を訴えています。
これまで多くの企業では、セキュリティ対策にかける予算は削りたいコストと見なされてきました。しかし実際には、情報漏洩が発生した際の補償費用、信用失墜、営業停止による損失は、対策費用の何倍にも膨れ上がります。
本書で紹介される通販会社の事例では、自社サイト内でカード決済を処理していたためカード情報が漏洩しました。決済を専門業者に委託して自社でカード情報を保持しない設計にしていれば被害を防げたケースです。多少の手数料コストを惜しんだ結果、遥かに大きな損失を招いてしまったわけです。
この考え方の転換こそが、本書が経営層に求める第一歩です。セキュリティ投資の必要性を、決算やレピュテーションリスクの観点から理解することで、企業の持続的な成長につながります。
技術論ではなく経営層に必要なマネジメント視点
一般的なコンピュータセキュリティの本は、IPアドレスや暗号アルゴリズム、ログ解析など技術知識に偏りがちです。しかし本書では、あえて詳しい技術論に踏み込まず、経営層に必要なマネジメント、リスク管理、ガバナンスの視点に徹しています。
執筆陣は、NECのCISO(最高情報セキュリティ責任者)を務める淵上真一氏を中心に、NEC所属のサイバーセキュリティ担当者含む総勢15名の専門家チームです。国家安全保障レベルから官公庁、民間企業のセキュリティ実務者、セキュリティ研究者、製品開発担当、DX推進担当、マーケティング担当など、実務経験豊富な選りすぐりのメンバーが集結しています。
こうした経験豊かな執筆陣だからこそ、経営上押さえるべき基本原則や体制づくりを、豊富な図解と平易な言葉で解説できているのです。技術者でない経営層やマネジメント層でも、明日から実践できる内容になっています。
例えば、ゼロトラストという現代のセキュリティの考え方も、物理的な建物の例えを使って説明されています。正面玄関だけに守衛が立って不審者の侵入を防ぐのが従来の境界防御、フロアごと、部屋ごとに入退室管理を行う状態がゼロトラストというわけです。このように、技術に詳しくない人でも理解できる比喩を使って、従来モデルから現代のゼロトラスト・セキュリティへの発想転換が示されています。
知らなかったでは済まされない経営層の責任
日本企業においても、サイバー攻撃が重要な経営リスクと認識されるようになってきました。しかし、実際の対応は情報システム部門に丸投げされていることが多く、経営者やマネジメント層の関心が薄いままなのが現状です。
ところが、サイバーセキュリティによる損失の発生は取締役の責任であり、もはや知らなかったでは済まされない時代になっています。ダボス会議でも重要議題となっているサイバー攻撃は、自社がいつ攻撃されてもおかしくない状況なのです。
近年、不正アクセスやマルウェア、ランサムウェア攻撃などのサイバー攻撃は特別なものではなく、あらゆる企業に日常的に仕掛けられるようになりました。DX(デジタルトランスフォーメーション)の浸透や生成AIの活用拡大により、ビジネス環境のデジタル依存度が増す中、サイバーリスクは一層高まっています。
あらゆる企業が潜在的な標的である現実
サイバー攻撃は大企業だけでなく、中小企業や個人にも日常的に及んでおり、自社は関係ないとは言えない状況です。本書では、実際に年商数億から十数億円規模の中小企業で、顧客情報やクレジットカード情報が不正アクセスにより漏洩した事例が紹介されています。
ある化粧品輸入販売会社(年商十数億円)と、あるパソコンサプライ用品通販会社(年商数億円)の事例では、いずれも外部からの不正アクセスによって顧客名、メールアドレスなどの個人情報が漏洩しました。通販サイトではクレジットカード番号、セキュリティコードなどの情報も流出しています。両社とも現在は無事に運営されていますが、当時は大変な状況に追い込まれたことでしょう。
これらの事例が示すのは、どんな企業でも備えなければ何が起きてもおかしくないという現実です。大企業だけでなく、中小零細企業、個人も関係なく、セキュリティ対策をとっておかなければ何が起きてもおかしくないのです。
経営層が明日から実践できる包括的ガイド
本書の構成は、序章のサイバーセキュリティとはから始まり、第1章で現状とリスク構造、第2章で経営層に求められる役割と戦略、第3章で実践のための組織づくり、第4章でシステム管理、第5章でインシデント対応(ハンドリング)まで、経営層が明日から実践できる包括的ガイドとなっています。
特筆すべきは、本書がサイバーセキュリティを経営課題として捉え直し、ビジネス戦略に組み込むための知識と実践策を、平易な文章と豊富な図版で解説している点です。難解な技術用語は避け、経営層にとって本当に必要な知識に絞り込まれています。
業種や企業規模を問わず、多くの企業経営者・経営層に読んでいただきたい一冊として推奨されるのも納得です。IT中間管理職として、上司である経営層にこの本を薦めることで、会社全体のセキュリティ意識を高めるきっかけになるはずです。
サイバーセキュリティは、もはや情報システム部門だけの問題ではありません。経営層がリーダーシップを発揮し、全社的な取り組みとして推進することが不可欠です。本書は、そのための第一歩を踏み出すための最適なガイドブックです。
コメント