「セキュリティー人材は理系」という 経営者の誤解

Sorry, this entry is only available in Japanese. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language.

「サイバーセキュリティー」と聞くと、多くのビジネスパーソンは「避けることのできないコスト」「よくわからない危険なもの」などと思い込んで、できる限り触れないようにしようと考えがちだ。ハッカーは眠りに落ちることなく、絶え間なく我々の身近を攻撃してくる。その対策を取らないまま放置していると、経営に深刻なダメージを与える損害が待っている。斎藤ウィリアム浩幸氏は、「今こそ経営層が組織の在り方を見直す好機だ」と指摘する。

末端にあった小さなセキュリティーの綻び

「サイバー対策は、経営層に縦割り組織の見直しを促す」と斎藤氏
 2013年、米国の大手小売り流通業「ターゲット」がハッカーによる攻撃を受けて大量の個人情報が流出。株価は暴落し、巨額の損失を出しました。この結果、当時のグレッグ・スタインハーフェル最高経営責任者(CEO)は辞任に追い込まれました。

 当時の米国では、サイバー攻撃がさんざん話題になっており、売り上げ規模が全米5位だったターゲットも、もちろん一流のセキュリティー会社にセキュリティー対策を委託していました。

 しかし、マルウエア(悪意のあるソフトウエア)が侵入した元をたどると、なんと空調機でした。同社はPOS(販売時点情報管理)システムとつながっているネットワークに空調システムも接続していたのです。残念ながら、空調管理を委託していた会社のセキュリティー対策は脆弱なものでした。

 ターゲット本社のセキュリティーは万全だったにもかかわらず、末端部門を委託した別会社のセキュリティーが甘かった。まさに縦割りのセキュリティー対策が、経営に大きなダメージを与えた事例です。この事件を受けて、同社はトップ直結のサイバー対応部隊をつくり、重要な経営課題として管理するようになりました。

さらに危険な状態にある日本の企業

 日本の企業は、ターゲット社よりも一段と構造的なセキュリティーの脆弱性を抱えているところが大半です。大手企業の多くは、これまでIT(情報技術)分野を外部のシステムインテグレーターに「丸投げ」してきました。さらに「カンパニー制」を採用し、ICT部門を切り離してしまうと、経営者たちは「サイバーリスクのことはよくわからないから、セキュリティー部門に聞いて」と、人ごとのように経営とは別のものとして捉えがちです。しかし、サイバー攻撃は、ターゲット社のように「経営者が見落としている入り口」から入り込むのです。

 実は、「サイバーセキュリティーは経営課題だ」という議論は、10年以上も前から指摘されていたことです。しかし、実際に経営層の意識が10年前に比べて高まったかといえば、まだまだと言わざるを得ません。

 それでは、いま経営者は何をしなければならないのでしょうか。まず必要なのは「CSO(最高セキュリティー責任者)」などのしかるべき役職を設け、あらゆる経営のリスクに備えるプロを据えることです。

 どんな人材が、責任者として適しているでしょうか。多くの人は、「理工系の技術人材が必要」と考えるでしょう。ところが、そうではありません。サイバーセキュリティー対策とは、むしろ文系の人材に身近な課題なのです。私は、複数の企業で、サイバーセキュリティーのアドバイザーを務めています。そこで痛感するのは、理工系の難しい問題を、わかりやすく経営層や政治家に伝えられる人材が圧倒的に足りないことです。

 私がサイバーセキュリティーの専門家として活動する際には、医学部で学んだ患者との対応法のスキルが役に立っています。患者が「ここが痛い」と示しても、原因は他の場所にあるというケースは少なくありません。そこで患者の訴える事象を解きほぐして理解し、正しい原因を突き止めるスキルは、理工系の能力ではありません。心理学や経済学、デザインといった手法をアレンジしながら、人間のウエットな部分にとことん向き合うスキルが重要なのです。

理想はiPhoneの指紋認証

 経営者として忘れてはならないのは、サイバーセキュリティーを上手に機能させるための三原則である「コスト」「堅固性」、そして一番大切な「機能性の向上」です。仮に、立派なCSOを置いて、堅固なシステムを構築しても、機能性を軽視してしまえば、社員は面倒に思うだけでしょう。その結果、セキュリティー対策は毎年1度の防災訓練と同じように、「形式的」で「一過性のもの」になってしまいます。

 使う人が意識しない、気づかないほど本来の機能に馴染(なじ)んでいることが、最良のサイバーセキュリティーといえます。理想的なのはiPhoneの指紋認証です。指を置いてタッチするだけで、スマートフォン(スマホ)が起動するしくみは、ユーザーの利便性と安全性を高めました。ユーザーは快適になる一方、セキュリティーによる枷(かせ)を感じることはないはずです。

 セキュリティー対策を講じれば、業務の効率化やコミュニケーション手法の見直しにもつながります。古い縦割り型の組織を、現代的に、効率的に変革する機会をフイにしては、サイバー攻撃を受ける前に企業の体力が衰えてしまうでしょう。

 サイバーセキュリティー対策を、単なる「守り」と考えて嫌忌するのは誤りです。むしろ収益を生む部門、プロフィットセンターと捉えて、商品や組織の機能性を見直した企業こそ成功する。これが現在の世界の潮流です。サイバー攻撃がいよいよ経営の大きなダメージとなる今、もはや待ったなしの状況です。いまこそ経営層が「安心・安全」と効率的な働き方を基盤にした組織にコミットして、対策を真剣に考えるときがきています。

日経College Cafeで掲載された

Posted by whsaito

Leave a Reply

Your email address will not be published. Required fields are marked *

 

Do NOT follow this link or you will be banned from the site!