企業のサイバーセキュリティ対策は、以前から「経営課題」として認識すべきだと言われてきた。だが実際は、経営層はIT部門、セキュリティ部門に丸投げしていることも多く、自社の現状がどのようになっているかを把握している人は少ないのではないだろうか。それにより、いざサイバー攻撃を受けた際の報告にも時間がかかり、対応策が後手に回ることで、被害が拡大してしまうケースも多く見られている。

この状況を放置して良いわけがない。セキュリティ企業であるS&Jで、長年企業が受けるサイバー攻撃とその対処の現場を経験してきたSOCエバンジェリストの石川剛氏は、こう警告する。

「今日のビジネスは、多数の企業同士が接続されたサプライチェーンによって成り立っています。1社のセキュリティ不備が、供給、製造、販売網のすべてに影響する。事実、日本でも港湾管理会社がサイバー攻撃を受けたことで、サプライチェーンに直接ダメージがあり、自動車メーカーの工場が一時稼働を停止する事態に陥りました。もはや経営者にとってのセキュリティは、自社だけの責任の話ではなく、業界全体の成長を脅かす重大な問題となっています」

日本政府もこの危機を認識しており、とくに経済産業省が開示している「サイバーセキュリティ経営ガイドライン」では、セキュリティについて経営者のリーダーシップを強く求めている。同時に罰則面にも触れており、セキュリティ体制の構築や管理に不備があり企業に損失が生じた場合、経営者は株主から「善管注意義務違反」（良い管理者たる義務の不履行）に基づく損害賠償責任を問われる可能性があるとしている。

これほど切迫しているにもかかわらず、なぜ企業は効果的なセキュリティ対策を打てないのか。それは、いまだにセキュリティを、付加価値を生まない「コスト」としか捉えていないことが大きいと石川氏は話す。多くの企業が、最小限のセキュリティ対策でコストを抑えようとしてきた背景もあることから、ガイドラインでは企業に対してこの考え方を改め、セキュリティを事業活動の継続と成長に必要不可欠な「投資」と位置付けるべきだとしている。

脅威の実態を知り、成果につながるセキュリティへの投資を行うためには、何が必要か。セキュリティに強い組織の考え方やシステムについて、次ページで紹介していく。