問題なのは、大混乱を巻き起こした原因が技術的エラーではなく、昔ながらのヒューマン(人的)エラーだったことだ。
ヒューマンエラーは目新しいことではなく、私たち人類が存続する限り存在し続けるものだ。だがそれでも、サイバーセキュリティーにおいてリーダーシップを発揮するには、日々細かい部分に注意を向け、そうした細部に関して自身や各自が責任を持つようにする必要がある。
米国海軍特殊部隊SEALs(シールズ)の元隊員で、サイバー対策を含む総合セキュリティーを提供するビンデックス・グループ(Vindex Group)を創業したマーカス・カポーンCEOは、今回のランサムウエア攻撃によって、ソフトウエアのパッチ導入という一見ささいな問題についてもリーダーの立場にいる人々が勤勉かつ積極的に取り組まなければいけないことが、改めて示されたと指摘。
「物理的セキュリティーの世界では『何かを見たら声を出す』習慣が効果的だと実証されている。今日のリーダーは、物理的世界とサイバー世界はつながっているという現実を受け入れなければならない。両者はシステムの一部。企業のITインフラの弱点を入念に調査し修正しなければ、会社全体が危険にさらされる」と述べている。
元特殊作戦部隊所属で現在はリーダーシップコンサルタント・文筆業を営むJ・C・グリックは、「各企業はこれから起こり得ることには備えておらず、起こると信じていることに備えている」ものの、予測が外れた場合の危機管理計画を持っていないと指摘している。
WannaCryによるサイバー攻撃による混乱の中にも、学びを得る大きな機会はある。今回リーダーが学ぶべきことは以下の4つだ。
1. 明確さが意思決定を左右する
何よりも優先順位を明確にすること。目標を定めても、それに明確さが欠けていたら何の意味もない。明確な目標を設定することで、今日のビジネスにおける価値を維持するために重要な意思決定に活気と指標を与えられる。
従業員がコンピューターのアップデートを思いとどまった理由の一つが、予算だ。確かに何万台ものコンピューターをアップデートするとコストはかさむものの、アップデートを避けることもコストにつながる。古いバージョンのまま残しておくコストの方が、最新に保つ場合の経済的負担をはるかに上回る。
明確さの欠如はさまざまな企業にまん延し、覇権争いの一因ともなっている。「勝つこと」がどういう状態かが明確に示されていないと、対立するビジネス機能同士が、限られたリソースをめぐって争いを始めてしまうためだ。会社の優先事項を明確化し会社全体に伝えるには時間と高い意識が必要だ。だが、これを怠るとどうなるだろう?
