だからといって、危険だからデジタル化はするべきではないということでは決してない。活用することでさまざまなメリットや新しい世界が生まれるからこそ、目的やゴールに応じてテクノロジーは積極的に活用するべきだ。
例えば、一層加速するクラウドの活用も、設備投資の削減やスピード感あるビジネスの実現といったメリットをもたらしてくれる。製造業や人材不足により業務委託先にITシステムやセキュリティの管理を依存している企業では、インターネット経由で接続する仕組みを活用することで、遠隔地から稼働状況の監視やシステムの運用・保守ができる。しかし、共通しているのは、セキュリティに不備があれば必ずリスクにつながってしまうことだ。安全性をセットで考えなければ、正当にメリットを享受しようとする人たちだけでなく、悪意を持った輩にもメリットを与えることになる。先の半田病院の事例でも、遠隔での保守を可能にする機器にあったセキュリティの欠陥が1つの原因となった。
経営層がセキュリティに対して積極的に関与するべき理由
セキュリティだけでなくIT自体、これまで多くの企業では「コストセンター」として扱われてきたのではないだろうか。結果として、必要最低限の費用でパソコンやソフトウェアを調達するというやり方が一般的だっただろう。ITシステムが単にメールや文書編集、ウェブ閲覧をするだけのものだった時代には、それでよかったかもしれない。しかし、テクノロジーやデジタル化されたデータが業務やビジネスを動かす時代になった今、残念ながらそうはいかない。
筆者が勤務するパロアルトネットワークスが2021年に実施した調査では、サイバーセキュリティが投資対象になっていると断言できる国内企業は約2割という結果となった。これを多いと見るか少ないと見るかは意見が分かれるかもしれないが、この2割と残りの8割では、セキュリティ施策がどれだけ包括的に行われているか、そして各領域でどれだけの粒度で行われているかという観点で見ると決定的な違いがある。
セキュリティインシデントによって、システムの復旧に数億円を要したり、数百億円の赤字を計上する事態が普通に起きている。その10分の1、100分の1でもセキュリティに投資していたなら、違う結果になっていたかもしれない。テクノロジーを活用するのであれば、ビジネスゴールや利便性に加えて、安全性もセットで検討することが不可欠だ。どんなに見た目や燃費が良い自動車だとしても、ブレーキやエアバッグに問題が起きないようにメンテナンスに出して常に最善の状態にして運転するのと理屈は同じだ。
サイバーリスクに対する理解は以前と比べて進んではいるものの、現場レベルの担当者や部門責任者の方々と話をすると、対策を強化したい一方で「経営層に必要性を理解してもらえない」「予算がおりない」という話は依然として出てくる。クルマのメンテナンスは所有者が自分で必要な投資を捻出できるが、企業のセキュリティに必要な投資を確実に確保できるのは現場の担当者でも部門の責任者でもなく経営者だ。経営層が積極的に自組織のセキュリティに関与する、あるいは積極的に関与しなくとも、安全性の確保を含めた必要な予算を確保することが当たり前の世界が1日でも早く来ることが望まれる。
連載:「あの」インシデントから紐解く企業セキュリティの本質
過去記事はこちら>>
