マクスウェル・アレス氏は、Alles TechnologyのCEO。資産運用業界向けサイバーセキュリティの第一人者である。
サイバーセキュリティの失敗の多くは、ハッカーから始まるわけではない。
それは、ある一言から始まる。
「それはもう対応済みだ」「それはIT部門の問題だ」「我々はコンプライアンスを遵守している」「これまで何も起きていない」
私はこうした言葉をすべて聞いてきた——しかも、組織を真剣に考え、正しいことをしようと誠実に努力している、聡明で経験豊富なリーダーたちから。そして私は、サイバーリスクは単に怠慢を罰するのではないことを学んだ。それは思い込みを罰するのだ。
だからこそ、インシデントが発生したとき、衝撃的に感じられることが多い。警告サインがなかったからではなく、リーダーたちが自分に言い聞かせていたストーリーが真実ではなかったからだ。
問題の規模は、それを無視することを不可能にしている。最新の米連邦捜査局(FBI)の報告書によると、2024年のサイバー犯罪による損失は160億ドル以上に達し、前年比33%増となった。これは周辺的な問題ではない。静かに現れるが、公に爆発する可能性のある、主流のビジネスリスクなのだ。
どの企業も無視できないリスクである。
以下は、私がリーダーたちが固執しているのを目にする7つのサイバーセキュリティの神話と、実際に機能する対策である。
神話その1:「サイバーセキュリティはIT部門の問題だ」
この考えは心地よい。そして、間違っている。デジタル面で何か問題が起きたとき、誰もまずソフトウェアの設定について尋ねたりしない。彼らは次のような質問をする:
• 事業を継続できるか?
• 誰に、いつ伝えるべきか?
• 法的に何を言う義務があるか?
• 信頼を失わずに、どう説明するか?
これらは技術的な質問ではない。リーダーシップに関する質問であり、プレッシャーの下ではより困難になる。
規制当局はこの変化を理解しており、しばらく前からシグナルを送っている。例えば、米証券取引委員会(SEC)は、資産運用組織がサイバーインシデントを検知し、対応し、回復できる能力を持ち、影響を受けた個人に30日以内に通知しなければならないことを明確にしている。
実際に機能する対策
確実性が低い状況で誰が行動する権限を持つかを、事前に決定しておく。その場で考えようとすると、混乱が被害を拡大させる。
神話その2:「我々は小さすぎて標的にならない」
攻撃者は経営幹部のような考え方をしない。彼らは「この企業は大きいか?」とは尋ねない。「この企業に侵入できるか?」と尋ねるのだ。
今日のサイバー犯罪は自動化されている。高速だ。そして、個人的に感じられることはほとんどない——実際にそうなるまでは。攻撃を受ける組織は、必ずしも最大規模ではない。信頼、スピード、ルーティンが交差する組織であることが多い。
Verizonの「2025年データ侵害調査報告書」によると、調査された侵害の44%にランサムウェアが存在し、小規模組織が不釣り合いに多く攻撃を受けている。
実際に機能する対策
組織を外部者の目で見る。どこで意思決定が迅速に行われているか?どこで例外が一般的か?信頼が検証に取って代わる場所では、リスクが集中する。
神話その3:「優れたツールを購入したので大丈夫だ」
この神話は高くつく。私が見てきた深刻なインシデントのほぼすべては、テクノロジーに投資していた組織で発生しており、時には多額の投資をしていた。ツールがどれほど優れていても、「設定して忘れる」ソリューションではない。サイバーセキュリティの専門家による監視が必要だ。また、今日「最高クラス」のソリューションであっても、明日もそうであるとは限らない。
IBMの「2025年データ侵害コスト報告書」によると、米国における侵害の平均コストは1022万ドルであり、迅速に行動する組織ははるかに少ない損失で済むことが示されている。
実際に機能する対策
何を追加購入すべきかを尋ねるのをやめる。代わりに次のことを尋ね始める:
• 異常なことに迅速に気づくだろうか?
• 人々は誰に連絡すべきか知っているだろうか?
• 意思決定は噂よりも速く進むだろうか?
神話その4:「コンプライアンスを遵守しているので安全だ」
コンプライアンスは重要だ。しかし、誤解されている。コンプライアンスは、プレッシャーの下で人々がどう行動するかを教えてくれない。
攻撃者はあなたのポリシーを読まない。そして規制当局は、書類よりも、重要な時に実行できるかどうかをますます重視するようになっている。
実際に機能する対策
文書ではなく、準備状況をテストする。明日何か問題が起きたら、適切な人々がそれに気づき、行動するまでにどれくらいの時間がかかるだろうか?
神話その5:「これまで何も起きていないので大丈夫だ」
これは心地よい結論だ——そして最も危険である。
多くのサイバーインシデントは長期間見えないままである。明白な被害がないことは、システムやプロセスが静かに悪用されていないことを意味しない。
Verizonの報告によると、侵害における第三者の関与は30%に上昇しており、組織がパートナーやベンダーを通じて気づかないうちに影響を受けることが増えている。
実際に機能する対策
自己満足に挑戦する簡単なルーティンを構築する。定期的に尋ねる:誰がまだアクセスを必要としているか?誰が必要としていないか?他に誰が我々のシステムに触れており、その取り決めをまだ信頼しているか?
神話その6:「強力なセキュリティは我々を遅くする」
これはよく聞く。そして、物事を逆に捉えている。実際には、最も破壊的な力はセキュリティではなく、インシデントだ。侵害は緊急の回避策、業務の麻痺、評判の損傷、そして事前に慎重に行うコストをはるかに超える、数週間または数カ月にわたるリーダーシップの注意散漫を生み出す。
IBMの調査によると、テクノロジー導入のガバナンスが不十分な組織は、侵害コストが高く、回復時間が長くなる。
実際に機能する対策
明確なルールと一貫したプロセスは、躊躇を取り除く。二の足を踏むことを減らす。人々がリアルタイムで答えを考案する必要がないため、意思決定を加速する。
神話その7:「保険が対処してくれる」
住宅保険に加入しているからといって、木が家に倒れてくるのを招待すべきではない。保険は金銭面で助けになる。しかし、信頼性の面では助けにならない。
FBIは、多くの被害者が損失を完全に回復することはないと指摘している——インシデントが迅速に報告された場合でも。そして保険は、一度揺らいだ信頼を修復することはできない。
実際に機能する対策
保険を計画ではなく、セーフティネットとして扱う。準備こそが、悪い日が決定的な瞬間になるかどうかを決定するものだ。
最後に
認識が転換点である。これらの神話が持続するのは、リーダーたちが不注意だからではなく、神話が馴染み深く、心地よく、何かが壊れるまでほとんど疑問視されないからだ。リーダーたちがそれらを本来の姿——思い込み——として認識した瞬間、彼らは失っていたことに気づかなかった影響力を取り戻す。
サイバーリスクの克服は、完璧主義や過度な警戒ではない。誤った自信を、意図的な選択、訓練された対応、明確な説明責任へと転換することだ。リーダーたちがこれらの神話に警戒し、積極的に解体するとき、サイバーセキュリティは抽象的な脅威であることをやめ、最も重要な時のリーダーシップの目に見える表現となる。
