2019年07月24日、日本のサイバーセキュリティ対策が危機的な状況にあることが、野村総合研究所傘下のNRIセキュアテクノロジーズによる調査で浮き彫りになりました。日本企業の多くが目先の脅威への対応に追われる一方で、将来を見据えた戦略を欠いている実態が明らかになっています。具体的には、3年程度の中長期的な計画を策定している日本企業はわずか23.8%に過ぎません。この数字は、企業のデジタル化が進む現代において非常に心許ないものと言えるでしょう。
一方で、海外に目を向けると状況は大きく異なります。米国企業では70.5%が中長期計画を保持しており、シンガポール企業も68.1%と高い水準を維持しているのです。日本とこれら諸国との間には、実に3倍近い開きが存在しています。SNS上では「日本はいつも火消しに躍起で、防火対策が疎かになっている」といった、現状を危惧する声が目立ちました。攻撃手法が日々進化する中で、場当たり的な対応だけでは限界があることは明白ではないでしょうか。
そもそも、サイバーセキュリティにおける「中長期計画」とは、単なるシステムの更新予定ではありません。将来発生し得るリスクを予測し、予算や人材をどのように配分するかを決める経営の羅針盤です。これが欠如しているということは、霧の中で目的地を定めずに航海しているようなものでしょう。目先のウイルス対策や不正アクセスの監視といった「運用」にばかりリソースが割かれ、根幹となる戦略作りが後回しにされている現状は、経営基盤を揺るがしかねない深刻な問題です。
専門家が指摘する「戦略的ダウンサイジング」と人材活用の鍵
なぜ日本企業はこれほどまでに計画策定が遅れているのでしょうか。NRIセキュアの名部井康博セキュリティコンサルタントは、その背景に深刻な「戦略策定人材の不足」を挙げています。ここで言う人材不足とは、単に人数が足りないことだけを指すのではありません。本来なら高度な判断を下すべき優秀な専門家が、日々の膨大な「ログ(通信記録)」の分析作業や、セキュリティ製品のメンテナンスといった定型業務に忙殺されていることが真の問題です。
ログとは、ネットワーク内で「いつ・誰が・どこにアクセスしたか」を記録した膨大なデータの履歴を指します。これを24時間体制で監視するのは骨の折れる作業ですが、現在はAIや最新のITツールによって自動化が可能です。また、こうした保守運用の実務は、外部の専門企業にアウトソーシング(委託)することも有力な選択肢となるでしょう。貴重な社内人材を単純作業から解放し、より付加価値の高い戦略立案へとシフトさせることが、今の日本企業には強く求められています。
私は、今回の調査結果は日本企業の「現場至上主義」が裏目に出た結果だと考えています。現場のトラブルを解決する能力は高く評価されるべきですが、サイバー攻撃が国家レベルの脅威となっている今、現場任せの対応には限界があります。経営層がセキュリティを「コスト」ではなく「投資」と捉え直し、専門家が未来を描ける環境を整えるべきです。今こそ、人材配置を根本から見直し、世界基準の守りを構築するための大きな一歩を踏み出す時ではないでしょうか。
コメント