2020年の東京五輪開催が刻一刻と近づく中、日本企業を取り巻くデジタル上の脅威がかつてないほど高まっています。2019年12月06日現在、サイバー攻撃を受けた際の被害を最小限に抑える「サイバー訓練」が、各界で爆発的な注目を集めていることをご存知でしょうか。驚くべきことに、1人あたり50万円という高額な参加費を掲げる民間サービスであっても、募集を開始すれば即座に定員が埋まってしまうほどの熱狂ぶりを見せています。
2019年11月中旬、私は情報処理推進機構(IPA)が実施したサイバー防衛演習の現場を取材しました。そこでは、単なる技術的な復旧作業に留まらない、極めてリアルで泥臭い人間ドラマが繰り広げられていたのです。演習の舞台は、工場や発電所といった社会の根幹を支える「制御システム」が攻撃されたという緊迫したシナリオです。専門知識を持つエンジニアたちが復旧を急ぐ中、訓練は予想だにしない展開を見せました。
「身代金を払え」と迫る上層部!訓練が映し出す組織の混乱
議論が白熱する演習室に突如、最高財務責任者(CFO)役の講師が乱入しました。「社長の許可は取った。システムを動かすために今すぐ身代金を支払え」という、現場を無視した独断専行の指示が飛びます。この瞬間、受講者たちは絶句し、現場は混乱の渦に叩き込まれました。実はこれこそが、現代のサイバー対策における最大の課題である「経営層との連携不足」を突いた、意図的な演出なのです。
サイバー攻撃への対応は、もはやIT部門だけの問題ではありません。この演習「サイバークレスト」が重視するのは、ステークホルダー、つまり利害関係者との対話です。経営陣へ適切に報告を行い、現場の暴走や誤った判断を防ぐ能力が問われています。一流の講師陣を招いたこの訓練には、日本を代表する電機や素材メーカーの管理職らが詰めかけ、その危機感の強さを物語っていました。
市場調査によれば、国内のサイバー訓練市場は2018年の約112億円から、2022年には150億円を突破する勢いで急成長しています。背景には、五輪を狙った攻撃への警戒はもちろん、過去に起きたスマホ決済サービス「セブンペイ」の不祥事に見られるような、経営陣の「説明責任」や「失言リスク」に対する強い懸念があると考えられます。
日本企業に求められる「初動」のスピードと継続的な備え
海外と比較して、日本企業のサイバー対応の遅さは顕著です。攻撃を検知してから対処するまでの時間は平均223時間と、欧米に比べて4割以上も時間を要しています。また、欧州のGDPR(一般データ保護規則)のように、セキュリティー設計の不備に厳罰を科す法規制も強化されており、もはや「知らなかった」では済まされない時代が到来しています。
私は、この過熱する訓練ブームをポジティブに捉えています。しかし、高額な費用を払って「一度体験しただけ」で満足しては意味がありません。サイバー攻撃の手口は日々進化し、組織の担当者も入れ替わります。防災訓練が毎年行われるように、サイバー対策もまた、組織の文化として根付かせる継続性が何よりも重要です。
SNS上では「50万円は高いが、不祥事で失う信頼に比べれば安い投資だ」という声が上がる一方で、「そもそも経営者が訓練を受けるべきだ」という本質的な指摘も散見されます。五輪を目前に控えた今、技術と経営が手を取り合い、真の防衛力を養うことが、日本企業にとっての急務と言えるでしょう。
コメント