三角育生教授が説く「戦略マネジメント層」の重要性──セキュリティリスクを経営陣に理解してもらうには？

経営層・各部門リーダーのセキュリティ意識を向上させるために有効なアプローチとは？

　サイバー攻撃への対応は、脅威を認知してからの初動の早さも重要となる。たとえば2015年、日本年金機構に不正アクセスがあり、約125万件の個人情報が流出した事件があった。報告書を見ると、夜間に不正アクセスを検知した後、ネットワークの遮断といった対応を行うまでに時間を要した結果、大量の情報が盗み出されてしまったことがわかる。

　「こういった事態を防ぐためにも、企業は日頃から経営判断をともなうケーススタディを、経営層や各部門のリーダーを交えてディスカッションすることが重要だ」と三角氏は説明する。

　たとえば、実際に起こったサイバーインシデントを例に挙げながら、「ランサムウェアに感染した場合、事業継続か、被害拡大防止のためのネットワーク遮断か、どちらを優先すべきか」といった、正解のない問いを投げかける。「様々なリスクを加味すると、ネットワークは遮断せざるをえない」「しかし、そうなると事業を継続できない」といった議論を繰り返すことで、日頃から取るべきセキュリティ対策について考える機会を設けられる。このような実践は、経営者がサイバーセキュリティを自分事として捉え、いざという時の初動判断のスピードを上げることにつながる。

　また、「AIの活用においても同様の視点が求められる」と同氏。AIは新たなビジネス価値を創出する一方で、プロンプトインジェクションのようなAI固有のリスクに加え、従来のWebアプリケーションの脆弱性を悪用されるなど、従来のサイバーリスクも依然として存在する。経済産業省と総務省が発行している『AI事業者ガイドライン』に記載があるとおり、AIシステムがもたらすリスクを適切に評価し、サイバーセキュリティ対策と一体で取り組む体制を構築することが必要だ。

　DXとセキュリティは、二律背反するものではなく、ビジネスを成功に導くための「両輪」である。その両輪をスムーズに動かすためには、経営者自らが強いリーダーシップを発揮し、全社的な取り組みとしてサイバーリスクを管理する体制を構築する必要がある。IT部門や事業部門、経営企画部門といった各セクションが分断されることなく、共通の目標に向かって連携し、日頃からリスクと便益の最適なバランスを議論する文化を醸成すること。そして、その対話を促進する「戦略マネジメント層」の人材を育成すること。これこそが、複雑化する現代ビジネスにおいて、企業が持続的に成長するためのカギとなる。

　サイバーリスクを恐れてDXを躊躇するのではなく、DXの便益を最大化するために、リスクも適切に管理する。この前向きな視点こそが、これからの企業経営に求められる資質だ。