日本企業がセキュリティに関して意識高い系になる為には
どのようにすれば日本企業もセキュリティに対する意識を高く持つことが出来るのでしょうか。
色々と理由をあげることは出来ますが、ここに分かりやすい例を2つ程挙げたいと思います。
よく
「日本企業はセキュリティに対する意識が低く、投資もしない。」
と批判されます。
それは諸外国、特にアメリカ企業との対比として語られることが常です。
では、なぜアメリカの企業はセキュリティに対する意識が高く、投資も積極的に行うのでしょうか。
どのようにすれば日本企業もセキュリティに対する意識を高く持つことが出来るのでしょうか。
色々と理由をあげることは出来ますが、ここに分かりやすい例を2つ程挙げたいと思います。
1. 訴訟のリスク
シリコンバレーでサイバーセキュリティ保険のビジネスを行っている企業のメンバーと会話をする機会がありました。
アメリカの会社はセキュリティ製品やサービスへの投資のみならず、
インシデント発生時に備えての保険の加入のモチベーションも非常に高い、
ということだったので理由を聞いたところ、
「一旦セキュリティインシデントが発生すると既存の取引先から巨額の訴訟を起こされるのが常だ。
保険に入っていないと確実に会社が潰れてしまうので皆、加入に前向きなのだ。」
という意外な回答が返ってきました。
サイバーセキュリティ保険とは自社に生じた損害を補う為の手段と思っていたのですが、
ことアメリカに於いては普段仲良くしているはずの仕事仲間からの訴訟に耐える為の手段だと言うのです。尚、セキュリティ対策を十分に行っていると保険料は安くなる仕組みとなっています。
日本でも日常的にセキュリティインシデントは発生していますが、
取引先が訴訟を起こすという話は滅多に耳にしません。
仮に訴訟を起こすような企業は、
「あの会社は傷口に塩を塗り込むような非情な会社だ。」
という悪評が立ち、ビジネスそのものがたち行かなくなるのではないでしょうか。
日本人の感性で言えば、インシデントを起こした取引先は同情すべき対象ではあれ、
追い剥ぎのように襲いかかるという価値観は想像だに出来ない訳です。
2. CISOの扱い
アメリカの企業の役職の一つに
CISO(ChiefInformationSecurityOfficer)が有ります。
企業のセキュリティに関する第一責任者です。
セキュリティに関する決定権限もありますし、専用の予算も与えられ、給与もよい、と聞きます。
アメリカではCISOが変わるとセキュリティシステム全体が刷新されることも珍しいことではないそうです。その代わり、セキュリティインシデントが発生した暁には即解雇となります。
「権限も予算も給与も潤沢に与えたのに仕事をしていないではないか。」
という訳です。
「CISOのSは”Security”のSではなく、”Scapegoat”のSだ。」
と揶揄される所以です。
一方、日本の企業にもCISOと呼ばれる方が少しずつ出てきていますが、
予算や権限等十分に与えられているかと言えばそうではなさそうです。
色々と皆さん、社内政治に苦労されている様子です。
その代わり、インシデントが発生しても即解雇とはならないでしょう。
CISOに限らず、日本企業に於いてセキュリティインシデントが発生しても誰かが詰め腹を切らされることは無いのです。
もちろん上記2点以外にも多数理由は考えられます。
が、このように見てくると、アメリカ人にしても
別に高尚な理由を持ってセキュリティ対策を行っている訳ではなく、
寧ろやむにやまれずやっている部分も見えてきます。
従って日本企業全体がセキュリティに対する意識を高く持つことは「原理的には」非常に簡単です。
日本が訴訟社会となり日本企業が解雇を厭わない文化となればよいのです。
さて、我々日本人はセキュリティに対する意識を高く持つ代わりに、
そのような「冷たい」関係性を結ぶことに耐えられるでしょうか?