最近も、防衛産業を担う複数の大手企業で、情報漏えいの可能性がある不正アクセスがあったことが公表されました。それらの企業のなかには、防衛産業を担うと同時に、情報セキュリティに関連したソリューションも販売しているところがあります。いわば、情報セキュリティ対策の面ではトップクラスの組織であったはずです。そうした企業でも不正アクセスにもろさがあるという現実を、再び突き付けられたと感じます。

つまり、「攻撃されれば成功されてしまう確率は高い」という前提で、モノを考える必要があります。

そんな中で、気になる記事を見かけました。米国と英国での調査だということですが、企業のCISO（最高情報セキュリティ責任者）は強いストレスにさらされ、休日でも気持ちが休まらず、結果として健康を害する人も少なくなく、平均在任期間は26カ月だった、という内容です。

記事では、CISOの仕事の現実を、次のように表現しています。

（記事からの引用）
現在のCISOの仕事は、低予算で、労働時間は長く、経営陣に対する発言力も小さく、雇用できる訓練された専門家は減る一方で、しかもサイバー攻撃に対抗できるインフラを十分に整えられないストレスに恒常的に晒され、常に新たな脅威のプレッシャーを受けている。そして、よい仕事をしても褒められることがない一方で、何かが起これば全責任を負わされるという過酷なものだ。

日本の中堅中小企業で、CISOを置いているところは、ほとんどないだろうと推察します。ということは、上記のような役割を担うのは社長自身であると言えます。その場合、平時は上記のような窮屈さもストレスもプレッシャーも感じないでしょうが、いざ情報セキュリティに関する問題が明るみに出れば、途端に「全責任を負わされる」という状況になるでしょう。

だからといって、「では責任を負ってもらえる専門人材を雇えばよい」という発想もまた、問題があるわけです。情報セキュリティの問題を、特定の責任者が全責任を負う問題に帰結させるべきではありません。わたしは2014年に、ベネッセコーポレーションで大規模な個人情報漏えい事件が発覚した際に、この点について当コラムで指摘をしました。同社でもこの事件の際、当時のCIOが責任を取って辞任しています。

先に申しあげたとおり、「攻撃されれば成功されてしまう確率は高い、という前提で、モノを考える必要がある」のです。どんなに実績がある優秀な情報セキュリティ人材を採用しようが、これは同じです。

情報セキュリティ対策を整備するなら、その体制や各種の具体策は、社長以下「組織」の総意で立案し合意するように検討を推進するべきだろうと思います。

具体的な対策を立案するにあたって、それをリードする専門人材は必要でしょう。ただし、立案する対策に責任を持つのはあくまで組織であって特定の責任者に帰属させない、例えば委員会組織をつくってそこで議論と承認を行い、責任は委員会組織で持つようにする、という体制にするべきです。そしてそれを明確に社内に示し、関係者には無用なストレスを感じることなく従事してもらいます。

一方で、「攻撃されれば成功されてしまう確率は高い、という前提で、モノを考える」とすれば、どのレベルまで対策を高度に整備すれば必要十分なのか、も課題になりやすいかもしれません。

この点についてわたしは、その会社なりに徹底的に考えたことが対外的に説明できるならそれで十分、と考えます。何らかの攻撃をされ、何らかのリスクが現実のものとなり、対外的に公表や謝罪をする必要が発生した時、会社は説明責任を求められます。このときに対策の努力を認めてもらえるだけの説明ができるかどうか、という判断基準です。

事故が起こった以上は、批判は免れないでしょう。しかしその際に、「無策で穴だらけだった」と思われるか、「できることはすべてやっていたが不十分な点があった」と思われるかでは、雲泥の差があります。また、考え抜かれた対策がすでにあるのなら、その問題点を認識して補う行動もしやすいものです。逆に、たいして考え抜かれていないなら、有事の際に素早い対応はできず、傷口はさらに広がります。

大事故になればなるほど、社会的な影響が大きな事故であるほど、CISOがいようがいまいが、説明責任は社長自身が果たさなければなりません。それは、過去の大企業での情報セキュリティ事故における、記者会見の報道などを見てもわかることでしょう。そのとき、言いよどむことのない説明を行うことができるのか。経営者の方々には、このような視点で自社の情報セキュリティの体制と対策を、見つめていただければと思います。