[オピニオン from CIO賢人倶楽部]

2022年3月8日(火)CIO賢人倶楽部

リスト

　今さらと言われるかもしれませんが、改めて考えを深めて対策を打つべきなのが「デジタルデバイド」、つまり情報格差、ITリテラシーの問題です。これは年代別（Z世代、ミレニアム世代とそれ以前）、職種別、責任範疇（IT部門、管理部門、現場など）によって複数の原因や理由が考えられますが、放置すればさまざまな問題──特に重大なのはサイバーセキュリティによる被害──を引き起こす可能性が大きいです。であるならば、リスクマネジメントの一環として捉え、対策するべきではと考えます。

　デジタルデバイドの例として、例えばベテラン層がWeb会議やビジネスSNSを使えない問題があります。IT部門だと、プログラミング、ネットワークやサーバー、クラウドといった技術面に視点が寄りがちです。もちろんこれらも大事ですが、組織のリスクマネジメントとして捉えると、セキュリティガバナンスの基本を理解するか否かにほかなりません。企業はさまざまな方法でこれに取り組んでいるものの、筆者が知る限り他力本願になっているケースが少なくありません。IT部門任せ、さらにはベンダー任せでは根本的な対応にはなりません。

　もちろん、セキュリティサーベイや定期的なコミュニケーションによる啓蒙活動、社員向けの疑似フィッシングメール送付による訓練、擬似サイバー攻撃を仕掛けるペネトレーションテストなどを実施している企業は多いでしょう。ですが、それらにしても形式的なものにとどまり、例えば提携先までカバーすることは難しいことがあるはずです。何らかの問題が発見されたとして、きちっと対応することは責任部門をどうするかも含めて、悩ましい問題になりがちです。

　そうした問題を乗り越え、自社組織、グループ会社、協力会社などを含めた“毛細血管”までセキュリティガバナンスを浸透させるには、どうしたらよいでしょうか？ エンドポイント管理、サイバーハイジーン（衛生）管理、ゼロトラスト、ネットワークセグメント分離などさまざまな手法・技術があります。これらをマルチレイヤーで導入し、オーケストレーションさせるような対応が必要になってきます。

サイバー攻撃は高度化し洗練され続けながら組織の隙を襲う（イラスト：Getty Images）

●Next：「セキュリティは性悪説で」という定石に弊害も