実態をイメージしにくいサイバーリスク
名古屋港は、サイバー攻撃に対し、即座に対応が取れたと評価できる。ただ、これを他の企業が実施するのは容易ではない。
有事における迅速な対応にあたっては、平時からのサイバーセキュリティ体制の構築・強化が必要となるが、ランサムウェア攻撃を受けた企業のうち半数以上が復旧までに1週間以上要しているという上記データからも分かる通り、適切な体制の構築・強化は大きな課題となっている。
企業が平時からサイバーセキュリティ体制を構築・強化するにあたってのハードルとして、予算や専門人材の不足はよく指摘されるところである。
筆者は企業におけるサイバーセキュリティ体制の支援を専門としているが、経営層やセキュリティ担当者とのやり取りを通じて気づくのは、予算や専門人材の不足に加えてサイバーリスクの実態がイメージしづらいという点である。
企業が直面するリスクとして例えば地震や台風による業務停止を想定した場合、過去に直接経験したことがあるか、映像を通じて間接的に経験したことがあるため、リスクそれ自体およびリスクが顕在化した場合の対応シナリオを想像しやすい。その結果、災害対策マニュアルの策定にあたって、有事の際の対策責任者の選定、代替オフィスの確保、即応した要員の確保、 迅速な安否確認など具体的な対策を盛り込むことが可能となる。
一方で、サイバーリスクの場合、多くの企業が体験したことのない比較的新しいリスクであることに加え、サイバー攻撃は物理的空間ではなくサイバー空間で発生するため、リスクそれ自体をイメージしづらい。リスクが顕在化した場合のシナリオも想像しにくくなっている。
その結果、サイバーセキュリティへの取り組みが躊躇されたり、取り組んだとしても不十分な内容となってしまう傾向にある。
