経営者向けにサイバー攻撃を疑似体験トレーニング
実際にサイバー攻撃を受けると、ビジネスや企業に対する信頼に深刻な悪影響が及ぶ。中島氏は、「サイバー攻撃を受けると、原因の特定やシステムの復旧といった技術的な対処とともに、事業部門におけるビジネスへの影響の把握、広報によるメディアへの対応など、やらなければならないことが同時並行的にいくつも発生します。あらかじめ、どのような体制でこれらを統括し、迅速かつ確実に対応していくのかを決めておく必要があります」と指摘する。
デロイト トーマツ ファイナンシャルアドバイザリーでは、そういった対応支援の実例に基づいて経営者向けのトレーニングを行っている。想定されるサイバー攻撃と、その対処を疑似体験する訓練である。これには、状況報告のための模擬記者会見なども含まれており、臨場感のある体験を通じて、リスクへの備えやクライシス対応の重要性を実感する経営者も多いという。
サイバー攻撃の手口は年々巧妙化しており、どんなに防御を固めても、完全に防ぐのは不可能だ。攻撃されるのは当たり前だと想定し、対策を講じる必要がある。
サイバー攻撃は、被害を受けてから事後的に対処するよりも、あらかじめしっかりとした予防策を講じておくほうが、コストははるかに安い。「レガシーシステムを使用している企業は、なるべく早く最新システムにリプレースするのが望ましいといえます。新たな投資を伴いますが、攻撃を受けてビジネスが止まることに比べれば、むしろ安上がりです」と、中島氏はアドバイスする。
企業の投資には、経営層の意思決定が求められるが、とかくコストととらえられがちなIT投資やサイバーセキュリティ投資は二の次にされやすい。
だが、「サイバー攻撃を受けて会社に何らかの損害が生じた場合、経営者が善管注意義務違反に問われる可能性もあります。そのため、米国などでは経営者はサイバーセキュリティ対策を重要な経営課題の一つととらえています。日本でもそうした意識を持って対策に臨むべきです」と清水氏は語る。
