どんな企業でも、1社でビジネスが完結するはずはない。本社だけ、あるいは関連グループ企業だけサイバーセキュリティを行っても、サプライチェーン攻撃によって事業停止に追い込まれることがある。ただ、資本関係がない企業群やグローバルに散らばった事業所に十分なガバナンスが効くかというと、なかなかに難しい。今回は2社のセキュリティガバナンスの努力を聞く機会があったので、2日に渡って紹介したい。
1社目は、日本の大手損害保険会社。サイバー保険をメニューに加えていることもあり、非常に多くの個人情報を保持していることもあり、自社・関連会社への情報管理/統制はかなり徹底している。契約者の中には各界の有名人の名前もあり、その情報が漏れたりすると社会問題になる。そのような機微な情報にアクセスすれば、幹部にアラートが上がる仕組みになっている。また、作業用PCはシンライアント化され、万一の紛失にも備えている。
ただ、損害保険を売ってくれるのは、全国に散らばる数多くの代理店。自動車ディラーなどの中には大手企業もいるが、一般には零細企業だ。従業員数人の代理店でも、その県では指折りの大手だったりする。資本関係もないし売ってもらう立場だから、強い働き掛けも出来ない。
そこで何度も紹介している「小規模企業の経営者は、サイバーセキュリティに関心もないし、打つ手も限られる」問題に直面することになる。対策として、
・思い切り目線を下げ、自分の父親や子供に諭すようにセキュリティのことを説明する
・経営者に「自分事」と思ってもらうため、5分ほどのアニメを作って見てもらう
ようにしている。このアニメが絶品だった。小規模事業の経営者が、ふと開けてしまった添付Fileによって地獄を見、社員や外部協力者の助けでなんとか救われるストーリー。別に専門業者に頼んだわけでもなく、従業員のひとりが絵コンテまで描いて製作したという。
これで「気付き」は得られるのだが、その後の「打つ手」についてはまだまだ課題残りだと、説明してくれた人は言う。私は「本当に小規模な事業者は、何らかの塊にして、共通化していくしかない」と話した。もちろん、そういうガバナンスを利かせられればだが。
<続く>