この日は、大手SIer企業の本社ビルにやってきた。この企業は数年前に情報漏洩事故を起こしてしまい、メディアにも厳しく責められた経験がある。内外に事件の経緯、自社としての反省、再発防止策などを内外に繰り返し示し、信頼回復に努められた。事故を起こせばその時点では目を開くものの、時間とともに緊張感が薄れることが往々にしてある。いわゆる「緩み」だ。
この企業は事故が発覚した日を含む週を「情報セキュリティ週間」と定め、社内に徹底するイベントをしておられる。毎年改めて、全従業員が情報事故を自分事として見つめなおすようにとの考えだ。今回、社内イベントにもかかわらず、私はこのイベントで短いスピーチをし、パネルディスカッションに加わることになる。
全体の司会を同社のCISOがされて、パネリストには営業部門、SE部門、マネージドサービス部門の執行役員が並ぶ。事前の打ち合わせを、昼食をいただきながら行った。申し上げたのは、
・社会全体のDXを推進する立場から、IT産業はそれ自身が重要インフラ
・中でもSIerはDXの最前線を担い、「DX with Security」を進める立役者
・SIerへの社会の信頼がなければ、経済も発展しない
・お客様を守り、自社を守るためには自らの被害体験も風化させず利用する
ということ。パネルディスカッションでは、過去・現在・未来について3執行役員が覚悟や意欲を述べられたのに対して、
・過去 風化させないこのような努力は貴重なもの
・現在 セキュリティはコストではなく投資だとの意識をお客様にもってもらう
・未来 業界団体・監督官庁・警察・法務関係者・シンクタンク等との連携を行うこと。そのための幅広い能力を持った人材の育成
とコメントした。シンクタンクとして、セキュリティの専門家ではないがそのセンスを持った実務家の育成、DXを推進する企業に求められるセキュリティ投資の目安などのレポートを出していることを示した。自社の経験と多様な機関との情報共有をすることで、お客様もより安全にできると申し上げた。
サイバー攻撃で被害を受けても、その体験が風化してしまうことはよくある。この企業さんの姿勢は、見習うべきものだと考える。