では、なぜ今回3,000億円もの実害が生じ、証券業界が後始末に追われているのか？それは十数年前の前提が壊れていたからだ。再掲すると、

 

「日本の証券会社を通じて、日本人が日本円で日本企業の株式を売買する」

 

　のではなくなっていたのだ。私は「Global & Digital」推進役のはしくれだが、証券業界もインターネット取引を利用者に提供するとともに、グローバル取引も進めていた。日本の金融庁の規制の届かないところとの取引が始まっていて、その中には得体のしれないものも交じっていた。今回の乗っ取り被害典型的な手口を、彼は紹介してくれた。

 

　　　　　　　　

 

・犯罪者は、金融庁の目の届かない無価値に近い株式を大量に購入しておく

・複数の利用者の口座を乗っ取り、持ち株を売却して資金をつくる

・利用者たちなりすまし、上記無価値な株式を高値で買い付ける

・無価値な株式が高値で売れて犯罪者は儲かる

・利用者は知らないうちに無価値な株式を売りつけられて損害を被る

 

　という次第。彼は日本の証券会社に全体を見渡せるセキュリティ責任者がいなかったから、こんなことが起きたという。

 

・インターネット取引を進める部門は、上記の前提でセキュリティは十分と考えた

・グローバル化を進める部門では、海外の証券会社との連携だけしか考えていなかった

 

　これを「組織の壁」と捉えてもいいのだが、私はCISOの役割がより大きくなっていると考えたい。一般にCISOの任務は「守り」、インシデントを回避し、起きてしまえば被害を局所化し、復旧に務める･･･と考えられている。「攻め」のCISOを提唱する人たちも、予防的措置をしてインシデントを最小化することまでにしか言及していない。しかし今回の事例を捉えれば、攻めのCISOとは「壁」を越え、全社に目を配って新しい事業やサービスが立ち上がる前に、そのリスクに対する措置をする人のことを言うのではないか？

 

　日本企業は、本質的に事業部門（儲ける人）の声が大きい。CISOが横から口をはさむことを、嫌うだろうことも間違いはない。しかし口を挟める「攻め」のCISOがいないと、これからの企業は大きなリスクにさらされると思われる。