【情報セキュリティ回#3】自身が対応できない場合は他者/社に頼ろう

　やす　かわはらです。

　今回は弁護士や税理士のように情報セキュリティのプロを頼りましょう。をお伝えしたい情報セキュリティ回です。

　（これから本編）インターネットに接続して業務することが日常になりつつある今、オフィスやサービス業に加え、農林水産業や工場、工場で製造される製品１つひとつへも接続が広がっています。DXというキーワードもあり、おおくの事例が記事となり目にする機会も増えているでしょう。

　「業務生産性が上がりました！」な記事には、情報セキュリティに対する具体策は、ほぼ含まれません。あって数行ではないでしょうか。この状況を私自身はネガティブには思っていなくて、むしろ情報セキュリティの対策を含んでいることが当たり前になりつつある結果ではないでしょうか。

　そのような当たり前になりつつある情報セキュリティ、あなたの会社では専任部隊がいますか？数少ないメンバが兼任してますか？日々進化するサイバー攻撃のリスクに対応するには、そのリスクを抑止する策も進化するのが有効です。その進化への追従、あなたの会社はこれからも継続できますか？

１．情報セキュリティをプロに頼ったがいい理由

　サイバーリスクへの進化への追従ができる企業であれば問題はないでしょう。サイバーセキュリティに関係する業務を専任で数十年も担ってもらうことができない企業もあると思います。例えば業務ローテーション。経験年数が数年のメンバだけで、日々巧妙化するサイバーセキュリティを抑止できないレベルにまで、サイバー攻撃のレベルとリスクは高まっています。

私の提案は、
　　法律のことは弁護士に頼る
　　税務のことは税理士に頼る　　ように
　　サイバーセキュリティのことは専門家に頼ってはいかがでしょうか？

上記提案の理由として、以下の３点を挙げます

（１）情報セキュリティの専門家は24時間365日対応できます。
　サイバー攻撃はいつどこで発生するかわかりません。そのため、常に監視や分析を行い、サイバー攻撃被害時には迅速な対応が重要です。自社で情報セキュリティの専門家を配置する場合「24時間365日体制でサポート」が実現できるでしょうか？

（２）情報セキュリティの専門家は最新の技術や知識を持っています。
　サイバー攻撃は日々進化し多様化しています。そのため、情報セキュリティの専門家は、最新の技術や知識を常に更新し適切な対策を行う教育や研修が求められます。それらの技術や知識を全て、自社のメンバだけで理解し実行できるでしょうか？

（３）情報セキュリティの専門家は本業に集中させてくれます。
　自社で情報セキュリティの専門家を配置する場合、本業と並行して情報セキュリティの管理や運用が必要です。しかし、本業以外にどれほどまでコストを負担できるでしょうか？リスクを抑止できるでしょうか？
　他社に任せる場合、本業に集中しながら、安心して情報セキュリティを任せることができます。

２．頼るのはいいが、丸投げは避けよう

　上記のように、自身が/自社ができない場合は、他者/社にご支援いただき、本業の実施とその達成に必要なコストとリスクを抑止することができる可能性が高まります。
　頼る/任せることは賛成ですが、わからないから丸投げする　ことは避けたがいいと思います。相手は専門家ではありますが、業務のプロではありません。経営や業務の優先度や影響は、わからないです。

　専門家は、「根本的なリスクを解消し今後のリスクを発生しない」ことをめざして優先することが多いです（経験上）。しかし、業務側は業務影響を最短にとどめて業務を再開したいのです。業務影響をミニマムにしてくれるなら、専門家としてはベストなA案より、ベターだが１０分後に処置できるＢ案を先に実施したいのです。業務再開後にＡ案を実施したいのです。

　この優先度を理解する＋どの案を選ぶか？は、専門家はできません。

３．まとめ

　サイバー攻撃への備えを"しない"な選択肢は今後はないのではないでしょうか。一方で労働人口が減る日本では本業を優先するならば、情報セキュリティ対応は後手に回る可能性があります。
　「本業で儲けるために、サイバー攻撃の被害で儲けをへらさない」ことを
実現できるよう、自前主義ありきでない策を検討してはいかがでしょうか。

４．おまけ

　以前のnoteでも描きましたが、他者/社を頼るにしても情報セキュリティの対策には、お金がかかります。国も中小企業や個人事業主向けの支援策を多種準備しています。どんな支援策があるか？に興味ある方は、以下をご参照いただけますとうれしいです。

以上です