「明日は我が身かもしれない」 昨今、国内の有名企業や組織がサイバー攻撃の標的となり、工場の稼働停止や個人情報の流出といった深刻な被害を受けるニュースが連日のように報じられています。これを受けて、多くの企業で起きているのが「経営層と現場の意識ギャップ」による混乱です。危機感を募らせた経営層から、情報システム部門やWeb担当部門に対して「当社のセキュリティは万全か？ すぐに調査して報告せよ」という指示が飛ぶケースが急増しています。しかし、この指示が現場を絶望の淵に立たせている実態をご存知でしょうか。今回は、多くの担当者が陥りがちな診断の罠と、それを解決するための現実的なアプローチについて解説します。なぜ、担当者は「大丈夫です」と即答できないのでしょうか。 その背景には、DX（デジタルトランスフォーメーション）の進展があります。テレワークの普及や事業部ごとのクラウドサービス利用が進んだ結果、情報システム部門が把握していないサーバーやWebサイト、いわゆるシャドーITが社内に乱立しているのです。泥棒が入る窓（アタックサーフェス）がいくつあるかも分からないのに、戸締まりの確認なんてできない……これが現場の偽らざる本音でしょう。経営層からの特命を受けた担当者が対策を外部に依頼した際、直面する課題は大きく分けて2つあります。安心を買うために大手コンサルティングファームに相談する場合、「ゼロトラスト」や「ガバナンス体制」といった壮大な戦略論を提示される可能性があります。これらも重要ですが、「明日どうすればいいか」という実務的な修正手順までは落ちてこないことが多く、費用も数百万円～数千万円と高額になるため、予算の限られた企業では導入が困難です。分厚いレポートの山やコストなどを抑えるために「自動診断ツール」を検討する選択肢もありますが、納品されるのは数百ページに及ぶ「脆弱性診断レポート」で、「具体的にどの設定をどう直せば良いか」までは記載されていないものがほとんどです。担当者は、こうした「指摘された大量の宿題」を前に途方に暮れてしまうのは目にみえています。そんな「高すぎる理想論」と「投げっぱなしのツール診断」の間にあるギャップを埋める存在として、近年注目されているのが「伴走型」のセキュリティ支援です。ジグノシステムジャパン株式会社が提供するサービスを例に、その特徴を見てみましょう。同社のアプローチは、単なる診断にとどまらず、「実務的な解決」と「経営への報告」までをワンストップで支援する点にあります。そこで、同社と一般的なサービスとの比較を「成果物」「解決策」「費用感」の3点でまとめました。成果物：診断レポートのみ、解決策：「何が悪いか」指摘、費用感：安価成果物：戦略提案書、解決策：「あるべき姿」提示、費用感：非常に高額では、具体的にどのような流れで対策が進んでいくのでしょうか。よくあるモデルケースを紹介します。• 課題： 過去に立ち上げたキャンペーンサイトやテストサーバーが放置されており、現状が把握できていない。予算も限られている。• 実施施策： ASM（Attack Surface Management）診断サービスまず社内ネットワークの内側からではなく、インターネット（外部）から攻撃者と同じ視点で調査を実施し、情シスが認識していなかった放置サーバー（シャドーIT）や設定ミスのまま公開されているクラウドを洗い出します。検出された脆弱性に対し、ホワイトハッカーが「今すぐ対応すべきもの」と「経過観察でよいもの」を整理。その上で、「この設定ファイルの○行目をこう書き換えてください」といった、エンジニアが即実行できる具体的な修正アドバイスをおこないます。専門用語が並ぶ技術レポートとは別に、「経営リスク」の観点で何が問題で、どう対策したか」をまとめた報告書を作成します。担当者はこの資料をそのまま経営会議に活用でき、説明責任の遂行をスムーズに果たすことができます。サイバー攻撃のリスクが高まるなか、「何もしていない」のは最大のリスクとなります。しかし、無理をして身の丈に合わないコンサル契約を結ぶ必要も、解決策のないレポートに頭を抱える必要もありません。まずは、攻撃者から自社がどう見えているかを知る「ASM診断」など、スモールスタートで現状を可視化することから始めてみてはいかがでしょうか。