物価上昇、人手不足、生産性向上の課題を抱えるなか、セキュリティ担当者が「セキュリティにもっと注力しなければならない」と経営層に提案すると、「お金がかかるので、あまり怒られない程度にやっておいて」「DXでパッと儲かる話じゃないの?」といった反応が返ってくる——。多くの企業で見られるこうした現実に対し、立命館大学 情報理工学部 教授/京都大学博士(工学)の上原哲太郎氏は「セキュリティ組織の形骸化」という深刻な問題を指摘する。

9月9日~11日に開催されたオンラインイベント「TECH+フォーラム セキュリティ 2025 Sep. 自社にとっての最適解を探る」で同氏は、実効性を失ったセキュリティ体制から脱却するための具体的な方策を詳しく解説した。

「事件駆動型セキュリティ」がもたらす弊害

多くの経営者にとって、IT関連、特にセキュリティは「よく分からないうえにお金がかかる」存在であり、間接経費の大きな部分としか認識されていないケースが少なくない。経営層の理解が得られないまま場当たり的な対策に終始すると、いわゆる「事件駆動型セキュリティ」に陥ってしまう。これは、インシデントが発生するたびに、その原因となった箇所にのみフォーカスして対策を講じるアプローチだ。

上原氏は、このアプローチを「桶のモデル」に例えて説明した。桶の最も低い板(脆弱な部分)から水が漏れた(インシデントが発生した)際に、その板だけを高くしても、次に低い板から水が漏れるだけで、根本的な解決にはならない。

  • 「桶のモデル」のイメージ図

    「桶のモデル」のイメージ図

このような対症療法的な対応は持続的ではなく、本質的なセキュリティレベルの向上にはつながらない。だからこそ、体系立ったセキュリティ対策が不可欠となる。

近年では法改正により、セキュリティ体制の構築は事実上の義務となりつつある。

  • 改正個人情報保護法:個人情報漏えい時の報告・通知が義務化された。
  • 会社法:内部統制の一環として、IT統制の証明、すなわちセキュリティ体制の構築が求められる。
  • 重要インフラ行動計画・経済安全保障推進法:重要インフラ事業者に対し、セキュリティ体制の構築を強く要請しており、サプライチェーン全体への影響も大きい。

これらの法的な要請を背景に、多くの企業でセキュリティ組織の設立が進んでいる。

「かたちだけ」のセキュリティ組織に魂を吹き込むには

組織設立の動きが活発化する一方で、上原氏はその形骸化に懸念を示す。

「CISO(最高情報セキュリティ責任者)を任命し、セキュリティ委員会を設置し、テンプレートを基にポリシーを作成します。こうしてかたちは整っても、魂が入っていなければ意味がありません。年に一度委員会が開かれるだけで、事故が起きるまでは何も動かないわけです。組織をつくることが目的化してしまい、本来の目的を見失っているケースが見られます」(上原氏)

こうした事態を避けるために、同氏は「セキュリティとは何か」という原点に立ち返ることを促す。

「『セキュリティ』には、的確な和訳がありません。私はよく、警備員の『警備』という言葉を例に出します。『警(いまし)め、備える』。内外に『我々は見ている』と知らしめ、中の人には注意を促すのです。組織を内外の脅威から守るという本質は、サイバーセキュリティも同じだと言えます」(上原氏)

さらに、国家の安全を保障する「安全保障(National Security)」も、国というかたちを外敵から守る活動であり、企業の事業継続を守るサイバーセキュリティと本質は通じている。このようなアナロジーを用いることで、経営者にもセキュリティの重要性が伝わりやすくなるのではないかと同氏は提案する。

セキュリティの本質を理解してもらった次に訪れるのが、費用対効果の議論だ。経済産業省が発行する「サイバーセキュリティ経営ガイドライン」では、「サイバーセキュリティ対策は『投資』である」と位置付けられている。これは、将来の事業活動や成長に必要不可欠な費用であるというニュアンスを込めた表現だ。

「『投資』という言葉はインパクトがありますが、経営者に説明する際には、私は『保険』という言葉のほうが理解を得やすいと感じています。事業を行ううえで、万が一の際に被害を最小限に抑え、傷を浅くするための必要経費です。自動車を運転するなら自賠責保険に入るのと同じように、企業経営における必須の保険だと考えてもらうのがよいでしょう」(上原氏)

  • セキュリティ「保険」のイメージ図

    セキュリティ「保険」のイメージ図

まず着手すべきはCSIRTの整備

では、具体的に何から始めればよいのか。上原氏が最初に推奨するのは、「緊急時対応計画」、すなわちCSIRT(Computer Security Incident Response Team)の体制を構築することだ。

「インシデントを監視し、受け付ける体制を整えることで、自分たちがどれだけのリスクにさらされているかを可視化できます。ウイルス対策ソフトの検知ログやIDS(侵入検知システム)のアラートを集計して見せるだけでも、『自分たちは狙われている』という事実を経営者に認識してもらうことができるのです。これは、いざというときに傷を浅くするための保険として機能するだけでなく、さらなる対策への理解を得るための第一歩になり得るでしょう」(上原氏)

不足するセキュリティ人材、育成の鍵は「内部からの発掘」

理想的なセキュリティ体制を構築するうえで最大の障壁となるのが、人材不足だ。技術と業務の両方を理解し、リスクを評価できる人材は極めて希少である。

この問題に対し、上原氏は「セキュリティを丸投げしてしまうと、業務内容を人質に取られた状態になりかねず、結果としてセキュリティレベルも上がらないという事態に陥りがち」と安易なアウトソーシングに警鐘を鳴らす。

解決策として同氏が提唱するのは、内部人材の育成だ。「新卒の学生が即戦力になるのは難しい。まずは自社の業務を熟知している人材のなかから、セキュリティに関心を持つ人を発掘し、育てていくほうが現実的」とする。

内部での育成を基本としつつも、外部のリソースを積極的に活用することが成功の鍵となる。同氏は、具体的な方法として以下の点を挙げた。

1. 資格制度の活用
「情報処理安全確保支援士」などの国家資格は、知識レベルの客観的な指標となる。企業側は、資格維持にかかる講習費用などをサポートすることで、社員のモチベーション向上とスキル維持を支援すべきである。

2. 外部研修・講座の受講
情報通信研究機構(NICT)が提供する「サイバーセキュリティ演習 CYDER」や、大学連携による人材育成プログラム「enPiT-Security」など、実践的なスキルを学べる場が増えている。これらを活用し、体系的な知識とスキルを習得する機会を提供することが重要だ。

3. コミュニティへの参加
日本シーサート協議会などの社外コミュニティに参加し、他社の担当者と情報交換を行うことは、知見を広げ、組織全体の底上げにつながる。

ゴールなき戦いを続けるために

最後に上原氏は、「セキュリティ対策にゴールはない」と強調し、講演を締めくくった。

「セキュリティ対策そのものが目的化してはなりません。常に自社の業務とリンクさせ、事業継続に貢献するという本来の目的を見失わないことが重要です。そして、そうした取り組みを行う人材が正当に評価され、育っていくようなインセンティブを組織として用意すること。それが経営の責任ではないでしょうか」(上原氏)

セキュリティを単なるコストセンターとみなすのではなく、事業を守り、成長を支えるための「保険」として位置付け、経営と現場が一体となって取り組むこと。そして、その担い手となる人材を組織内で発掘し、継続的に育てていくこと。これが、ゴールなき戦いを続けるための羅針盤となる。