サイバー対策人材育成の遅れ
日本経済新聞は2020年10月26日の記事でサイバーセキュリティ対策として実践形式の訓練を取り入れるケースが増えていることを紹介しています。実践形式の訓練とは、実際に自社や関連企業がサイバー攻撃の被害に遭った際、どのような攻撃を受けたのかを推測しながら迅速に対応を講じるというもの。
いわゆる「マニュアル」の内容を講師が説明する講義型研修ではありません。また、不審なメールを開封しないように注意喚起するだけでもなく、不審な添付ファイルを開いてしまう人がどのくらいいるか確認する訓練でもありません。
手順を確認するだけの従来型の訓練ではなく、現実に発生しているサイバー攻撃を念頭に、架空のサイバー攻撃を受けたという想定でどのように動くか、というかなり本格的な演習です。関係する全社員に注意喚起のメールを送り、情報漏洩の有無を確認、被害状況や想定される原因を調べ、自社システムを止めるか稼働し続けるかの判断をしつつ、経営層への報告を作成する、といった内容のようです。たとえ訓練であっても、その緊張感を経験することが企業・団体の課題を浮き彫りにできるとのこと。
密度の濃い研修であるがゆえに、普段官公庁や企業のシステム担当として仕事に従事されている方でもへとへとになるような内容のようです。ただ、現時点では頻発するサイバー攻撃に対し、各社内で対応可能なサイバーセキュリティ人材があ凸的に不足しているため、非常に高単価のセミナーでもすぐに枠が埋まってしまうとも記載されています。
こうした実践型の訓練はサイバーセキュリティ企業や独立行政法人情報処理推進機構(IPA)などが企業向けに提供しています。が、2019年の日本経済新聞の記事で紹介されているMS&ADインターリスク総研の調査によれば、サイバー攻撃演習を実施した企業は全体の約30%程度にとどまっており、67%は実施の計画すらない、というのが実態だそうです。
特に中小企業ではサイバーセキュリティ対応への遅れが目立つとの指摘もなされています。大企業と違って、人でも足りない、予算も少ない等の理由があるのかもしれません。この記事の最後にサイバーセキュリティの専門家がこんな指摘をされていることを紹介します。
「(サイバー)攻撃は年々高度になっており、経営者の意識の向上や対策強化が急務だ」
【次ページでは・・・サイバー攻撃以上に企業の対応が遅れている分野があります】