ほとんどのビジネスでは、今やインターネットセキュリティは喫緊の課題と認識されています。ただし、最近の調査によると、セキュリティ対策の担当者の7人のうち１人はCEOに対して直接に報告を上げています。

情報システムコントロール協会（ISACA/RSA）の会議レポート「サイバーセキュリティの現在――2016年に向けて意味するもの」によると、82％の情報セキュリティ担当者が、自社の重役たちはサイバーセキュリティについて非常に関心を持っているにもかかわらず、この危機感はいまだ重役会議には反映されていない、と感じています。

「CEOなどトップレベルの重役たちはサイバーセキュリティの重要性をかなり理解してきているが、まだまだ改善の余地がある」と、RSA 会議の責任編集者であるジェニファー・ラウィンスキー (Jennifer Lawinski)氏は指摘しています。

大半の最高情報セキュリティ責任者 (CISO)は、最高情報責任者(CIO)に対して説明対応を行っているのです。これはサイバーセキュリティというものがビジネス上の問題ではなく、今なお技術上の問題と見られていることを表しています。

この調査結果は、会社が将来、情報セキュリティがしっかりとしている組織へと成長するために何が必要かを明らかにするとともに、その契機と現状の問題点との食い違いを際立たせていると言えるでしょう。

重役会議における議題の優先事案とはなっていませんが、セキュリティ担当者の大多数は最悪の事態に備えて準備しており、調査対象の74％は2016年中にサイバー攻撃を受けることを想定しています。

実際「ビジネスワイヤー」に報告されているように、30％に及ぶ人たちがフィッシング攻撃を毎日経験しています。2016年2月下旬には、スマートフォン向け画像共有アプリ「スナップチャット」の社員が、その手の攻撃者に給与関連の明細をさらしてしまったという実例もあります。

こうしたことから担当者の自信は減じる傾向にあり、自分のチームが異変を検知してそれに対応する能力があると自信を持っているセキュリティ担当者の数は、2015年には12ポイントも減少するといったありさまでした。

しかし一方で、この業界内には「現状についての無自覚」と言われている状況も幅を利かせています。

例えば、サイバーセキュリティを自らの第一の責務とする担当者のうち24％が、2015年中にどのようなセキュリティ認証情報が盗まれた事例があるのか知りませんでした。また、23％は自分の会社が高度に執拗な標的型攻撃（APT）を受けていたかどうか分からなかったし、20％がボットネットの利用のために会社の資産が乗っ取られたことがあるかどうかも判然としませんでした。

サイバーセキュリティついての学習機会がもっと必要だという意識が高まる兆しは以前からなかったとは言えませんが、このレポートの指摘はその必要性を新たに思い起こさせてくれるものではないでしょうか。

実際のところ、61％の担当者が2016年にはサイバーセキュリティの予算が増えることを期待していますし、75％は彼らの組織のサイバーセキュリティ戦略の立案が今や企業活動の目的の一つであるとさえ答えています（英文のレポート全文はISACAのサイトから ホワイトペーパーをダウンロードして読むことができます）。

対戦型のスポーツにおいては、常に攻撃と防御が一体化してはじめて勝利に結び付いています。企業活動においても、セキュリティ対策という防御を怠るようであれば、思わぬ失点を招きかねません。セキュリティ担当者自身も学習機会を増やす必要があるという課題がありますが、それとともに重役会議では当たり前のようにセキュリティ対策について議論されるようになってしかるべきではないでしょうか。