サイバーリスクは現代ビジネスの背景ノイズとなっています。2025年第1四半期には、1組織あたり週に約2,000件もの攻撃が発生しており、これは前年比47%の増加です。この急増は2つの現実を反映しています。攻撃が本当に増加しているのは、攻撃を仕掛けるのがこれまで以上に簡単かつ安価になっているからであり、防御側もこれまで見逃していたものを発見できるようになってきているからです。
つまり、問題は拡大しており、私たちはそれをより正直に測定できるようになっています。
リーダーにとっての教訓は、パニックになることではありません。明確さです。サイバーセキュリティはもはやITの専門分野ではなく、ビジネスの中核的な分野です。Marks & Spencerのような有名企業が大規模なサイバーインシデントで4億ドルの営業利益損失を被る時代、私たちは「技術的リスク」の枠を超え、企業のレジリエンスへと進化しています。私はよく「悪意ある攻撃者は一度だけ運が良ければいいが、防御側は24時間365日効果的でなければならない」と言います。この非対称性は消えません。リーダーシップの役割は、その現実を受け入れ、脅威のスピードに合わせて、耐え、対応し、前進し続けられる組織を作ることです。
脅威の状況を形作る3つの要因
- サイバー犯罪の産業化。 クライム・アズ・ア・サービス(犯罪のサービス化)により、攻撃者はもはや優れたプログラマーである必要がありません。マルウェアをレンタルし、盗まれた認証情報を購入し、初期アクセスから現金化まであらゆる工程を外部委託できます。市場は専門性とスピードを重視し、犯罪者にとってコストとリスクの両方を下げています。その結果、あらゆる業界で機会を狙った攻撃が絶え間なく発生しています。
- 標的型フィッシングがオーダーメイド化。 攻撃者は、特定の個人にとって本物らしく感じられるメール、テキスト、音声通話を作るために、ますます手間をかけるようになっています。豊富なオープンソースデータとディープフェイク音声ツール、洗練されたテンプレートを組み合わせることで、忙しい経営者や経理担当者にとって「ワンクリック」がより現実味を帯びてきます。だからこそ、多くの侵害はゼロデイ脆弱性の悪用ではなく、ソーシャルエンジニアリングから始まるのです。人間こそがフロントドアです。
- AIが両陣営を加速。 攻撃側では生成AIツールが言語の壁を取り払い、文法を完璧にし、誘導メッセージを大規模にパーソナライズします。防御側ではAIがアラートの選別、異常検知、滞留時間の短縮に役立ちます。しかし問題はここにあります。犯罪者は素早く手法を変えます。自動化だけでこの問題に勝つことはできません。しかし、より良いガバナンスと実行力で対抗することはできます。
地政学的な不確実性が加わることで、状況はさらに不安定になります。国家やその支援を受けたグループがサイバースペースに進出し、スパイ活動、妨害、犯罪的利益追求の境界が曖昧になります。サプライチェーンが経路となり、地域危機が機会を狙った詐欺の波を引き起こします。だからこそ、サイバーに関する取締役会の議論は、戦略、オペレーション、地政学から切り離して考えることはできません。文脈が重要なのです。
この環境で「良い」とはどういうことか?
「侵害を前提とする」マインドセットから始めましょう。悪意ある攻撃者が一度だけ運が良ければよいのなら、あなたのビジネスは安全に失敗できるよう設計されていなければなりません。つまり、強力なID管理、あらゆる場所での多要素認証、横移動を制限するセグメンテーション、テスト済みかつ復旧可能なバックアップが必要です。どれも華やかではありませんが、すべてが決定的です。基本に投資して後悔した組織に私はまだ出会ったことがありません。
人間のより良い判断を促す設計をしましょう。従来の意識向上トレーニングは、実際の業務と切り離されていると効果が薄れます。汎用的なモジュールを、実際に人々が使うツール内でのタイムリーなプロンプトに置き換えましょう。高リスクな業務フロー(支払い変更、サプライヤー登録、特権アクセス承認など)には、意図的な摩擦を加えます。「一旦立ち止まって確認する」ことを簡単かつ当然にしましょう。文化は、何が報奨され、何が簡単にできるかによって作られます。
対応をチームスポーツとして実践しましょう。インシデントが発生したとき、人はその場で奮起するのではなく、準備のレベルまでしか対応できません。法務、広報、オペレーション、財務、経営陣を含めた現実的な演習を実施しましょう。重大インシデントの定義、誰が誰に話すか、復旧中にどう顧客対応を継続するかを事前に決めておきます。目指すのは完璧な台本ではなく、身体で覚えた対応力です。
依存関係をしっかり見直しましょう。あなたのリスクは、自社だけでなくパートナーの管理体制にも左右されます。重要なサプライヤーのデューデリジェンスを優先し、インシデント通知を義務付け、技術的・契約的な脱出手段を用意しましょう。もし第三者が侵害された場合、どれだけ早く切り替え、隔離し、または縮小運用を継続できますか?この問いには、明確で実践的な答えが必要です。
最後に、サイバーをビジネスの言葉で伝えましょう。取締役会は毎四半期ごとに脅威の全体像を知りたいわけではありません。彼らが必要なのは、影響、選択肢、トレードオフの理解です。可能な限りリスクを定量化し、投資を測定可能な成果(検知・復旧時間の短縮、収益プロセスのレジリエンス向上、重大インシデント頻度の低減など)に結び付けましょう。サイバーは底なしのコストセンターではありません。成長、信頼、安定したパフォーマンスを支えるものです。
攻撃件数の増加は必ずしも失敗の証ではないことを繰り返しておきます。今見えているのは、監視の高度化、検知力の向上、死角の減少という成熟の一端でもあります。経理部門が長年見落としていた問題をようやく発見したからといって非難する人はいません。むしろ感謝し、最も重要な部分を修正するはずです。同じ論理をここでも適用しましょう。
最後に
リーダーはトーンを示さなければなりません。サイバーを単なるコンプライアンスのチェック項目と扱えば、従業員も最低限しか目指しません。これを戦略的能力――顧客を守り、ブランド価値を保護し、プレッシャー下でも事業を継続する力――と位置付ければ、エネルギーと創意工夫が生まれます。この時代に成功する組織は、すべての攻撃者を排除できると約束する組織ではありません。リスクの現実を受け入れ、ビジネスの基盤にレジリエンスを組み込み、予想外の事態が起きたときに適切に対応することで信頼を勝ち取る組織です。
私たちは脅威の状況を選ぶことはできません。しかし、その中でどうリードするかは選ぶことができます。
翻訳元: https://www.securityweek.com/cybersecurity-is-now-a-core-business-discipline/
