------------------------------------------------------------------------
[コラム]リスクマネジメントへの投資
------------------------------------------------------------------------
JCIC代表理事　梶浦敏範
2018年5月22日


サイバーセキュリティ人材が不足しているという話はいろいろなところで聞きますし、真実であることは間違いありません。しかし人材に限らず日本企業が十分なサイバーリスクに対する投資をしているかというところまで戻らないと、本当の解決には結びつかないと思います。産業界が大学／高専等の学科や教官、カリキュラムの不足を言えば、学界からは「それでは十分採用してくれるのか、キャリアパスはどうなっているのか」と切りかえされてしまうでしょう。

米国政府のサイバーセキュリティ投資は約2兆円、日本政府のそれは600億円～1,000億円というのが相場です。民間についてのデータは見当たりませんが、やはり米国企業の方が日本企業より多くの資金をかけているのは間違いないでしょう。

前回、リスクマネジメントはやればやるほど新しいリスクが見えてくるとお話しましたが、見えてきたリスクに対応しようと、ヒト・モノ・カネの追加を要求すると、財務部門という厚い壁が立ちふさがります。

リスク部門：この脅威は全く新しいもので、対応にこれだけのリソースが必要です。
財務部門　：昨年増額したばかりじゃないか、年間予算はどの部署も一律5％削減するとの原則を忘れたのか。
リスク部門：脅威は増しているんです。削減などしたら、今の水準も保てなくなる。
財務部門　：それを工夫するのがマネジメントというものだろう。他部門はおとなしく従ってくれるんだぞ。
リスク部門：（やや技術的な理由や、世界で起きた事例を挙げて）危ないからお願いしているんです。
財務部門　：わけの分からない理屈を言うんじゃない。それにこの投資増額、どうやって回収するつもりだ。
リスク部門：・・・。

頑張り続けたリスクマネジメントの人たちも、最後の「回収」という言葉でトドメを刺されてしまうのではないでしょうか。研究開発投資や設備投資なら、その製品／サービスが利益を生んでくれて、その中から回収の可能性があります。しかし、リスクマネジメントにかかる費用は、純粋なコストでしかありません。

内閣サイバーセキュリティセンター（NISC）も経済産業省も総務省も、サイバーセキュリティ対策に投じるお金は、将来の事業への「投資」だと産業界に訴えています。超スマート社会「Society5.0」はリアル社会とサイバー社会がつながる社会ですから、そこではサイバーセキュリティを維持することは大前提です。

「Society5.0」をどう捉えるかは企業によってまちまちですが、日本経済を発展させるために一番期待できるのはこの方向であることは間違いがないと思います。だからサイバーセキュリティ対策は「投資」であるとするこの論理には、うなずけるものがあります。

しかし、企業はより激しくなる国際競争にさらされています。物言う株主やお取引先への対応、コストの削減、コンプライアンス、研究開発、設備の更改等々経営層は休まる暇がありません。経営層の中でも財務部門長は、経営の大きな責任を担っています。今日明日の支出に目を光らせるのは、当たり前のことです。でもそれだけでいいのでしょうか。

財務部門長がサイバーセキュリティの脅威や対策についての認識を十分持ち、関連費用をコストではなく「投資」だと考えることができるようになられた企業こそが、「Society5.0」への挑戦が可能になるし、グローバル市場での事業拡大が期待できると私は考えます。