「日本のサイバーセキュリティ対策は防御に偏りすぎている」。こう指摘するのはラックの武田一城氏だ。

リスクマネジメントの手法は図表1に示した4つの視点で考えることができる。すなわち（1）保険などを活用した他者への「リスクの移転」、（2）事業から撤退するなどの「リスクの回避」、（3）発生しても影響が小さいため許容する「リスクの保有」、（4）事故発生の確率を下げる「リスクの低減」である。

図表1　リスクの種類と考え方

このうち、新しいファイアウォール（FW）を導入するといった防御策は、（4）リスクの低減にあたる。本来はこの4つの視点からリスクマネジメントを行う必要があるが、武田氏は日本のセキュリティ対策について「リスクをどうするかよりも、機能の高いセキュリティ製品を導入することばかりに注力してしまう傾向がある」と指摘する。

防御を高めるだけでは十分なリスクマネジメントにはならない。どうしても「万が一」は起こりうるからだ。

2011年、三菱重工がサイバー攻撃を受けた事件について、武田氏は「一般企業があれ以上のセキュリティ対策を実施するのは難しい」と話す。しかし実際には、標的型攻撃メールからウイルスが社内に広がった。

それでも日本企業は相変わらず防御に力を注ぐ傾向にあるという。ベネッセの個人情報流失事件については「管理者権限を持つSEによる悪意ある犯行だった。内部犯行を防ぐには製品の導入だけではなく、運用を含めて大幅に変える必要がある。ところがあのニュースの後、セキュリティ市場ではこのケースとは直接関係の無い防御のための製品も成長した」（武田氏）。

ラック サイバーセキュリティ・公共事業部 担当部長 武田一城氏

サイバーセキュリティは経営課題にしかし、最近ではこの傾向は変わりつつある。経済産業省が2016年に「サイバーセキュリティ経営ガイドライン」を策定したことをきっかけに、「セキュリティ対策は経営課題だという意識が広まった」（武田氏）ためだ。

武田氏は「インシデント対策をするCSIRTや、セキュリティ監視を行うSOCの利用が増えた。特に、CSIRTの構成員として、従来のITシステム部門だけでなく、経営陣と会話できるリスク管理部門のメンバーも参加するようになっている。これまでIT部門の責任とされてきたセキュリティ対策が組織全体で実行するものに変化してきた」と説明する。

このように経営課題としてサイバーセキュリティが認識され始めたなか、注目されている商品が「サイバー保険」なのである。