日本型組織が陥りやすい、サイバー攻撃対処の「不適切な考え方と意思決定」 (第3回)
コラムここ数年、会社規模に関係なく「デジタル化」の圧力が高まってきています。しかし、現場において、検討するが思い通りに進まない状況が見られています。特に、日本型組織と言われる「日本独自の文化や経済状況に基づいて発展してきた企業や団体の組織」において顕著に現れている印象があります。
日本におけるデジタル化について、権威ある識者や有名な調査会社は「日本型組織と相性が悪い」、「組織の壁を超える施策推進が求められる」などの分析をしています。筆者の活動(インシデント対処支援など)において、被害組織の内情を垣間見ることがありますが、これらの分析と符合する点があると感じることがあります。
そこで、読者のみなさんの会社において、次に示す「デジタル化」と「日本型組織」の関係性に着目した状況認識を紹介します。これらの中で、3つ以上当てはまってしまう場合、サイバー攻撃対処に対する「考え方と意思決定」が不適切な状態になっている可能性があります。
「デジタル化」と「日本型組織」の関係性に着目した状況認識(筆者の実務経験に基づいたもの)
- 年功序列と変革の遅さ
(年功序列の制度は、若手社員が新しい技術やアイデアを提案しづらい環境を作り出している。デジタル化には迅速な意思決定と柔軟な対応が求められるが、上層部の高齢化と保守的な考え方が変革を遅らせる。) - 終身雇用とリスク回避
(終身雇用は社員の安定を保障するが、同時にリスクを嫌う文化を助長する。デジタル化にはリスクを伴う実験やイノベーションが必要だが、終身雇用の枠内では失敗を恐れて挑戦が抑制される。) - 集団主義とイノベーションの停滞
(集団主義はチームワークを重視する一方で、革新的な個人のアイデアが埋もれやすい。デジタル化では個々の創造力が重要だが、集団主義がこれを阻害することがある。) - 曖昧な意思決定と迅速な対応の欠如
(合意形成に時間を要する日本型の意思決定プロセスは、デジタル化において迅速な対応が求められる場面で障害となる。市場の変化に迅速に対応できないため、デジタル化の波に乗り遅れる。) - 重層的な階層構造とコミュニケーションの非効率
(重層的な階層構造は情報伝達を遅らせ、トップダウンの指示が現場に届くまでに時間がかかる。デジタル化ではスピーディーなコミュニケーションが必要だが、この構造がそれを阻む。) - 非公式なコミュニケーションと透明性の欠如
(非公式なコミュニケーションに依存する文化は、透明性や一貫性を欠くことが多い。デジタルツールの活用には情報のオープン性と一貫した運用が不可欠であるが、これが難しくなる。) - 長時間労働と生産性の低下
(長時間労働が常態化している日本型組織では、デジタルツールを使って効率を上げることよりも、労働時間を増やすことで成果を上げようとする傾向がある。これではデジタル化の恩恵を十分に享受できない。) - 顧客重視と革新のバランス欠如
(顧客の要望に応え続けることに重点を置きすぎると、革新のための時間やリソースが不足する。デジタル化にはプロアクティブなアプローチが必要だが、顧客対応に追われる中でこれが難しくなる。) - 研修と教育の不足
(デジタルスキルの教育が遅れている場合、社員が新しい技術に対応できず、デジタル化が進まない。日本型組織では従来の業務に関する研修が重視される一方、最新技術のトレーニングが後回しにされることが多い。)
くり返しになりますが、読者の組織において、これらの状況認識のうち、3つ以上の当てはまった場合、サイバー攻撃対処に対する「考え方と意思決定」が不適切な状態になっている可能性があります。特に、次のような発言が、明示的でなくとも「空気[1]」として存在している場合、速やかな改善を必要とする状態にあると言えます。
- 「セキュリティはIT部門の仕事だ」
サイバーセキュリティをIT部門だけに任せてしまい、全社的な問題として認識しない。 - 「自社は攻撃対象にならない」
自分たちは攻撃対象にならないと思い込み、必要な対策を怠る。 - 「予算が限られているからセキュリティ対策は後回し」
セキュリティ対策の予算を削減し、他のプロジェクトを優先する。 - 「従業員教育は必要ない」
従業員に対するセキュリティ教育を軽視し、フィッシングやソーシャルエンジニアリングに対するリスクを高める。 - 「既存のシステムで十分だ」
古いシステムを使い続け、最新のセキュリティパッチや更新を怠る。 - 「外部ベンダーに任せておけば安心」
外部ベンダーにセキュリティ対策を丸投げし、自社内でのリスク管理を怠る。 - 「セキュリティインシデントは公表しない」
セキュリティインシデントを隠蔽し、同様のインシデントが再発するリスクを増やす。 - 「物理的セキュリティだけで十分」
サイバーセキュリティの重要性を軽視し、物理的なセキュリティ対策に偏重する。 - 「複雑なパスワードは面倒だから使わない」
簡単なパスワードを使い回し、パスワードの管理がずさんになる。 - 「インシデント対応計画は必要ない」
サイバーインシデントが発生した際の具体的な対応計画や手順が用意されていない。
以上のような「不適切な考え方と意思決定」が強く残る日本型組織は、セキュリティ対策の不十分さからサイバー攻撃を受けやすく、業務停止やデータ漏洩を引き起こし、顧客信頼の喪失や法的責任を負うことが非常に多いです。結果として競争力の低下や内部士気の低下、取引先との関係悪化、経済的損失、評判の失墜を招き、再発防止のためのコストも増大することになります。
これらを回避するための有効な対策行動は、全社的にサイバーセキュリティの重要性を認識することです。これを確実に行うことで、必然的かつ適正なコストで「適切な対策」を講じることができます。その中で、従業員に確実に認識していただくために、「トップのコミットメントの明示」や「具体的な脅威と影響の可視化」などの経営層が努力しなければならないことがあることに留意する必要があります。
[1] 「空気」の研究 (文春文庫 や 9-14) 文庫 – 2018/12/4
https://www.amazon.co.jp/o/ASIN/416791199X/diamondinc-22/
※本内容の引用・転載を禁止します。