企業経営にはさまざまな課題がありますが、情報セキュリティについては、他のものとは少し性質が違うと感じています。ひとたび問題が起きると、障害が長期に及ぶ可能性があること、そして自社だけでなく、周囲の企業を巻き込みながら、影響が広い範囲に広がってしまう点です。

弊社にとって特に大きいのは、お客さまからの注文に応えられず、製品を供給できなくなる事態です。これは、企業として最も避けなければならない状況だと考えています。その影響が取引先にまで及んでしまえば、事業の遂行そのものに支障が出る可能性もあります。さらに、こうした状態が長引けば、会社として積み重ねてきた信頼にも影響が出かねませんし、場合によっては、会社の存続そのものに関わる話になってしまいます。だからこそ、情報セキュリティは一時的な対応としてではなく、経営の重要課題として位置づけ、継続して向き合っていく必要がある分野だと捉えています。

弊社は、大手製造会社グループの一員として、定期的に内部監査を受けています。その中でも年々情報セキュリティに対する確認や指摘の比重が高まり、当初の対応は「望ましい取り組み」というところから、近年では「必須事項」に位置づけられるようになっていきました。加えて、大企業だけでなく中小企業もサイバー攻撃の対象となるケースが増えており、「うちは大丈夫だろう」と言い切れる状況ではないという危機感も、社内で共有されるようになっていきました。 

DX推進によって、業務効率は確実に向上しました。その一方で、現場にはいくつかの課題の兆しも見え始めていました。不審なメールを受け取ったときの対応や、タブレット・外部機器の扱いについて、「どこまでが問題なく、どこから注意すべきなのか」と判断に迷う場面が出てきたと感じるようになりました。また、部署や個人によって、セキュリティに対する意識や捉え方に差があることも、次第に見えてくるようになりました。

こうした状況を受けて、個々の対応に任せたままでは、不安が残る場面があると感じるようになりました。DXを進めれば進めるほど、便利さの裏側で求められる判断の質やスピードも高まっていくという現実があります。その現実を前に、あらためてセキュリティの取り組みを見直す必要性を意識するようになりました。

これまで、ウイルス対策ソフトの導入や、PCなどの情報機器に関するルール整備といった対策は進めてきました。当時の業務環境を前提にすれば、一定の対応はできていたと感じています。しかし、DX推進の一環としてタブレットの活用が進み、これまで一部の社員が扱っていた情報機器が、製造現場を含め社員全体へと広がっていきました。

その結果、情報に触れる人の数や場面が増え、セキュリティ上の判断も、より多くの社員に任せることになっていく中で、仕組みやルールを整えるだけでは日々の業務で生じる細かな判断まではカバーしきれないと考えるようになりました。「どんな仕組みを入れても、最後は人の判断が重要になる」その思いが、今回の取り組みを見直すきっかけの一つでした。

目指しているのは、「完璧な対策」を整えることではなく、一人ひとりが“気づける状態”をつくることです。「これくらいなら大丈夫だろう」といった過去の経験や思い込みが、実はどれだけ重大な影響につながる可能性があるのかということを、社員一人ひとりにきちんと意識してほしいと考えています。そして、何かおかしいと感じたときに、躊躇せず注意したり、すぐに相談したりできるような、そんな社内の空気をつくることができれば、今回のセキュリティ教育の目的は十分に果たせていると感じています。

ただし、セキュリティに関する状況や脅威は、常に変化しています。DXの進展とともに利用環境も変わり続けます。だからこそ、今回の取り組みを一度きりで終わらせるのではなく、その時々の状況に応じて考える機会を重ねながら、全社員で意識を常に、更新し続けていきたいと考えています。

デジタル化によって業務の幅が広がる一方で、判断しなければならない場面やリスクも確実に増えていきます。だからといって、最初からすべてを整えようとしたり、焦って一気に進めたりすべきだとは思っていません。人やコストに制約がある中で、できる範囲を見極めながら進めていくことが現実的だと感じています。だからこそ、自社の状況をきちんと見ながら、どこにリスクがあり、何から手を付けるべきかを整理し、優先順位をつけて、できるところから進めていくことが重要だと捉えています。

DX推進やセキュリティへの取り組みは、多くの企業にとって悩みの尽きないテーマだと思います。私たちも、日々考えながら取り組みを続けています。「うちは大丈夫」と決めつけずに、できることを一つずつ積み重ねていく。その積み重ねが、結果として会社を守ることにつながっていくと考えています。