以前から「サイバーセキュリティ対策に企業が取り組んでいる姿勢や、経営者の考え方などを、外部に情報発信することは重要だ」と申し上げてきた。ともすれば後ろ向きの損金と捉えられがちなセキュリティ対策費を、実質「投資」として経営者に認識してもらうには、情報開示をしてステークホルダーに認められ、
・新しい取引先が増える
・株価が上がる
リターンにつなげる必要があると思っているから。自社のセキュリティ対策の「成熟度」を毎年チェックするのは、大手企業ではそれなりに定着してきた。しかしその結果を、いくらかでも外部開示することについては抵抗感がある。また「外部評価ソリューションサービス」を提供する企業が出て来て、いい方向に行くのかもしれないということも、以前紹介した。
「セキュリティ」の見える化(後編) - Cyber NINJA、只今参上 (hatenablog.com)
ただ、このサービス、聞くと「玉石混交」の状態のようだ。積極的にこのサービスを利用して自社の対策を進めたり、お取引先などに結果を示している企業もあれば、ちょっと悪質な「売り込み」に遭って困っている企業もあるらしい。
今回本件についてコメントしてくれた2社は、日本の重要インフラ企業。
◆A社
突然訪問してきて「御社のスコアリングはこうです。競合のB社はこんなもの」と突き付けられた。スコアリング依頼はもちろん、チェックする許可も与えていないのに、結果だけ持ってくる。
◇N社
当社でやっていることを理解もせず、外部からテストしてまずかったところだけあげつらってくる。インフラ事業者としてやむを得ないこともあるのに、業種の特徴も考慮してくれない。(売り込みを)断ると、どうも各所で弊社の悪口を言っているらしい。
評価事業者としては、こういう大手企業に採用してもらえば事業がやりやすくなるので、意気込んでやってきたのだろう。しかし上っ面しか調査は出来ないわけで、脅迫まがいの「売り込み」と、それがうまくいかなかったからの「腹いせ」に繋がったように思う。両社の感想から考えて、評価事業者側に「営業能力の欠如」があったのだろう。
・外部から評価をしてみたらこう見えます
・御社の対策向上に協力させていただけませんか
・内情を教えていただければ、より精密な評価が可能です
くらいのこと、言えなかったのでしょうかね。