「日本企業において、従業員は長期間当該企業で就業し、規律を順守し、米国企業に比べ、会社に対して強い帰属意識を持つ存在である。彼らはフィッシングやなりすましメールに対する教育や訓練も社内規則に従って受講し、訓練内容を忠実に実践し(中略)ている、と考えられる」
「日本企業のもう一つの強みは、業務改善活動を実現する業務プロセス管理と、その根幹にある品質指向の文化である。(中略)多くの日本の大企業では、全社レベルでパッチ管理と適用の業務プロセスを定め、その実行は集中化、自動化されている。(中略)日本企業の状況を考えると、脆弱性に対するパッチがリリースされてからパッチが適用されるまでの平均時間は日本企業の方が短いことが予想される」
情報セキュリティーへの取り組みについて日本企業と米国企業を比べると、日本の現場は真面目に取り組んでいるという。こう褒められると「いや、それほどでは」「実態は違います」と言いたくなる癖が筆者を含む日本人にはあるが、まずは素直に受け取りたい。
冒頭の指摘2点は、米カリフォルニア大学バークレー校ハース経営大学院のロバート・コール名誉教授が発表した「セキュリティマネジメントの日米企業比較~組織論の観点から~」という一文からの引用である。コール氏と三菱電機の伏見信也シニアアドバイザーが執筆したもので、IPA(情報処理推進機構)が2020年9月に発行した『情報セキュリティ白書2020』に掲載された。白書はIPAのWebサイトからダウンロードできる。
コール氏は日本企業の組織を長年研究しており、自動車産業に詳しく、IT分野の日米比較研究も手掛けている。ソフトウエアを巡る問題について日経クロステックに寄稿してもらったこともある。
2020年の今になっては信じられないが、「日本の経営」こそがベストプラクティスだと注目され、欧米で研究された時期があった。当時を知るコール氏が「最近日本は元気がないようだが優れた点はまだまだあるはず」と伏見氏に持ち掛け、両氏は情報セキュリティーに着目、いくつかの日米比較調査結果を基にIPAへの寄稿をまとめた。
