%{FACEBOOKSCRIPT}%

サイバーセキュリティお役立ち情報

お役立ち資料
サイバーセキュリティブログ
用語集
  1. HOME
  2. サイバーセキュリティお役立ち情報
  3. 記事一覧
  4. リスクアセスメントで築く持続可能な事業インフラ Part 1:経営戦略とサイバーセキュリティ ~リスクアセスメントの現場から~(1/13)

リスクアセスメントで築く持続可能な事業インフラ Part 1:経営戦略とサイバーセキュリティ ~リスクアセスメントの現場から~(1/13)

サイバーセキュリティブログ 記事一覧 セキュリティ対策 コラム
セキュリティ対策 セキュリティ診断 リスクアセスメント コンサルティング おすすめ 山田淳二
  • LINEで送る
  • このエントリーをはてなブックマークに追加
リスクアセスメントで築く持続可能な事業インフラ Part 1:経営戦略とサイバーセキュリティ ~リスクアセスメントの現場から~(1/13)

この領域における20年を超える現場経験から培った知見や見えてきた課題、またその解決方法など、みなさまの参考になるよう、具体的な例を交え、SOMPO CYBER SECURITYでコンサルタントを務める私、山田 淳二が「リスクアセスメントで築く持続可能な事業インフラ」というテーマで、連載コラムをお届けしています。

前回は前段(Part0)として、「なぜ、サイバーセキュリティ対策が必要なのか」という「そもそも」の部分を説明していますので、見逃した方は是非、そちらもご一読ください。

今回は、経営戦略とサイバーセキュリティの関係を紐解いていきます。

経営戦略を策定する立場にある経営層や経営企画部門が「サイバーセキュリティ」をどのように捉えているのか。昨今のサイバー攻撃による被害状況を踏まえ、意識を変化させる経営層は増加傾向にある一方で依然として他人事として捉えていたり、重要性は認識しつつも専門知識の不足を理由に手つかずであったり、戦略には盛り込んでいるものの実行段階まで落とし込めていなかったりと、その状況はさまざまです。

本コラムでは、経済産業省が定める経営者としての責任、経営者に求められる知識などについて説明していきます。まずは、経営者に何が求められているのかを理解するために、経済産業省の「サイバーセキュリティ経営ガイドライン」から見ていきましょう。

サイバーリスクアセスメントサービス
サイバーセキュリティに関する不安・悩みの解消はリスクアセスメントから

インシデント対応支援にも携わる経験豊富なコンサルタントがセキュリティ対策状況の可視化とともにお客さま環境等を考慮した解決策を提案 サイバーリスクアセスメントサービスはこちら

目次

経済産業省の「サイバーセキュリティ経営ガイドライン」が示す経営者の責任

企業経営において、サイバーセキュリティがいかに重要であるかは、経済産業省とIPAが共同で策定した「サイバーセキュリティ経営ガイドライン」にも明確に示されています。このガイドラインは、経営者がサイバーセキュリティを自らの課題として認識し、実行すべき具体的な方策を示しており、サプライチェーン全体でのリスク管理の重要性も踏まえ、特に以下の3点に整理することができます。

1.自社の重要情報資産の把握とリスク認識

これは、この後の「経営者に必要なサイバーセキュリティ知識」で説明される「情報資産の棚卸と価値認識」および「自社を取り巻くリスクの種類と影響範囲の理解」を指し、経営者自身が自社のビジネスにおいて特に重要な情報資産を特定し、それらがどのようなサイバーリスクに晒されているのかを深く理解する責任がある、という趣旨になります。特に、外部委託先や連携企業を介した間接的なリスクも認識したうえで、サプライチェーン全体のリスクマップを描くことが求められているレベルです。この認識は、効果的な対策を講じるために欠かせないことを理解しましょう。

2.サイバーセキュリティ対策の体制構築と予算確保

これは、この後の「経営者に必要なサイバーセキュリティ知識」で説明される「社内体制と責任分担の明確化」と密接に関連します。経営者は、CISOの設置やIT部門との連携にとどまらず、全社的なセキュリティ体制を構築し、それを継続的に維持・改善するための予算を適切に確保する責任があります。サプライチェーンリスクに対応するためには、自社だけでなく、取引先のセキュリティ対策状況の評価・改善を促すための体制と費用も考慮に入れる必要があります。セキュリティ対策は、一度行えば終わりではなく、常に進化する脅威やサプライチェーンの多様化に対応するために継続的な見直しと投資が不可欠です。

3.インシデント発生時の迅速な意思決定と説明責任

これは、この後の「経営者に必要なサイバーセキュリティ知識」で説明される「初動対応の意思決定ポイント」と顧客・取引先・株主などの「ステークホルダーとの信頼関係の維持」を統合したものです。万が一、インシデントが発生した場合、たとえその発生源がサプライチェーン上のパートナーであったとしても、経営者は迅速かつ的確な意思決定を行い、その影響を最小限に抑えるとともに、顧客、株主、規制当局、社会に対し、透明性をもって事実を説明し、信頼回復に努める責任を負います。サプライチェーンリスクに起因するインシデントでは、影響範囲が広範囲に及ぶ可能性が高いため、より一層の迅速性と包括的な対応が求められます。

これらは単なる行政からの推奨事項ではなく、実際にインシデント対応を支援してきた現場の経験から見ても、この3点を的確に実行できている企業は、被害を最小限に抑え、信頼回復も早期に行われています。反対に、経営者が「把握していなかった」「外部の専門家に任せきりだった」という企業ほど、初動対応の遅れから事態が悪化し、報道対応に追われるなど、株価や取引に深刻な影響が出ています。


サイバーセキュリティ経営ガイドラインと経営者に必要なサイバーセキュリティ知識の関係

「経営者に必要なサイバーセキュリティ知識」とは

国が定める経営者が負うべき責任について述べてきましたが、では、そもそも経営者にとって必要なサイバーセキュリティ知識とは何なのでしょうか?

「サイバーセキュリティは技術の話なので、専門家に任せれば良い」という意見を現場で耳にすることは少なくありません。しかし、サイバー攻撃やインシデント対応の最前線では、経営者の「知らない」という事実が企業の価値を左右することを痛感します。

経営者に求められるのは、高度な技術的知識ではなく、経営判断に直結するサイバーセキュリティの理解です。具体的には、以下の視点が不可欠であると考えます。

1.情報資産の棚卸と価値認識

これは、経営者が負うべき責任の「1.自社の重要情報資産の把握とリスク認識」と関係があります。企業が保有する情報資産(顧客データ、契約書、設計図、従業員情報など)の価値を正確に把握し、それが漏洩した場合にどのような経済的・非経済的損失が発生するかを理解することが重要です。例えば、ある製造業では、長年かけて蓄積された製品の設計図データがランサムウェア攻撃により暗号化され、復旧に莫大な費用と時間を要しただけでなく、競合他社に技術情報が流出するリスクに直面しました。経営者がこの設計図データの「価値」と「漏洩時の事業影響」を事前に正しく認識していれば、より優先度の高い対策が講じられたはずです。

2.自社を取り巻くリスクの種類と影響範囲の理解

これも、同じく「1.自社の重要情報資産の把握とリスク認識」と関係があります。サイバー攻撃の手口(ランサムウェア、標的型攻撃など)とそれが業務停止・法的責任・取引停止にどう繋がるかを知るだけでなく、特に昨今深刻化しているサプライチェーンリスクへの理解が不可欠です。例えば、ある小売業では、取引先であるクラウドサービスプロバイダーへのサイバー攻撃を起点とした情報漏洩が発生し、自社顧客の個人情報が大量に流出しました。この結果、大規模な損害賠償請求や、長年築き上げてきた顧客からの信頼失墜を招き、事業継続が危ぶまれる状況に陥りました。経営者は、自社だけでなく、サプライチェーン全体のセキュリティの脆弱性が自社の事業に与える影響を具体的に理解しておく必要があります。

3.サプライチェーン全体のセキュリティ管理の必要性

これは、経営者が負うべき責任の「2.サイバーセキュリティ対策の体制構築と予算確保」と関係があります。自社がいくら強固なセキュリティ対策を講じていても、取引先や委託先のセキュリティ対策が不十分であれば、そこを起点とした攻撃によって自社の情報資産や事業継続性が脅かされる可能性があります。経営者は、ビジネスパートナーを選定する際にセキュリティ要件を明確に含めること、定期的なセキュリティ監査や契約による制限の設定など、サプライチェーン全体のセキュリティレベル向上を考慮した仕組みづくりに責任を持たなければなりません。これは、単にコスト増加と捉えるのではなく、自社のレジリエンス(回復力)を高めるための戦略的投資として認識する必要があります。

4.社内体制と責任分担の明確化

これも、同じく「2.サイバーセキュリティ対策の体制構築と予算確保」と関係があります。最高情報セキュリティ責任者(CISO)やIT部門の役割分担を明確にし、取締役会、広報部門、法務部門など関連部署との連携体制を構築した上で、経営者自身がインシデントに対する「最後の責任者」であるという自覚を持つことが重要です。例えば、ある上場企業で、サイバー攻撃による情報漏洩が発生した際、経営層の間で「誰が最終的な意思決定者なのか」「どの部署が広報窓口となるのか」が曖昧であったため、対応が遅れ、株価に大きな影響を与えました。経営者が、サイバーセキュリティ対策をIT部門だけの問題とせず、全社的な経営課題として捉え、責任体制を明確にしておくことが、迅速かつ一貫性のある対応につながります。

5.初動対応の意思決定ポイント

これは、経営者が負うべき責任の「3.インシデント発生時の迅速な意思決定と説明責任」と関係があります。インシデント発生時、誰に何を報告し、どこまで情報を公開するかといった初動対応は、法令、ガイドライン、そして社会的責任の観点から迅速かつ的確な判断が求められます。例えば、ある企業でランサムウェア被害が発生した際、経営者が「感染範囲の拡大を防ぐため、直ちにシステムを停止すべき」というIT部門の判断を「事業停止による損失が大きい」と判断し、対応を遅らせた結果、被害が甚大なものとなりました。さらに、原因究明や影響範囲の特定が遅れたことで、顧客や関係各所への説明が不十分となり、企業イメージを大きく損ねる事態を招きました。インシデント発生時の「被害の最小化」と「信頼の維持」という二律背反する課題に対して、経営者自身が的確な意思決定を行うための事前準備が不可欠です。併せて意思決定を迅速に行うためにも、サイバー攻撃を想定した実効性のある事業継続計画(BCP)を事前に策定しておくことが重要です。

6.ステークホルダーとの信頼関係維持

これは、経営者が負うべき責任の1,2,3をおろそかにして、取り組めるものではありませんので、すべてに関係しているといってよいでしょう。サイバーセキュリティ対策は、単なる防御措置ではなく、企業の信頼を守り、向上させるための経営戦略であると認識する必要があります。各ステークホルダーとのリスクコミュニケーションを主導する役割も期待されます。近年、多くの投資家がESG(環境・社会・ガバナンス)投資の一環として、企業のサイバーセキュリティ対策の状況を重視するようになっています。経営者がセキュリティ対策への投資を「コスト」ではなく「企業価値向上」と捉え、その進捗状況を株主や社会に向けて適切に説明できる能力は、企業としての信用度を高める上で不可欠です。

経営者教育がもたらす”防御力の質的転換”

経営者がサイバーセキュリティを「自らの責任領域」として正しく理解し、的確な判断軸を持つことで、企業の防御力は根本的に向上します。実際に、経営者教育を定期的に実施した企業では、以下のような効果があったと感じています。


定期的な経営者教育の効果

1.戦略的投資判断が可能に

サイバーセキュリティ対策を単なる「守りの費用」ではなく、「企業の信頼と事業継続性を高めるための投資」と位置づけることが可能になり、予算配分がより合理的かつ戦略的になりました。例えば、経営者がリスクアセスメントの結果を踏まえ、重要な顧客データを保護するための多要素認証の導入や、従業員へのセキュリティ教育強化に積極的に予算を投じるようになった結果、標的型攻撃による情報漏洩リスクを未然に防ぐことができたとの報告を受けています。また、サプライチェーンリスクを経営課題として認識することで、取引先へのセキュリティ要件の提示や共同での対策強化にも予算が割かれるようになり、企業全体のセキュリティレジリエンスが向上しています。

2.迅速で的確な初動判断

インシデント発生時に「何を報告し、どこまで公開するか」といった判断基準が明確になり、対応における混乱を防ぐことができます。これにより、社会的な信頼回復までの時間も大幅に短縮されます。以前は、インシデント発生時、IT部門からの報告を待つばかりで、経営判断が遅れがちでしたが、教育を通じて「ビジネスインパクトの観点から、どの情報が最も重要か」「ステークホルダーへの影響を考慮した、透明性のある情報公開とは何か」を理解した経営者は、迅速かつ的確な指示を出せるようになりました。特にサプライチェーン上のインシデント発生時にも、その影響範囲をいち早く特定し、取引先と連携した復旧策を講じるなどの迅速な意思決定が可能になります。

3.企業文化と責任意識の醸成

経営層自らがサイバーセキュリティの重要性を社内外に発信することで、従業員一人ひとりのセキュリティ意識が向上します。その結果、情報管理体制の強化や、協力会社との連携体制の自然な強化に繋がります。経営者がセキュリティ教育への参加を率先して行い、その重要性を繰り返し伝えることで、組織全体に「情報セキュリティは全員の責任である」という意識が浸透します。これにより、従業員が不審なメールに気づいて報告したり、情報管理ルールを遵守したりする行動が自然と定着していきます。また、取引先との契約におけるセキュリティ条項の見直しや、定期的な情報共有が促進され、サプライチェーン全体のセキュリティガバナンスが強化されます。

まとめ:「守り」ではなく「信頼を育む経営戦略」としてのサイバーセキュリティ

サイバーセキュリティ対策をもはやコストとしてのみ捉えるべきではありません。

現代では、顧客・取引先・社会からの信頼を維持・向上し、事業継続性を確保するための不可欠な経営戦略として位置づけるべき、と考えられています。経営者がサイバーセキュリティを理解し、積極的に学び、主導する企業は、危機に対してより強く、持続的な成長にも有利な立場を築くことができます。特に「サイバー攻撃が発生しても事業を止めない」という目標は、これからの企業経営における必須条件となっています。

この理解は、単なる教育の枠を超えた組織全体の変革に繋がります。リスクが事業の存続を左右し得る現代において、教育を通じて経営層がリスクを適切に評価し、迅速かつ戦略的な意思決定を下せるようになることで、企業全体のサイバーセキュリティは大きく向上し、より強固な事業インフラの構築へと繋がります。

結果として、予期せぬ事態が発生しても動揺せず事業を継続し、お客さまや市場からの信頼を盤石なものにできると考えます。

次回は、2月に「サイバー攻撃時、企業はなぜ動けなくなるのか ~CSIRTが支える「判断できる組織」~」と題したコラムをお届け予定です。お楽しみに!

SOMPO CYBER SECURITY
上席コンサルタント 情報処理安全確保支援士
山田 淳二(やまだ じゅんじ)

専門分野
  • サイバーリスクアセスメント
  • サイバーインシデント対応体制構築
  • グローバルセキュリティ体制強化

略歴
  • 2004年からネットワーク設計・構築を担当、ネットワークセキュリティ、脆弱性診断業務、ペネトレーション事業の立ち上げ等、脆弱性診断業務のマネジメント業務に従事。
  • その後、官公庁のセキュリティ管理、規程類の改定、教育・訓練および監査に従事。
  • 現在は、企業向けのサイバーリスクアセスメントやインシデント対応体制構築支援、セキュリティアドバイザリ等をコンサルティングに従事。

サイバーリスクアセスメントサービスのご紹介

SOMPO CYBER SECURITYでは、セキュリティ対策の第一歩であるリスクの可視化による現状把握、それに続く効果的な対策計画の立案をサポートするサイバーリスクアセスメント コンサルティングサービスを提供しています。

アセスメントの実施概要と流れ

今回は代表的なリスクアセスメントサービスを事例として紹介していますが、サイバーリスクアセスメント コンサルティングサービスでは、他にもペネトレーションテストなど、各組織のニーズと予算に合わせた組み合わせでご利用いただけるよう、豊富なオプションをご用意しています。
ぜひ利用に向けてご検討ください。

サイバーリスクアセスメントサービス
サイバーセキュリティに関する不安・悩みの解消はリスクアセスメントから

インシデント対応支援にも携わる経験豊富なコンサルタントがセキュリティ対策状況の可視化とともにお客さま環境等を考慮した解決策を提案 サイバーリスクアセスメントサービスはこちら

 

 

SOMPO CYBER SECURITYでは、コラムやお役立ち資料、セミナー情報などを随時メールマガジンにて配信しています。ご登録がまだの方は下記のボタンより是非ご登録ください。

メルマガ登録はこちら
  • LINEで送る
  • このエントリーをはてなブックマークに追加

新着情報

カテゴリ

すべて表示する

お役立ち情報一覧

タグ

すべて表示する

アーカイブ

アーカイブをすべて表示する

人気お役立ち資料

CONTACT

資料請求・導入に向けたお問い合わせ・ご相談はこちら

FREEサービス紹介やお役立ち資料を
無料でご活用いただけます