サイバー攻撃､｢恐い｣で済ませない経営者の視点 ホラーストーリーを経営計画に落とし込むには

事業計画と無関係にセキュリティリスクを評価するのは無理がある。（写真：Wakko / PIXTA）

「中小企業においても数千万単位、場合によっては億単位のお金を要し、結果として経営に多大な影響が発生する」（「JNSAインシデント損害額調査レポート第2版」）にもかかわらず、サイバーセキュリティリスクを自らの課題として認識していない経営者がいる。

インシデントが発生すれば経営に大きな影響が出る

今に始まったことではないが、サイバーセキュリティに関する事件や事故が後を絶たない。自動車工場や港湾業務の停止、病院業務への影響など、事業基盤や社会基盤への影響が目立つようになった。

東洋経済Tech×サイバーセキュリティのトップページはこちら

また、取引先企業や自社の経営層などになりすましてメールを送るビジネスメール詐欺（BEC）や、メール等から偽サイトに誘導して個人情報を搾取するフィッシングなどのオンライン詐欺は、企業や個人から直接的に金銭を盗み出している。

NTT西日本の子会社で、10年にわたって顧客情報を不正に持ち出していた事件も衝撃を与えた。インシデントが発生した場合、事故対応のほか被害者からの損害賠償請求、事業中断による損失など、経営に大きな影響が出る。ITが事業基盤となった現在では、サイバーセキュリティは主要なビジネスリスクの1つであり、経営課題だ。

ここでは、事業視点からサイバーセキュリティ施策の重要性を理解し、その有効性の評価と必要な対策を分析するアプローチを解説する。