「セキュリティは経営課題である」
と言われる理由は、サイバー攻撃の被害が業務停止、取引停止、顧客離れ、株価下落、訴訟リスクなど、企業の存続に関わる重大な影響を及ぼすからであり、経営者が「万が一の攻撃」に備えて取るべき具体的なアクションとして、以下のようなことが言われています。
✅ 1. 経営としての基本方針を定める
- 情報セキュリティ基本方針を策定し、社内外に明示。
- 「経営としてリスクをどう捉え、どう向き合うか」を示すことが、従業員や取引先の信頼につながります。
✅ 2. 経営リスクとしての可視化と評価
- 情報資産を棚卸しし、**「何を守るべきか」「失うと何が起きるか」**を明確に。
- リスクアセスメントにより、インシデント発生時の**事業影響(BCPとの連携)**を評価。
✅ 3. インシデント発生時の初動対応体制を整備
- インシデント対応マニュアルの整備と訓練。
- 経営陣も参加する**サイバー攻撃を想定した机上訓練(Tabletop Exercise)**を実施。
- 重要判断を行うための経営者向け判断材料(被害範囲、想定影響、法的義務など)をまとめておく。
✅ 4. 社内教育と文化づくり
- 「セキュリティは現場任せではなく、組織全体で守るもの」という文化の醸成。
- 管理職向け、一般社員向けの役割に応じた教育を継続的に実施。
- 標的型攻撃メール訓練など、実践的な訓練の実施。
✅ 5. 体制・予算の確保
- CISO(情報セキュリティ責任者)の設置や、社内横断型のセキュリティ委員会の設置。
- 必要なセキュリティ対策(EDR、ゼロトラスト導入等)への投資判断。
- セキュリティに必要な予算をIT費用の中に埋もれさせず、経営課題として明確に予算化。
✅ 6. 社外との連携・備え
- 警察、JPCERT/CC、サイバー保険、法律事務所など外部専門家との連携体制を構築。
- 被害発生時の**対外発表手順(プレス対応・報告義務)**の整備。
✅ 7. 復旧と継続の準備
- バックアップの整備(オフラインバックアップの検討も含む)。
- 業務再開までの復旧手順とBCPとの整合性の確認。
🤔しかし、本当に必要なことは…
上記に挙げた1~7のことはいずれも大事なことですが、実はそれよりももっと大事なことがあります。それは、
いざという時に、復旧に必要となるお金と時間を確保できること
です。インシデント発生時の対応体制や復旧に向けたマニュアルなどを幾ら整備しても、それらを遂行するための時間とお金がなければ絵に描いた餅です。
「インシデントが起きた。専門家の協力が必要。でも、専門家を呼ぶには1日あたり百万円の費用がかかる。しかし、そんなお金は無い。」
「インシデントが起きた。復旧に1週間かかる。でも、納品できないことで○千万円の違約金が発生してしまう。しかし、そんなお金は払えない。」
では、会社は終わってしまいます。
💥社長がすべきことは…
どれだけ体制やマニュアルを整備しても、会社が潰れるかもしれないという不安の中では、社員は安心して復旧に取り組むことはできません。
ましてや、それがかなりの現実味を帯びてくると、不安を通り越して逃げ出す社員も出てくるでしょう。こうした負の連鎖が大きくなれば、元に戻せるものも戻せなくなってしまいます。
だからこそ、社長がすべきことは、
社員が安心して復旧に取り組めるようにすること
具体的には、”金と時間を確保すること”であり、この難局を乗り切れば明るい未来が確実に待っているという”希望を社員に提供すること”です。
そして、これは社長自身が最も切望することかもしれません。
お金に余裕があれば専門家を雇えます。
時間に余裕ができれば落ち着いて復旧作業に取り組めます。
心に余裕ができれば社員の士気も維持できます。
そして、これができるのは唯一、社長だけです。
📌お金と時間を確保する算段は社長の頭の中にありますか?
サイバー攻撃による被害金額は、攻撃の種類や規模、企業の規模によって大きく異なりますが、ひとたび起きれば、数千万円から数億円、場合によっては数十億円に及ぶこともあると言われています。
もし、今日被害が発生したら、これだけの金額をすぐに確保するための算段、また、社員が復旧に集中できるだけの時間を確保するための算段は社長の頭の中にあるでしょうか?
「そんなこと言われたって、一体幾ら用意できればいいんだ?」と思うかもしれません。
その金額をはじき出すためにも、冒頭に挙げた1~7のアクションが必要なのです。
インシデント発生に備えた体制の整備やマニュアルの作成なども大事ですが、それ以上に大事なものは災害を乗り切るための「金と時間」であり、それによって生み出される「心の余裕」です。
これを社員に提供できるのは誰でもない、経営者である社長だけです。
