経営者が主導するサイバーセキュリティ経営の実現を!

近年、ランサムウェアや標的型攻撃、サプライチェーンを狙った侵入など、サイバー攻撃の手口は高度化・巧妙化し、被害にあえば、企業の存続にも影響を及ぼしかねない重大なリスクになってきています。ある民間企業の調査で、1件のサイバー被害で平均1億円強の損失が発生しているという報告もあります 。
経営者がこういった状況を直視し、リスクを「自分ごと」として捉え、継続して関与していくことが、セキュリティリスクに対応する重要な要素だと考えています。
このコラムでは、セキュリティリスクの変遷を振り返りつつ、経営者が取り組むべき事項について考えてみます。

松吉 賢幸(まつよし まさゆき)
NECネクサソリューションズ株式会社
コンサルティング統括部
ガバナンス・テクノロジーグループ

メインフレームコンピュータの運用管理を担当したのち、SI業務の品質監理・技術管理、データセンター運営業務の品質監理・セキュリティ管理に従事。
2009年よりコンサルティング業務に従事。セキュリティを中心とするITリスクマネジメントのコンサルティングを担当。
公認情報システム監査人(CISA)
経産省認定:情報処理安全確保支援士、ITストラテジスト、システム監査技術者、ITサービスマネージャ
new windowDX検定 EXPERT 2025 new windowNEC DX人材 コンサルタント

松吉 賢幸(まつよし まさゆき)

1. 政策が示すセキュリティに対する経営層への期待

サイバー攻撃や内部不正など情報セキュリティ上の脅威が経営課題だと叫ばれ始めたのは2000年代中頃からでした。経済産業省やIPAの発行物を振り返ると…

  • 2008年
    情報セキュリティ白書を初めて発行
  • 2009年
    情報セキュリティガバナンス導入ガイダンス
    中小企業における組織的な情報セキュリティ対策ガイドライン
  • 2010年
    情報セキュリティ10大脅威の発表開始(情報セキュリティ白書から独立して初めて発行)
  • 2015年
    サイバーセキュリティ経営ガイドライン第1版発行
  • 2016年
    中小企業の情報セキュリティ対策ガイドライン…全面改訂

白書や10大脅威は毎年継続して発表されていますし、ガイドラインは動向に合わせて改訂されています。
(2025年6月時点でサイバーセキュリティ経営ガイドライン第3版、中小企業の情報セキュリティ対策ガイドライン第3.1版) 2009年の情報セキュリティガバナンス導入ガイダンスでも、経営者は「最高情報セキュリティ責任者(CISO)」を指名しリーダーシップを発揮してセキュリティに取り組んでいくこと…最近の用語でいうと「経営者主導によるサイバーセキュリティ経営」が10年以上前からずっと求められてきました。

一方で、一般社団法人日本情報システム・ユーザー協会が2021年に調査した「経営層がセキュリティ対策の重要性を認識しているが、取り組みはIT部門などに任せて経営会議で議論されない」とした企業は、年商1000億円未満の企業だと50~60%弱となっていますので、経営層が積極的に関与していなかった企業は多かったようです。仕事柄セキュリティに課題を感じておられる経営層などに話を伺う中でも「2009年頃にセキュリティポリシーを策定してから改版しないで運用も形骸化してるんだよね」という状況を何度となく伺ったことがあるので、セキュリティ管理の継続的な運用が課題の組織は相応数あるものと推察されます。ぜひ、IT部門等に任せっきりではなく、経営層がセキュリティに大いに関心を持っていただき、継続的に社内で議論していただきたいと思います。

出典:一般社団法人 日本情報システム・ユーザー協会「企業IT動向調査報告書2022」

出典:一般社団法人 日本情報システム・ユーザー協会「企業IT動向調査報告書2022」

2. セキュリティ上の脅威は何か?

既に経営層が関心をもってIT部門等と会話されている企業は、時代のリスクに合わせて対策も進化されていると思いますが、何となく不安を感じておられる経営層においては、まず「敵を知る」ことが必要です。
IPA「情報セキュリティ10大脅威」の“組織”における脅威上位3位の過去10年を見ると、近年は「ランサム攻撃による被害」「サプライチェーンや委託先を狙った攻撃」が継続して上位に位置しており、すぐにでも対策に取り掛かるべき脅威となっています。

年度 1位 2位 3位
2025 ランサム攻撃による被害 サプライチェーンや委託先を狙った攻撃 システムの脆弱性を突いた攻撃
2024 ランサムウェアによる被害 サプライチェーンの弱点を悪用した攻撃 内部不正による情報漏えい等の被害
2023 ランサムウェアによる被害 サプライチェーンの弱点を悪用した攻撃 標的型攻撃による機密情報の窃取
2022 ランサムウェアによる被害 サプライチェーンの弱点を悪用した攻撃 テレワーク等のニューノーマルな働き方を狙った攻撃
2021 ランサムウェアによる被害 テレワーク等のニューノーマルな働き方を狙った攻撃 サプライチェーンの弱点を悪用した攻撃
2020 標的型攻撃による機密情報の窃取 サプライチェーンの弱点を悪用した攻撃 ランサムウェアによる被害
2019 標的型攻撃による機密情報の窃取 ビジネスメール詐欺による金銭被害 ランサムウェアによる被害
2018 標的型攻撃による機密情報の窃取 ランサムウェアによる被害 内部不正による情報漏えい等の被害
2017 標的型攻撃による機密情報の窃取 ランサムウェアによる被害 内部不正による情報漏えい等の被害
2016 標的型攻撃による機密情報の窃取 内部不正による情報漏えい等の被害 ランサムウェアによる被害

ランサムウェア攻撃に対しては、特にインターネットからの入口となるVPN装置、認証基盤としての認証サーバへの侵入が大きな被害につながります。これらの脆弱性が放置されていないか、管理者のパスワード強度は大丈夫か等の確認は直ぐにでも実施してください。クライアントPCが感染しても被害を拡散させないようEDR(Endpoint Detection and Response)を導入される企業は増えてきています。
また、侵入されデータの復旧できない事態にならないよう、重要なデータは、3-2-1ルール(3つのデータ保持、2つの異なる媒体、1つはオフサイト保管というバックアップ戦略)でバックアップされているかを点検しましょう。

業種ごとの特性から、「攻撃者の視点に立っての攻めどころ」を考えてみたのが以下の表です。
あくまで筆者見解ですので、各組織に当てはまるものではありませんが、もし当てはまる課題が一つでもあれば、経営者とIT部門等とセキュリティ対策について会話するきっかけになればと思います。

業種 特有の事情・背景 主なセキュリティ課題
製造業
  • OT(制御系)とIT(情報系)の融合が進む
  • 海外拠点や工場とのVPN接続が多い
  • 古いOSや未更新の端末が残存
  • OT機器の脆弱性管理が不十分
  • VPN設定ミスや多要素認証未導入
小売業
  • POSやECサイトなど顧客接点が多い
  • 多拠点展開でVPN接続が多い
  • ECサイトのCMS脆弱性
  • 個人情報の管理不備
  • VPN設定ミス、脆弱性対応漏れ
卸売業
  • 取引先とのメール・請求書のやり取りが多い
  • 属人的な業務が残る
  • メール誤送信によるBEC攻撃
  • なりすましメールへの耐性不足
  • セキュリティ教育の未実施
サービス業
  • 予約・決済・顧客対応などクラウド依存度が高い
  • 従業員のITリテラシーにばらつきがある
  • クラウド設定ミス(アクセス制限含む)
  • 個人レベルの意識低下
    (パスワードの使い回しなど)
  • セキュリティポリシーの未整備
医療法人
  • 電子カルテや医療機器のネットワーク化が進む
  • IT人材が不足しがち
  • 電子カルテのバックアップ不備
  • IT機器・医療機器の脆弱性放置
  • インシデント対応体制の未整備

3. 組織がもつべき「セキュリティ統括機能」

セキュリティ投資は単なるコストではなく、企業価値を高めるための戦略的投資です。製品やサービスの品質を高めるために設備や人材に投資するのと同じです。まず投資の対象として、経営層の右腕となるべき“セキュリティを統括する機能”が組織の中にあるかどうかを考える必要があります。組織の大小にかかわらずもつべきセキュリティ統括機能には以下の様なもの(下表の左半分)が必要とされています。
これら機能が割り当てられている部門があること、それを統率する責任者(=CISO:最高セキュリティ責任者)を配置することが「サイバーセキュリティ経営」への第一歩とも言えます。

  • 下表の右半分(ブルーの箇所)は現状把握のイメージです。

<現状把握のイメージ>

セキュリティ統括の機能 実施
有無		 現状の分担(●主担当、▲支援)
情シス 総務 経企
方針策定 法令対応(国内法、各国法)      
セキュリティポリシー策定・維持      
セキュリティリスク管理・事業継続(BCP)      
実務 社内規程・規則策定      
現状把握・リスクアセスメント実施 ×        
インシデント管理・CSIRT活動      
支援 新技術・新サービス導入      
データ管理・アクセス制御      
業務支援 委託先管理・調達管理          
監査          

出典:ユーザ企業のためのセキュリティ統括室構築・運用キット(一般社団法人サイバーリスク情報センター産業横断サイバーセキュリティ人材育成検討会)より筆者作成

4. サイバーセキュリティ経営ガイドラインの活用

サイバーセキュリティ経営ガイドラインは、経営者が主導してサイバーセキュリティに取り組むための実践的な指針です。
サプライチェーン攻撃、生成AIの悪用といった攻撃の高度化やDX推進やクラウド活用の加速といった時代の変化を踏まえて2023年に改訂され、経営視点で時代に合わせたセキュリティ対策を網羅的にカバーした内容になっています。サイバーセキュリティ経営の第一の拠り所としていただきたい内容です。
ガイドラインと整合した「サイバーセキュリティ経営可視化ツール」という支援ツールもリリースされていますので、自社との状況を俯瞰して、今後の対策を検討してみてはいかがでしょうか?

可視化結果のレーダーチャート表示例(注1)

可視化結果のレーダーチャート表示例(注1)

5. 経営層が今すぐできる3つのこと

サイバー攻撃を始めとするセキュリティリスクへの対応は、専門的な知識やスキルをもった人材が不足しているなど組織によって事情は様々と思いますが、国際的にみると日本のセキュリティへの取り組みは遅れていると言われています。経営者が今すぐできる以下3点を手始めに継続した取り組みに発展させていただきたいと思います。

  • 1
    セキュリティは経営課題と認識する

    セキュリティをIT部門任せにせず、経営者が経営課題として認識していただき、経営会議や社内関連部門との間で定期的かつ継続的にセキュリティリスクに関するコミュニケーションを続けてください。

  • 2
    セキュリティ統括機能の配置を検討する

    セキュリティ投資はコストではなく、企業価値を高める“戦略的投資”です。経営者の右腕となるCISO(最高情報セキュリティ責任者)やセキュリティ統括機能を配置して、全社的なセキュリティリスク管理体制によってセキュリティ戦略が実行できる基盤づくりを検討しましょう。

  • 3
    自社の現状を“見える化”する

    経営者がリスクを「見える化」し、意思決定に反映させることで組織全体の対応力が高まります。IPAの「サイバーセキュリティ経営ガイドライン(可視化ツールあり)」等を活用し、現状の弱点を把握した上で効果的に対策を実施しましょう。

サイバー攻撃は「いつか来るかもしれない未来」ではなく、「すでに起きている現実」です。
経営者が「うちは大丈夫」と思っている間に、攻撃者は次の標的を探しています。
「セキュリティは経営の責任」として取り組むことで、企業全体で「サイバーセキュリティリスク」への共通認識が醸成されます。
それは、会社の情報を守るだけでなく、顧客や取引先、従業員、そして社会全体の安心につながる大きな一歩です。

以上

2025年7月