全2516文字

 サイバー攻撃による経営リスクが日に日に増す一方、日本企業の危機意識の低さが課題になっている。現状を認識するには、サイバーリスクについて経営者が納得しやすい「お金」に換算することが有効だ。

(日経ビジネス2018年10月15日号より転載)

上杉 謙二[うえすぎ・けんじ]
日本サイバーセキュリティ・イノベーション委員会
主任研究員
2014年、PwCコンサルティングに入社。17年に立ち上がった日本初のサイバー分野専門のシンクタンク、日本サイバーセキュリティ・イノベーション委員会に18年2月から出向。

 米戦略国際問題研究所(CSIS)などの調査によると、サイバー犯罪が世界経済に与える損失は2017年、63兆円と3年前から3割増えた。世界のGDP(国内総生産)の総和の0.8%に相当し、交通事故の被害額に匹敵する規模だ。サイバーリスクの増大とは裏腹に、日本企業の経営層のサイバー防御への関心の薄さが、大きな課題になっている。

 米国では、経営層へのアンケート調査で66%が取締役会が時間を費やすべき重点領域としてサイバーセキュリティーを挙げた。戦略立案や後継者の計画よりも上位だ。別の調査では、サイバー防衛を取締役レベルで議論すべきかという問いに「非常にそう思う」と回答した割合は海外で56%に上った。一方、日本ではわずか18%だ。

日米で経営層の危機意識に差がある

●取締役会としての重点領域(米国調査)

出所:PwC

●「取締役レベルでサイバー  防衛を議論すべき」と回答

出所 : KPMGジャパンの調査より筆者作成
(写真=PIXTA)

 とはいえ今年改訂されたコーポレートガバナンス・コードで取締役に「国際性の面を含む多様性」が求められるようになったことで、改善の兆しが見え始めた。外国人の社外取締役が増え、米国基準のサイバー対策が、ここ1年で大手企業に持ち込まれ始めた。

 ただし、防衛体制が整った大手企業ではなく、脆弱な下請けの中小企業が狙われるケースも近年、増加傾向にある。そこから目的とする大手企業の情報を盗んだり、大手企業に攻撃する足がかりを得たりする。大手企業はサプライチェーン全体の防衛強化を求められ、中小企業の経営層の意識改革が焦眉の急の課題となっている。

「お金」が意識改革を促す

 これまで日本の経営会議では、サイバー担当の技術者が提示する不正アクセスや標的型メール攻撃の回数を指標にして、対策のあり方を議論していた。しかし、こうした数字を見ても実際どれぐらいのリスクが自社にあるのか、経営層にはピンとこない。だが、サイバー攻撃によるリスクの大きさを金額換算すれば、防衛対策への投資の議論も進みやすくなるはずだ。