サイバー攻撃による経営リスクが日に日に増す一方、日本企業の危機意識の低さが課題になっている。現状を認識するには、サイバーリスクについて経営者が納得しやすい「お金」に換算することが有効だ。
(日経ビジネス2018年10月15日号より転載)
日本サイバーセキュリティ・イノベーション委員会
主任研究員
米戦略国際問題研究所(CSIS)などの調査によると、サイバー犯罪が世界経済に与える損失は2017年、63兆円と3年前から3割増えた。世界のGDP(国内総生産)の総和の0.8%に相当し、交通事故の被害額に匹敵する規模だ。サイバーリスクの増大とは裏腹に、日本企業の経営層のサイバー防御への関心の薄さが、大きな課題になっている。
米国では、経営層へのアンケート調査で66%が取締役会が時間を費やすべき重点領域としてサイバーセキュリティーを挙げた。戦略立案や後継者の計画よりも上位だ。別の調査では、サイバー防衛を取締役レベルで議論すべきかという問いに「非常にそう思う」と回答した割合は海外で56%に上った。一方、日本ではわずか18%だ。
●取締役会としての重点領域(米国調査)
●「取締役レベルでサイバー 防衛を議論すべき」と回答
とはいえ今年改訂されたコーポレートガバナンス・コードで取締役に「国際性の面を含む多様性」が求められるようになったことで、改善の兆しが見え始めた。外国人の社外取締役が増え、米国基準のサイバー対策が、ここ1年で大手企業に持ち込まれ始めた。
ただし、防衛体制が整った大手企業ではなく、脆弱な下請けの中小企業が狙われるケースも近年、増加傾向にある。そこから目的とする大手企業の情報を盗んだり、大手企業に攻撃する足がかりを得たりする。大手企業はサプライチェーン全体の防衛強化を求められ、中小企業の経営層の意識改革が焦眉の急の課題となっている。
「お金」が意識改革を促す
これまで日本の経営会議では、サイバー担当の技術者が提示する不正アクセスや標的型メール攻撃の回数を指標にして、対策のあり方を議論していた。しかし、こうした数字を見ても実際どれぐらいのリスクが自社にあるのか、経営層にはピンとこない。だが、サイバー攻撃によるリスクの大きさを金額換算すれば、防衛対策への投資の議論も進みやすくなるはずだ。
Powered by リゾーム?