サイバー攻撃によって数千万円もの損失が発生し、企業が倒産に追い込まれるケースが増えている。株式会社CISOの代表取締役である那須慎二氏は、サイバー攻撃で倒産する企業と生き残る企業の間には明確な違いがあると指摘する。那須氏は、倒産しやすい企業に共通する3つの特徴を挙げ、経営者の意識改革と適切なセキュリティ対策の重要性を訴えている。
特徴1:経営者のセキュリティ意識欠如
多くの企業で、経営者はサイバーセキュリティを「自分たちには関係ない話」と考えがちだ。那須氏は「うちには関係ない話と考えて、セキュリティ対策をしていない企業こそ、狙われる可能性が高い」と警告する。経営者は興味・関心のわかないものには投資判断ができず、必要な知識や現状の理解も不十分である。その結果、情報システム部門や総務などの現場社員が「セキュリティ強化をした方がいい」と提案しても、「そこに投資する意味がわからない」「すでにセキュリティ対策はやっている」「システムベンダーに任せているから大丈夫」として却下されてしまう。
特徴2:情報とITシステムの価値軽視
会社経営における重要な資源は「人、モノ、お金、情報」であるが、中でも「情報」は比較的新しい概念であり、時代が進むにつれてその価値は高まっている。倒産しやすい企業は、情報の価値やITシステムそのものの価値を軽視する傾向にある。那須氏は、例えばランサムウェア被害に遭った場合、自社の基幹システムが破壊されたり、情報が盗み取られて公開されたりするリスクを指摘する。業務におけるITやシステムへの依存度が高い企業では、攻撃を受けた瞬間から業務が停止し、社内が大混乱に陥る。
特徴3:内部留保不足とサイバー保険未加入
3つ目の特徴は、内部留保が少なく、サイバー保険にも加入していないことだ。サイバー攻撃を受けた後の復旧には多額の費用がかかる。那須氏は、内部留保が乏しい企業は攻撃後の事業継続が困難になり、倒産に至るケースが多いと説明する。また、サイバー保険に加入していない場合、金銭的な補償が得られず、経営の危機が深刻化する。
生き残る企業の条件
那須氏は、サイバー攻撃から生き残る企業は、経営者がセキュリティの重要性を理解し、適切な投資を行っていると指摘する。具体的には、定期的なセキュリティ監査の実施、社員教育の徹底、インシデント対応計画の策定などが挙げられる。また、内部留保を十分に確保し、サイバー保険への加入も検討すべきだという。那須氏は「サイバー攻撃はいつ誰に起こってもおかしくない。備えがあれば、最悪の事態を避けられる」と強調する。
