サイバー攻撃によって企業が倒産に追い込まれるケースが増えている。中小企業では、一度の攻撃で数千万円の被害が発生し、事業継続が困難になることも少なくない。では、なぜ一部の企業は倒産を免れ、他は倒産してしまうのか。その決定的な差は、経営者の意識と準備にある。
特徴1:経営者がセキュリティに無関心で知識をつけようとしない
サイバー攻撃で倒産しやすい企業の第一の特徴は、経営者自身がセキュリティに関心を持たず、知識を向上させようとしないことだ。那須慎二氏(株式会社CISO代表取締役)は、「経営者がサイバー攻撃に無関心で、知識も不十分な会社は、そもそも自社がセキュリティ被害に遭うとは思っていない」と指摘する。「うちのような小さな会社なんて狙われるわけがない」「盗られて困るような情報はない」と考え、対策に投資しようとしない。しかし、攻撃者は企業規模に関係なく、セキュリティが脆弱な企業を狙う。無関心は最大のリスク要因である。
特徴2:情報の価値やITシステムの価値そのものの理解に乏しい
第二の特徴は、自社が持つ情報やITシステムの価値を正しく認識できていないことだ。多くの中小企業は、顧客データや取引先情報、業務プロセスそのものがどれほどの価値を持つかを理解していない。その結果、適切なセキュリティ投資が行われず、攻撃を受けた際に復旧が困難になる。那須氏は、「情報の価値やITシステムの価値そのものの理解が乏しいと、対策の優先順位が誤る」と警告する。
特徴3:内部留保が少なく、サイバー保険にも入っていない
第三の特徴は、財務的な備えの不足だ。内部留保が少ない企業は、サイバー攻撃による復旧費用や賠償金を捻出できず、倒産に至る。また、サイバー保険に加入していない場合、被害額をカバーする手段がない。那須氏は「内部留保が少なく、サイバー保険にも入っていない企業は、一度の攻撃で致命的な打撃を受ける」と述べる。実際、中小企業の半数以上がサイバー保険に未加入であり、これが倒産リスクを高めている。
倒産を防ぐには経営者の「価値観」にメスを
サイバー攻撃から企業を守るためには、経営者の価値観そのものを変える必要がある。セキュリティ対策は単なるコストではなく、事業継続のための投資である。那須氏は、「経営者が自社の情報資産の価値を認識し、適切な対策と保険を組み合わせることが生き残りの鍵」と強調する。具体的には、定期的なセキュリティ教育、専門家による診断、インシデント対応計画の策定が推奨される。また、内部留保の確保やサイバー保険への加入も重要だ。経営者が率先してセキュリティ意識を高め、組織全体に浸透させることが、サイバー攻撃による倒産を防ぐ唯一の道である。
