1.現実に起きた「医療機関の停止」と経営への衝撃

ここ数年、日本国内でもサイバー攻撃の件数は右肩上がりです。
警察庁の統計によると、2023年のランサムウェア被害報告件数は過去最多となり、その多くが中堅・中小企業でした。
しかも、半数以上が「サプライチェーン攻撃」、つまり取引先や委託先を経由して侵入されるケースです。

サプライチェーン攻撃の流れ

🔒 サプライチェーン攻撃の流れ

👤
!
攻撃者
🏢
外部委託先
(サプライヤー)
🏛️
自社
(ターゲット企業)
🔐 端末暗号化
📊 情報流出
⚠️ 業務停止
侵入
信頼関係を悪用
被害発生

📌 サプライチェーン攻撃とは

サプライチェーン攻撃は、直接的な攻撃が困難な大企業を狙う際に、セキュリティが比較的脆弱な取引先や委託先を経由して侵入する手法です。 信頼関係にある企業間のネットワークや、共有されたシステム・ソフトウェアを悪用することで、最終的なターゲット企業に甚大な被害を与えます。

この攻撃の怖さは、自社が直接狙われなくても被害を受けることです。
たとえば、委託先のシステムが侵入され、そこから社内ネットワークに感染が広がれば、基幹システムや顧客情報も一瞬で危険にさらされます。

2022年、大阪急性期・総合医療センターは外部委託先のシステムを経由したサイバー攻撃を受け、電子カルテや診療システムが停止。
外来診療は約2か月間中止され、入院患者への対応や会計処理も大幅に制限されました。
復旧には膨大な人員・時間・費用がかかり、さらに委託先に対して約10億円の損害賠償請求が行われています。

経営者目線で考えるべきは「事業停止=即、売上の喪失」という現実です。
医療機関であれば診療報酬、製造業であれば生産出荷、サービス業であれば契約履行が止まり、現金収入の流れが瞬時に止まります。
そして、これらは保険金だけではカバーしきれない損害になることが多いのです。

2.経営戦略にセキュリティを組み込むべき理由

中小企業でも、情報漏えいや事業停止による損害は数千万〜数億円規模に及びます。
経営層がセキュリティを「IT部門任せ」にしてしまうと、次のようなリスクが高まります。

  • 予算不足で必要な防御が整わない
  • 対策の優先度が経営視点で整理されない
  • 外部委託や保険活用などの判断が遅れる

経営戦略に組み込むには以下の3点が必要です。

サイバーセキュリティ経営ガイドライン3本柱

サイバーセキュリティ経営ガイドライン

経営層が実践すべき3つの基本原則

🚩 🏗️ 🔄
経営者の
リーダーシップ
体制の
整備
継続的
改善
1
🚩

経営者の
リーダーシップ

経営者が率先してセキュリティ対策の重要性を認識し、組織全体に浸透させる

リスクの把握と対策方針の策定
予算・人材の確保
ステークホルダーへの説明責任
2
🏗️

体制の
整備

組織横断的なセキュリティ管理体制を構築し、責任と役割を明確化

CISO等の責任者の任命
部門間連携の仕組み構築
インシデント対応体制の整備
3
🔄

継続的改善
(PDCA)

定期的な評価と改善により、変化する脅威に対応できる体制を維持

定期的なリスク評価の実施
監査・演習による検証
最新脅威情報の収集と対策

🔐 基本理念

サイバーセキュリティは「コスト」ではなく「投資」である。
経営者の積極的な関与により、企業価値の向上と持続的成長を実現する。

  1. サイバーリスクを経営課題として明確化
    • 事業停止・顧客流出・ブランド毀損の金額換算を行う
  2. セキュリティを経営計画に反映
    • 売上計画と同様に、リスク低減のKPIを設定
  3. 社内外の関係者と継続的に改善
    • 委託先管理、取引先との契約条項、社員教育を経営レベルで監督

3.リスクマネジメントの4つの選択肢

経営判断で取るべきセキュリティ対応は大きく4つに分類されます。

リスク対応の4象限マトリクス

リスク対応の4象限

経営判断のためのリスク対応戦略フレームワーク

← 影響度 → ← 発生確率 →
📋

移転

リスクを第三者へ移す

経営判断例
  • サイバー保険への加入で損害賠償リスクをカバー
  • 24時間365日の監視や脆弱性診断を専門業者へ外部委託
  • クラウドサービス利用で運用リスクをベンダーへ移転
🚫

回避

リスク源を排除する

経営判断例
  • セキュリティ要件を満たせないクラウド導入を中止
  • 高リスク国からのアクセスを完全遮断
  • 脆弱性の多いレガシーシステムを廃止・刷新
🛡️

軽減

発生確率・影響を下げる

経営判断例
  • ファイアウォール・EDR導入で攻撃を検知・防御
  • 定期バックアップとBCP策定で事業継続性を確保
  • 全社員への定期的なセキュリティ教育で人的リスクを低減

許容

許容範囲内のリスクを受け入れる

経営判断例
  • 低重要度システムの短時間停止リスクを容認
  • 費用対効果が見合わない過剰な対策は見送り
  • 影響が限定的な既知の脆弱性を監視しながら運用継続

リスクの特性(影響度×発生確率)に応じて最適な対応戦略を選択し、
限られた経営資源を効果的に配分することが重要です

ISO 31000 リスクマネジメント準拠
  1. 移転
    • サイバー保険、監視業務・診断業務の外部委託でリスクを他者に移す
  2. 回避
    • 高リスクのシステム導入や取引を中止・延期する
  3. 軽減(一般的なセキュリティ対策)
    • ファイアウォール、EDR、バックアップ、社員教育、委託先管理など
    • 外部の専門家やサービスの活用を含む
  4. 許容
    • 発生確率や影響が小さい場合は受け入れる

ポイント:限られた予算を「移転・回避・軽減・許容」にどう配分するかが経営の役割です。

4.ガイドラインが示す3本柱と10の実践項目

経産省「サイバーセキュリティ経営ガイドライン」は、経営層が押さえるべき3本柱を示しています。

  1. 経営者が認識すべき3原則
  2. 重要10項目の実践
  3. 関連フレームワークの活用
サイバーセキュリティ経営ガイドライン全体像

サイバーセキュリティ経営ガイドライン

3本柱と重要10項目の全体像

🚩
第1の柱

経営者のリーダーシップ

経営者が率先してセキュリティの重要性を認識し、組織全体に方針を浸透させる

🏗️
第2の柱

体制の整備

組織横断的な管理体制を構築し、責任と役割を明確化して実効性を確保

🔄
第3の柱

継続的な改善(PDCA)

定期的な評価と改善により、変化する脅威に対応できる体制を維持・向上

🎯

1 経営課題として位置づけ

セキュリティを経営戦略の重要要素として認識

👤

2 責任者の任命と権限付与

CISO等の責任者を任命し、明確な権限を付与

📋

3 対策計画の策定

リスクに応じた具体的な対策計画を立案・文書化

💰

4 予算・人員確保

必要な予算と専門人材を適切に配分

🚨

5 インシデント対応体制

緊急時の対応体制とエスカレーション手順を整備

🔐

6 重要情報資産の管理

重要な情報資産を特定し、適切な保護対策を実施

🔗

7 サプライチェーン管理

取引先を含めたサプライチェーン全体のリスク管理

🛡️

8 脆弱性管理・パッチ適用

システムの脆弱性を継続的に把握し、迅速に対処

📚

9 教育・訓練の実施

全社員への定期的なセキュリティ教育と訓練を実施

📊

10 継続的な評価・改善

定期的な監査と評価により対策の有効性を検証

例:

  • サイバー攻撃を想定した事業継続計画(BCP)
  • 重要情報の特定と優先度設定
  • 社員教育の定期実施
  • 外部委託先のセキュリティ評価

5.人材コストの現実

社内に専門人材を雇用する場合、平均的な年収は600〜800万円(社会保険・教育コストを含めれば年1,000万円規模)。
一方で、外部のセキュリティ顧問サービスを利用すれば、月額数万円〜で監視・診断・教育・運用支援を受けられます。

この差は「常時雇う必要があるのか、それとも必要な時に必要な分だけ外部に頼むか」という経営判断の根拠になります。

社内雇用vs外部委託 比較表

セキュリティ人材戦略の比較

社内雇用 vs 外部委託 - 経営視点での合理的判断

👤

社内雇用

専任人材の直接雇用

🤝

外部委託

顧問・運用サービス

年間総コスト
1,000万円〜
給与600-800万円+福利厚生
+教育費+管理コスト
固定費として常時発生
年間総コスト
100-200万円
月額数万円〜
必要に応じて調整可能
変動費として最適化可能
専門性
🎓
個人依存型
採用した個人の知識・経験に依存
最新動向のキャッチアップが個人任せ
専門分野が限定的になりがち
👥
チーム活用型
専門チームの集合知を活用
多分野の専門家の知見を横断活用
常に最新の脅威情報・対策を提供
柔軟性
📊
固定的運用
常時対応可能だが固定コスト高
業務量の変動に対して非効率
人材の入れ替えが困難
スケーラブル
必要な時だけ拡縮可能
プロジェクトベースで調整
コストを最適化しやすい
対応速度
⏱️
スキル依存
担当者のスキル次第でばらつき
休暇・退職時の対応に課題
属人化によるリスク
🚀
体制化済み
24/365監視体制で即応可能
専用ツール・プロセス確立済み
バックアップ体制完備
採用/リスク
⚠️
採用課題
優秀な人材の採用に時間
ミスマッチによる早期退職リスク
教育・定着コストが追加発生
📋
契約保証
契約で品質・SLAを担保
実績のある専門企業を選定可能
責任範囲が明確で管理しやすい

結論:中小企業においては、外部委託により
「高い専門性」を「低コスト」で「柔軟に」活用することが合理的な選択

外部委託サービスを検討する →

6.運用が形骸化しないために

セキュリティは一度整備すれば終わりではなく、日常的な運用が欠かせません。
しかし、経営層の関与が薄れると「形だけの点検・報告」に陥り、実効性を失います。

経営主導のPDCAサイクル

👑 経営主導のセキュリティPDCAサイクル

経営者の関与で実効性のある運用を継続的に実現

🔄 PDCA
サイクル
1
👑
🗺️

方針策定

守るべき資産と
優先度を決定

経営承認
2
👑
💰

予算配分

移転・回避・軽減・
許容のバランス決定

経営判断
3
🔍

運用監督

四半期レビューで
報告受領・改善指示

定期報告
4
📊

効果測定

KPIを評価

  • 検知件数
  • 復旧時間
  • 訓練参加率
5
👑
🔧

改善策決定

翌期計画へ反映

経営承認

経営者が3つのポイント(方針・予算・改善)を握ることで、
形骸化しない実効性のあるセキュリティ運用が実現します

経営者の役割は以下です。

  • 継続的な予算確保
  • 成果の見える化(被害ゼロ、検知件数、改善率など)
  • 自社でできない部分は外部委託で補う

7.まとめと次の一手

7. まとめと次のアクション

サイバーセキュリティ経営ガイドラインは、経営者が自社の存続と成長を守るための戦略ツールです。
しかし、文書を読んで終わるのではなく、経営判断として予算・体制・方針に反映させてこそ意味があります。

今回の記事では、経営層が押さえるべき判断ポイントを整理しました。

  • 被害事例から経営インパクトを想定する(第1章)
  • 3本柱を経営戦略に組み込む(第2章)
  • 10項目を経営計画とKPIに落とし込む(第3章)
  • 技術・組織・契約の3視点で投資配分を決める(第4章)
  • 運用が継続できる体制と予算を確保する(第5章)
  • ガイドライン準拠による5つの経営メリットを活用する(第6章)

経営者が今すぐできる5つのアクション

  1. 自社に当てはめた被害シナリオと損害額を試算する
  2. ガイドラインの10項目を基に現状ギャップ分析を行う
  3. 年間のセキュリティ投資計画とROIを試算する
  4. 効果を可視化する社内モニタリング仕組みを導入する
  5. 不足する部分は外部リソース活用も含めて比較検討する

最後に

ガイドライン準拠は「法令対応」ではなく、「企業価値を守る投資」です。
経営層がリーダーシップを発揮し、担当者と連携することで、
セキュリティ水準の向上と同時に、取引先や顧客からの信頼を着実に積み上げることができます。

弊社からのご案内

👉 お問い合わせはこちら(リンク)

「ガイドライン対応の必要性は理解しているが、どこまで投資すべきか判断に迷う…」
「社内に専門人材がいないため、外部の知見を経営判断に活かしたい…」

当社では、経営層向けのセキュリティ現状診断から、
投資対効果を明示した計画策定、実務運用の外部委託までサポートしています。

初回相談(オンライン)は無料です。
御社の現状と事業計画に基づき、最適な対応プランをご提案します。

Follow me!

カテゴリー
セキュリティ対策
タグ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


前の記事
サイバーセキュリティ経営ガイドライン実践ガイド(担当者編)
2025年8月10日