セキュリティは「火災保険」 経営層に響く予算交渉術

サプライチェーン全体を狙うサイバー攻撃の深刻化を受け、情シス部門にはセキュリティ予算の確保が必須だ。情シスが「技術の番人」から「経営リスクのマネジャー」へと進化するための交渉術を紹介する。

[久松 剛，キーマンズネット]

情シス百物語

「IT百物語蒐集家」としてITかいわいについてnoteを更新する久松氏が、情シス部長を2社で担当した経験を基に、情シスに関する由無し事を言語化します。

　サプライチェーンを経由したサイバー攻撃のリスクは年々深刻化しています。自社のセキュリティ対策が十分であっても、取引先の一社が攻撃を受けただけで事業全体が停止に追い込まれる可能性があります。

　2022年には、トヨタ自動車がサプライヤーである小島プレス工業の被害をきっかけに国内全工場を一時停止しました。

　このような事例を踏まえれば、「自社を守れば十分」という考え方はもはや通用しません。情シス部門には、自社だけでなく取引先を含めたセキュリティ水準の確保が求められています。しかし、その実現に当たって最大の課題となるのが、対策を進めるための予算確保と経営層の理解です。

サプライチェーン全体での防衛が必須に

　大企業の間では、取引先に対するセキュリティ監査が標準化しつつあります。半導体大手のキオクシアは、約3000社に及ぶ取引先を対象に外部診断ツールを使って200項目以上の評価を実施し、改善が見込めない企業との契約は見直す方針を打ち出しています。印刷大手のTOPPANホールディングスも、委託先500社を対象に外部診断や訪問監査を実施し、改善できない企業には重要な情報の委託を停止しています。さらにDMG森精機は町工場を含めた取引先を調達部門とIT部門が共同で訪問し、研修を実施することでグループ全体のセキュリティ強化に取り組んでいます。

　経済産業省も2026年度には「企業サイバー対策格付け制度」を導入する予定で、企業のセキュリティ水準を5段階で評価します。格付けは取引条件や競争力に直結する可能性があり、セキュリティはもはや単なる技術課題ではなく、調達戦略や経営に関わる重要な指標となりつつあります。

中小企業、委託先に広がる“セキュリティ格差”

　全ての企業が同じ水準のセキュリティ対策を実行できるわけではありません。特に中小企業や委託は、専任人材の不足や限られた予算から対策が後回しになりがちです。脆弱（ぜいじゃく）なクラウド設定の放置、老朽化したシステムの継続利用、パッチ適用の遅れなどはよく見られる問題です。さらにインシデントが発生しても、初動対応や報告体制が未整備なことが多く、被害が拡大するリスクを抱えています。

　このセキュリティ格差は大企業にとっても深刻なリスクとなります。発注元の要求を満たせなければ取引停止につながる可能性があり、中小企業にとっては死活問題です。情シスは「監査する側」としての立場を強めつつ、取引先に対して現実的な改善ロードマップや教育支援を提示し、ともに底上げを図る姿勢が重要です。

情シスにのしかかる予算の壁

　サプライチェーン全体のセキュリティを確保するためには、自社でも継続的な投資が必要です。しかし、経営層からは「セキュリティはコストであり、直接の売上につながらない」という反応が返ってくることもあります。そのため、情シスが必要な予算を獲得できず、対策が後手に回る状況が生まれています。

　ただし、被害を受けた場合の損害は甚大です。トレンドマイクロの調査によれば、国内企業におけるサイバー被害の平均損失額は1億7000万円、ランサムウェア被害の場合は平均で10日間の業務停止に至っています。これに伴う売上減少や顧客離脱、信用失墜は金銭的損失を超えて深刻です。情シスは「見栄えのための対策」と「事業継続に不可欠な対策」を分けて提示し、経営層に正しい投資判断を促す必要があります。

　さらに情シスの業務には、取引先からのセキュリティチェックシートや監査対応が日常業務に加わり、既存のリソースを圧迫しています。監査対応だけで数十ページに及ぶ資料作成を求められることもあります。また、経営層からは「どの程度本当に必要なのか」という確認が繰り返され、現場としては説明責任を果たしながら通常業務も回す“板挟み状態”に陥っています。こうした実務負担も、予算議論の中で理解してもらう必要があります。

予算確保と経営層を動かすための実務ポイント

　経営層を動かすには、技術的な正しさではなく経営に直結する論拠を示すことが重要です。ポイントは次の3つです。

1. 他社の被害額や業務停止日数を、自社に換算した場合の損失額として提示する
2. 顧客や取引先がセキュリティ格付けや監査を必須条件としている事実を示し、予算をかけなければ契約失注につながることを明確にする
3. 競合との比較を通じて、自社の遅れが信用低下を招くリスクを強調する

　説明の際は、「現状の把握 → リスク試算 → 選択肢比較 → 投資のROI」という流れが有効です。短期、中期、長期でロードマップを提示し、投資の段階性を明確にすることも経営層の納得感につながります。短期的には最低限の脆弱性解消や外部診断、中期的にはインシデント対応訓練やログ分析基盤の整備、長期的にはゼロトラストやSOC導入といった施策が考えられます。

　経営層への説明では、セキュリティ投資を「火災保険」に例えることも有効です。火災が起きないからといって保険を解約する経営者はいません。同様に、セキュリティ投資は「発生頻度は低いが、ひとたび発生すると甚大な被害をもたらす事象」に備えるためのものです。経営層に馴じみやすい比喩を交えることで、理解を得やすくなります。

　セキュリティのような先回りしての経営層の「意思決定のツボ」を把握することも有効です。同じ規模感の企業の立ち位置が近い他社が先んじて動いた事例や、セキュリティインシデントに巻き込まれた事例によって意思決定がなされることもあります。

　加えて、成果を数値化する工夫も欠かせません。例えば「外部診断スコアの改善」「監査での指摘件数の減少」「インシデント平均復旧時間の短縮」といったKPIを設定し、改善状況を四半期ごとに報告します。これにより、セキュリティ施策が経営に寄与していることを定量的に示し、次年度予算につなげられます。

実効性を高める社内外施策

　セキュリティ対策は導入して終わりではなく、継続的な改善が不可欠です。調達部門や法務と連携し、契約条項にセキュリティ要件を明記することは効果的です。また、委託先向けに研修や情報共有会を実施し、最新の攻撃手口や改善事例を伝えることで全体の底上げにつながります。進捗をモニタリングし、改善が見られない場合には情報アクセスの制限や業務範囲の縮小といった段階的制限を加えることも必要です。

　さらに、社内外合同でのインシデント対応訓練を実施することで、被害発生時の役割分担や連携を明確にできます。その結果を経営層にレポートとして提出すれば、改善のサイクルを回すと同時に情シスの存在感を高められます。

情シスに求められる経営リスクマネジメント

　サイバー攻撃はもはや技術的な課題にとどまらず、企業経営や取引関係を左右する重大な要素です。情シスには技術的知見だけでなく、経営リスクマネジメントの視点が求められています。顧客要求や格付け制度といった外部圧力をうまく利用し、予算獲得につなげることも重要です。

　サプライチェーン全体を見渡し、防御力を高めることは企業の競争力を左右します。情シスは「技術の番人」から「経営リスクのマネジャー」へと進化することが求められています。自社と取引先を守る仕組みを築き上げることこそが、これからの情シスの使命です。

著者プロフィール：久松 剛（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito