vol.31 富士通株式会社 梅原 洋二 関西支社長

中小企業であればなおさら、今セキュリティ対策を見直す時期

長年の取引先とも契約条項の確認が必要

－サプライチェーン全体のセキュリティ確保にいかに取り組むべきでしょうか。

「大企業は比較的セキュリティ対策が進んできたため、やはり狙われるのは中小企業です。セキュリティの弱い中小企業から一度マルウェア^#2などが入ると、取引上つながっている企業全体に影響を及ぼします。したがって、中小企業であればなおさら今、セキュリティの重要性を認識し対策を行う必要があると言えます。」

－具体的に何から始めればよいでしょうか。

「取引先との契約における情報セキュリティの条項がどうなっているかを確認しておくことは重要です。新規の取引先はもちろん、長年の取引先に対しても、情報セキュリティ対策があまり行われていないようであれば、契約内容または取引自体を見直す必要が出てくるかもしれません。逆に自社が取引先からそうした対応を求められる可能性もありますので、自社の取組状況を確認することがまずは必要だと思います。」

日々の小さなことをしっかり評価する

－経営者層がセキュリティ担当部署を適切に評価するにはどうすればよいでしょうか。

「経営者は何も事故が起こっていないことが当たり前と考えず、取締役会などで定期的にセキュリティに関する報告を受ける機会を持つべきです。その上で、セキュリティ部門が取り組んでいる日々の小さなことをしっかりと評価する観点が重要です。例えば、日常のセキュリティのパッチを何日以内に適用したかとか、インシデント（事故）が何日発生していないとか、そうした日常の取組の件数をカウントするなどして、セキュリティ部門の日々の努力を評価していただきたいです。」

サイバー攻撃による一次被害、二次被害、三次被害のリスク

－サイバーセキュリティ対策は費用対効果が見えにくいとよく言われます。

「企業がサイバー攻撃を受けた場合、財産などへの直接的な一次被害だけでなく、システムが復旧するまで使えないといった二次被害、信用失墜により取引が継続できなくなるといった三次被害も考えられます。こうしたことが起こるとどれだけの損害が生じるかを事前に検討し、それをいかに最小化するかということを投資の判断材料として押さえておくことが必要です。もちろんそうした事態に陥らないためにも、日頃からの注意喚起や模擬的なサイバー攻撃の対策演習などを社内で重ねておくことが、経営者のリスク管理として重要であることは言うまでもありません。」

#1 DX（Digital Transformation：デジタルトランスフォーメーション）とは、企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立することです。【DX推進ガイドライン】（2018年12月経済産業省）
#2 マルウェアとは、ウイルスソフトなど、不正かつ有害な動作を行う意図で作成された悪意のあるソフトウェアや悪質なコードの総称です。

一覧ページへ戻る

このページに関するお問い合わせ先

近畿経済産業局　地域経済部　次世代産業・情報政策課
住所：〒540-8535　大阪市中央区大手前1－5－44
電話番号：06-6966-6008
FAX番号：06-6966-6097