｢もらい事故でした､申し訳ありません｣では済まない､"他社"で発生したサイバー攻撃による被害の厳しい現実

一方で、この構造は新たなリスクを生んでいます。自社が直接コントロールできない領域が、事業の中核に組み込まれている点です。

どれほど自社の対策を強化しても、サプライチェーンの一社で事故が起きれば、その影響は自社に及びます。

攻撃者の視点に立てば、こうした構造は攻撃の足掛かりになります。防御が比較的甘い取引先や委託先を起点にすれば、標的企業へ到達しやすくなるため、サプライチェーンを経由した攻撃が増えてきています。

問題は、被害がITにとどまらないことです。システム停止をきっかけに、売り上げの減少や顧客対応の混乱、信用低下、ブランド価値や株価への影響、さらには訴訟や行政対応へと連鎖していきます。ITだけではなく経営全体の問題へと姿を変えていくのです。

近年では、「被害を受けたか」だけでなく、「どのように対応したか」がより厳しく見られるようになっています。他社がサイバー攻撃に遭い「もらい事故のようなものだった」なんて言い訳が通用するはずもありません。

初動対応の遅れや不十分な説明、情報開示への姿勢は、事故そのもの以上に企業評価を下げる要因になりかねません。このとき経営層に問われるのは、そのリスクを把握していたのか、経営としてどのように備えていたのか、です。

なぜ従来のサイバー対策では守れないのか

多くの企業はこれまで、サイバー対策を「自社を守ること」として捉えてきました。ネットワークの境界を固め、内部を監視し、ルールを整備する。こうした取り組みは現在でも重要であり、決して否定されるものではありません。

しかし、事業の実態は大きく変化しています。外部委託やクラウド活用が進み、データや業務プロセスは社外に分散しています。にもかかわらず、リスク管理の視点が社内にとどまったままであれば、実態との間にギャップが生じてしまいます。