｢もらい事故でした､申し訳ありません｣では済まない､"他社"で発生したサイバー攻撃による被害の厳しい現実

どの事業が、どの外部依存によって支えられているのか。その依存が機能しなくなった場合、売り上げや顧客、取引先、ブランドにどの程度の影響が及ぶのか。これを、経営として理解できる形に整理することが求められます。

その観点から、サイバーリスク評価は、事業継続計画の前提条件になり、投資判断や取引方針、外部委託の判断にも関わる情報になるのです。また、M&Aや新規事業を検討する際にも、その事業がどのような外部依存を抱えるのかを見極める重要な材料になります。

リスクを「技術の問題」から「経営判断の材料」へ翻訳できているかどうかが、サイバーリスク管理を経営に組み込めているかどうかの分かれ目になります。

ガバナンスと説明責任の視点で捉えて

近年、サイバー事故に対する社会の目は一段と厳しさを増しており、「なぜ防げなかったのか」「経営として何をしていたのか」が強く問われるようになっています。

ここで求められるのは、完璧な防御ではありません。すべてのリスクをゼロにすることが現実的でないことは、社会も理解しています。その代わりに問われているのは、どのリスクを認識し、どこに優先的に備えてきたのかを、経営として説明できるかどうかです。

この文脈で見ると、デジタルを前提とした現代経営において、サプライチェーンにおけるサイバーリスクは最初から織り込むべき前提条件だと言えます。