ブログ2025.10.02

経営課題としてのサイバー脅威—“自社は狙われない”の誤解を捨てる

Day1：経営課題としてのサイバー脅威—“自社は狙われない”の誤解を捨てる

はじめに

「うちは小さいから狙われない」——この思い込みは、いまや最大のリスクです。
攻撃者は“規模”ではなく“弱い入口”を選びます。
さらに、直接金銭を狙うだけでなく、御社を踏み台にして取引先へ侵入するパターンが増え、信用の毀損も深刻化しています。
目指すべきは“無事故”ではなく、“被害を最小化し、短時間で回復する仕組み”。
本稿では、経営と現場が同じ地図で議論できるフレームを示し、明日から動ける最初の一手まで落とし込みます。

目次

• 誤解の正体：狙われるのは「弱い入口」／踏み台化の脅威


• 経営インパクトの可視化：売上・信用・復旧コスト


• 最初の意思決定：責任体制RACIと方針の一文


• 入口で止める最小構成：MFA／バックアップ／メール対策


• 取引先からの見られ方：運用証跡で信頼を守る


• 明日からのチェックリスト（8項目）

1. 誤解の正体：狙われるのは「弱い入口」

攻撃は“儲かる相手”ではなく“入りやすい相手”を選びます。
典型は、メールのなりすまし・BEC（請求書の口座すり替え）、SaaSの設定不備（外部共有の既定ONやMFA未適用）、使い回しパスワードや古いVPNです。
直接被害がなくても、御社のアカウントが踏み台となり、取引先への不正アクセスやスパム拡散が発生すれば、信用・受注に波及します。
サプライチェーンの一部である以上、「規模が小さいから安全」は成立しません。

2. 経営インパクトの可視化：売上・信用・復旧コスト

サイバー事故の損失は“見えにくい”がゆえに軽視されがちです。まずは粗い見積もりで構いません。

• 売上停止 ＝ 主要業務の停止時間（時間）×時間当たり売上（円）。
  例：受発注SaaSやメールが12時間停止すると、見積・請求・出荷が滞留し、翌日以降の残業や外注増でさらに跳ねます。


• 信用毀損 ＝ 審査強化・発注保留・取引停止リスク。特に踏み台化の場合は、相手先のCSIRT・監査部門への説明が長期化しやすく、“説明に耐える運用証跡”の有無で差が出ます。


• 復旧コスト ＝ 外部調査・復旧支援、機器交換、時間外対応、広報・法務の追加コスト。復旧の遅れは二次被害（データ改ざん、請求遅延）を生みます。

この三点を経営会議で数式化し、「予防に投資すべき上限」を可視化すると意思決定が速くなります。

3. 最初の意思決定：責任体制RACIと方針の一文

対応の遅れは“責任の所在が曖昧”なときに起きます。まずRACIを宣言します。

• R（実行）：情シス／外部MSP（監視・封じ込め）


• A（最終責任）：経営者（Cレベル）


• C（相談）：広報・法務・総務・事業責任者


• I（情報共有）：全社員（報告導線の明確化）

加えて、社内ポータルや就業規則に方針の一文を掲載します。

当社は、全社員のMFA適用・支払い条件変更時の二重確認・バックアップ定期検証を最低基準とします。
インシデントは即時報告し、RACIに基づき対応します。

一貫性の原理が働くため、“先に宣言する”こと自体が実行率を高めます。

4. 入口で止める最小構成：MFA／バックアップ／メール対策

高度な製品を増やす前に、既定値を安全側に変えるだけで被害は激減します。

• MFA（全社強制）：管理者だけでなく全アカウント。認証アプリを基本にし、登録支援を実施。


• バックアップ：業務データは隔離して保持し、復元テストを月次で実施。暗号化ランサムでも“事業を続けられる”設計に。


• メール対策：SPF/DKIM/DMARC整備＋支払口座変更は電話確認の業務ルール。迷ったら止める権限を経理に付与。


• 最小の可視化：MFA適用率、バックアップ復元成功率、重大アラート応答時間。数字で“回っている”ことを示せば、取引先からの信頼も得やすくなります。

5. 取引先からの見られ方：運用証跡で信頼を守る

最近は、質問票やセキュリティシートで運用実態を問われます。
理想のルールより、実際の証跡（台帳・手順・レビュー議事録・監査ログ）が重要です。
四半期に一度、アクセスレビューや復元テストの記録をまとめ、“いつ・誰が・何を確認したか”を残しましょう。これがそのまま営業力になります。

6. 心理を味方に：合意形成と運用継続のデザイン

・社会的証明：主要取引先の要求事項を基準に据えると、社内合意が得やすくなります。
・コミットメント：部門長がMFA・演習参加を公に約束することで、現場の遵守率が上がります。
・選択アーキテクチャ：危険な選択肢を“面倒”、安全な選択肢を“楽”に。例：共有リンクの既定は外部OFF、例外は申請制。

7. ミニ事例

• A社（施工業）：見積送付のメール侵害で口座すり替え。経理が電話再確認のルールで支払いを止め、被害ゼロ。以後、DMARC導入とMFA強制で再発防止。


• B社（卸）：端末暗号化により在庫・出荷が停止。隔離バックアップからの復元テストが功を奏し、24時間で再開。以後、復元成功率95％以上をKPI化。

8. 明日からのチェックリスト

1. 全社員MFAの適用率を確認（100％でなければ期限を切って強制）


2. 主要データのバックアップ隔離と直近の復元テストの有無


3. 経理・購買で口座変更は電話再確認の明文化


4. 共有アカウントの廃止計画（権限はロールへ）


5. SaaSの外部共有既定OFFと監査ログの保存期間延長


6. 入退社アカウント処理の責任者とSLA明確化


7. 重大アラートの一次対応当番と連絡網の整備


8. RACIの社内掲示と方針の一文の公開

まとめ

• 入口の弱さを狙う攻撃に備え、踏み台化の信用リスクを直視する。


• 売上停止・信用毀損・復旧コストで損失を数式化し、投資判断を加速。


• MFA／バックアップ／電話による二重確認で致命傷を避ける最小構成を確立。


• 運用証跡（台帳・ログ・レビュー記録）を営業資産として蓄積。

FAQ

• Q1： 最初の一手は？
  A： 全社MFAの強制、支払口座変更の電話再確認、隔離バックアップの復元テストの3点です。


• Q2： 社内に専門人材がいません。
  A： 監視と一次対応はMSPに委託し、RACIで責任の置き場を先に決めます。運用証跡はテンプレで自動収集を。


• Q3： 費用対効果が心配です。
  A： “売上停止×時間”で粗い上限を算出し、まず最小構成に投資しましょう。

記事・相談担当者：井浪（いなみ）：Amazon/Kindle 著者ページ