経営視点で考えるサイバーリスク

事業を止めないための、経営者の判断軸

日本生産性本部は2026年4月23日、第78期「経済情勢懇話会」の4月例会を都内で開催（オンライン併用）した。当日は、「経営視点で考えるサイバーリスク～事業を止めないための、経営者の判断軸」をテーマに、上野宣・トライコーダ代表取締役が講演した。

サイバー攻撃事例から得られる教訓と取るべきアクション

冒頭、上野氏は、企業へのサイバー攻撃事例を3社ほど紹介しながら、それらから得られる、経営視点から見る教訓として、フィッシング対策の徹底（多要素認証の全社導入と継続的な社員訓練）や、ネットワーク分離（事業ごとにシステムを区画し、1つの侵入で全体が止まらない構造にする）、情報漏洩への備え（流出前提で二次被害の監視・法的対応体制を事前に構築）、バックアップの物理分離（攻撃者の手が届かない場所に複製を保管する）、物理的なサプライチェーンとITの一体リスク管理（製造・物流停止は直接売上を奪う）、身代金不払いの意思決定と事前準備（支払っても復旧成功率は極めて低い、支払い後のデータ復旧率は国内わずか17％）などを挙げた。そのうえで、経営者が取るべきアクションとして、サプライチェーン全体のセキュリティを自社の責任として管理することや、「事業停止シナリオ」のBCPを策定・訓練すること、24時間365日の監視体制と即時対応を確保すること、セキュリティ投資を「コスト」ではなく「事業存続の保険」と位置づけることなどを提唱した。

サイバーセキュリティは経営の話

また、昨今の構造変化として、攻撃者が産業化していることなどを挙げ、サイバー攻撃を「防ぐ」ことは難しくなっているので、「防ぐ」ことから「侵入された後にどれだけ早く戻せるか」へと発想を転換することが重要であると指摘。サイバーセキュリティに関する経済産業省のガイドライン三原則は「経営課題として認識する」「サプライチェーン全体を含めて対策する」「平時から関係者とコミュニケーションを取る」の三つであることなどを説明した。

AI時代における3大リスクとしては、AI利用による機密情報漏洩、攻撃者のAI武装化、AIシステム自体への攻撃を挙げた。経営者が打つべき対策としては、AIを「禁止」するのではなく「統制」することや、教育の強化、送金承認プロセスの多層化、AI検知ツールの導入、幹部の公開動画・音声の管理などが重要だと指摘した。
上野氏は最後に「サイバーセキュリティはもはやITの話ではなく経営の話だ」と強調した。

経済情勢懇話会は、わが国を取り組まく経済・社会の情勢を広い視点から研究し、経営の判断や指針構築に役立てることを目的に開催している。第78期は2026年4月から9月まで開催する。対象は、企業・団体のトップマネジメント・経営幹部。

生産性新聞2026年6月5日号：「第78期 経済情勢懇話会 第1回」掲載分