近年、サイバーセキュリティ脅威の巧妙化・深刻化に伴い、サイバーセキュリティ対策の重要性がますます高まっています。
企業にとって、サイバー攻撃による情報漏洩やシステム障害は、事業停止や風評被害、顧客情報の流出など、計り知れない損失を招きかねません。
しかし、サイバーセキュリティ対策は目に見える成果として表れにくいため、経営層に理解を得て予算を獲得することが難しいという声も…。
本記事では、経営層にサイバーセキュリティの必要性を効果的に伝えるためのポイントを解説します。

経営層を説得するための３つのポイント

経営層にサイバーセキュリティの必要性を理解してもらうためには、以下３つのことが重要です。
１．サイバーセキュリティの課題を示す
２．システム導入による改善効果を明確にする
３．導入プランを見せる

１．サイバーセキュリティの課題を示す

まずは、なぜサイバーセキュリティが必要になるのか、導入の目的と理由を明確にし、経営層にその課題を示すことが重要です。
そのためには現在の業務において、サイバー攻撃を受ける可能性があるのか、受けた場合どのような被害がおこるのか、またサイバーインシデントが起こった際のリスクや責任をまとめるなど、経営者が当事者意識を持つような情報を整理します。

 サイバーセキュリティ事故の責任は経営者個人に及ぶこともあります。
経済産業省のサイバーセキュリティ経営ガイドラインでは、経営者はサイバーセキュリティ対策の責任を負い、怠った場合、損害賠償責任・法的責任を負わなければならないと示されています。担当者への丸投げは認められないとも記載されており、経営者自身が責任を持って対策に取り組む必要があります。
参考：経済産業省　https://www.meti.go.jp/policy/netsecurity/mng_guide.html

経営層を説得するには、セキュリティ事故によってどのくらいの金額の被害が起こるかを伝えることが効果的です。
被害額はIPA（独立行政法人 情報処理推進機構）が公表しているExcelベースのセキュリティ関連費用の可視化ツール「NANBOK」によって試算できます。
これは「企業のセキュリティ担当者がセキュリティ対策を遂行するために経営陣に対して予算取りを行う際に利用してもらう」ため開発されたツールです。
ランサムウェアを含む「情報セキュリティ10大脅威 2022」に記載されている脅威が自社に起こった場合、どのくらいの損害額になるかを試算できます。
詳しくはこちらの記事をご覧ください。
https://security-academy.jp/blog/security/post-523/

２．システム導入による改善効果を明確にする

導入によってどのような効果があるのか具体的に示すことも説得させるためには重要な要素です。
例えばメール訓練サービスの場合、以下４つの例が挙げられます。

３．導入プランを見せる

導入によるコストを経営者にイメージさせるためにも、どのような導入プランがあるのか用意しておくことも重要です。
標的型攻撃メール訓練サービス「Selphish」の場合、以下のようなプランを用意しています。

ライトプランの場合、重要な情報資産を担当している経理部署や外部とのやり取りが多い営業部署のみに実施して、どのくらいの開封率か確認する方法がおすすめです。
まずはメール攻撃に対する自社のセキュリティ耐性がどのくらいなのかを確かめ、サイバーセキュリティ対策を検討する方法もあります。

まとめ

いかがでしたでしょうか。
最近では取引先に対してサイバーセキュリティ対策を実施しているか、事前にチェックする企業もあります。例えば自動車業界では、ガイドラインを設けて一定の基準を示しています。
サプライチェーン攻撃に対処するためのこのような流れは、業界を問わず主流になると予想されます。つまり、適切なサイバーセキュリティ対策を実施していないというだけで、機会損失につながる恐れがあります。
儲けにならないと思われるサイバーセキュリティ対策ですが、むしろ積極的に投資をしないと取引先からの信用や取引そのものを失うかもしれません。
兵庫県と兵庫県警では経営層向けに動画も公開しています。
https://web.pref.hyogo.lg.jp/cybertaisaku/
こちらもぜひご覧ください。

Selphishサポートチームでは、メール訓練の選び方からサポートしています。
どのように選んでいけばいいか、分からないという段階でも大丈夫です。
ぜひ一度お声がけください。