vol.226 サイバーセキュリティは取締役会の問題になった
ビズサプリの三木です。
最近のセキュリティインシデントを見ていると、もはやサイバー事故は「情報システム部門の問題」と言っていられなくなったと感じます。例えば2026年には、東海大学で業務委託先のサーバへのランサムウェア攻撃を起点として最大約19万人分の個人情報漏えいが公表されましたが、報道によればもともと委託先は個人情報を持たない(東海大学のシステム上でのみ操作する)はずだったところ、実際には個人情報を持ち出しており、そこがサイバー攻撃を受けてしまったということのようです。
こうした事例を見ると、サイバーは直接的には技術の問題ですが、それ以前に委託先管理、権限管理、報告ルート、業務継続といった経営管理の問題でもあると感じます。今回は、なぜサイバーが取締役会の問題になったと感じるのか、内部統制やリスク管理との関係も含めて考えてみたいと思います。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 1.サイバーは情シスの仕事では済まなくなった
----------------------------------------------------------------------
少し前まで、サイバーセキュリティというと、ファイアウォールやウイルス対策ソフト、パスワード管理、バックアップといった、どちらかといえば情報システム部門の守備範囲として語られることが多かったように思います。もちろん今でも技術的対策は必要ですが、最近の脅威の広がり方を見るとそれだけでは足りません。IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位がランサム攻撃、2位がサプライチェーンや委託先を狙った攻撃、3位がAIの利用をめぐるサイバーリスクとなっており、被害の前提がすでに「自社の中だけで完結しない」ものになっています。
特に、委託先やサプライチェーンを経由した侵害は厄介です。自社がどれだけ対策していても、システム開発会社、物流や決済など周辺事業者の管理が弱ければそこが入口になってしまうし、実際に事故が起きてしまえば「委託先が悪かった」では見苦しい言い訳として炎上するだけです。委託元としてどこまでリスクを把握して業務設計し、どのように監督していたのかが問われます。
委託先管理というと、契約書にセキュリティ条項を書いておけば済む・・・というほど単純ではありません。どのデータにアクセスできるのか、データの持ち出しを認めるのかどうか、自社環境で作業してもらうのか委託先環境を使用するのか、例外的な運用が発生した時に誰が把握し、誰が承認するのか、といったところまで含めて設計しておかないと、「持ち出さないはず」の情報を委託先が持っているということが起こります。東海大学のような事例は、委託先の問題であると同時に、委託元の統制設計の問題でもあります。
経済産業省と内閣官房は、こうした状況を受けて、サプライチェーン全体の対策状況を共通基準で評価・可視化する「SCS評価制度」の構築を進めており、2026年度末ごろの開始が予定されています。これは、サイバーが一社完結の話ではなくなったことの制度面での表れだと思います。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 2.問われているのは技術ではなく、経営の設計
----------------------------------------------------------------------
とはいえ、取締役会がサイバーの技術論を細かく理解しなければならない、ということでもありません。取締役会に求められるのは、システムの技術的な設定を決めることではなく、どの業務が止まると致命傷なのか、どこまでのリスクを許容するのか、何を優先してどこまで復旧させることが必要なのか、その方針を定め、執行の備えがそれに応えているかを監督することです。
サイバー事故はシステム障害であると同時に、業務停止事故でもあり、信用事故でもあります。実際、事故が起きた時に本当に問われるのは、技術の細部よりも、むしろもっと基本的なことです。たとえば、
・重要業務や重要情報資産の優先順位を把握していたか
・委託先管理の基準や確認方法が曖昧ではなかったか
・インシデント発生時の報告ルートや意思決定権限が決まっていたか
・システム停止時の業務継続や復旧の優先順位を考えていたか
といった点です。
サイバーは新しい問題に見えて、実はかなり古典的なガバナンスや内部統制の論点とつながっています。権限が曖昧、委託先管理が弱い、報告が遅い、重要業務の優先順位が定まっていない・・・サイバー事故の報道を見ると、直接的な技術的要因のみならず、これらの弱さが同時にあぶりだされていることが多いように感じます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 3.「守る」話から「戻れる」話へ
----------------------------------------------------------------------
もう一つ重要なのは、サイバー対策の発想が「防ぐ」こと一辺倒ではなくなっていることです。もちろん防御は大事ですが、AIによる攻撃の巧妙化も懸念される今日、現実にはすべての攻撃を完全に防ぐことは難しくなっています。このため最近は、どれだけ堅牢に守るかだけでなく、被害を受けてもどれだけ早く戻れるか、つまりレジリエンスが重視されるようになっています。
この点でも、サイバーは典型的なリスク管理や事業継続のテーマと重なります。リスク管理とは、リスクをゼロにすることではなく、何を重く見て、何に備えて何を許容するかを決め、発生した時にどう動くかを決めることです。サイバーでも同じで、事故を起こさない仕組みを作ると同時に、事故が起きた時にどこまで耐えられるか、そのために何に資源を配分するかを、平時から経営が決めておくことが重要になってきています。
こうして見ると、サイバーは内部統制の延長線上にあると同時に、どのリスクを重く見て、どこに資源を配分し、何が起きた時にどう動くかを決めるという意味で、リスク管理そのものでもあります。
そして、会社として、何を重要と考え、どのような備えを考えておくか方針を決め、執行の備えを監督する役割を担うのは取締役会です。サイバー事故が起きた時に問われるのは、技術部門の努力だけではありません。その意味では、サイバーはもう取締役会の問題になった、と考えるのが自然なのだと思います。
本日もAW-Biz通信をお読みいただきありがとうございます。




