【提言】SCS評価制度を“追い風”に変える　中小企業の経営者が認識すべき「3原則・7つの取組」

2026年05月26日 11時00分更新

文●登坂恒夫／フォーティネットジャパン（寄稿）　編集●ASCII

サプライチェーン全体に影響が及ぶサイバー攻撃が増加している中で、中小企業の経営層にも、セキュリティ対策やインシデント対応において「果たすべき責任」があります。経産省「サプライチェーンセキュリティ評価制度（SCS評価制度）」の開始を“追い風”に変え、取引先からの信頼を深めるために、経営層はまず何を理解しておくべきでしょうか。元IDC Japanアナリスト、現フォーティネットジャパン Field CISOの登坂恒夫氏による提言です。

サイバー攻撃リスクへの「危機意識」が薄い日本企業の経営層

　これまで、日本企業の経営層はサイバーセキュリティリスクを“コスト”と捉えてきました。そのため、セキュリティ対策は後回しにされることが多く、監査で指摘を受けたり、法規制による対策義務が生じたり、実際に被害に遭ったりしてから、やっと対策が進むことも珍しくありませんでした。

　加えて、経営層の危機意識は薄く、どこか“他人事”になりがちです。昨年、大手飲料メーカーや大手ECサイトでランサムウェア被害が発生し、その経営者の対応が耳目を集めましたが、こうした被害が発生してもまだ、「悪いのはサイバー攻撃を行った攻撃者であり、自社（特に経営層自身）は悪くない」という認識の経営層が多いのではないでしょうか。

　もちろん、サイバー攻撃そのものの責任は攻撃者にあり、「攻撃者が悪い」のは当然のことです。ただし、インシデント発生を未然に防ぐ対策の責任や、被害状況や事業への影響、今後の改善策などを顧客や株主に対して説明する責任は、経営層にあります。さらに、経営層の判断次第では、取引先にも大きな影響を与えてしまい“加害者”になることすらあります。

　海外では、サイバー攻撃による被害が生じた企業で、CEOやCSOなどの経営層が責任を問われて辞任に追い込まれるケースはよくあります。そのため、海外企業の経営層は、セキュリティインシデントに強い危機感を持って対処します。

■サイバー攻撃被害を受けて経営層が辞任した会社の例
　・米国流通大手 Target
　・米国流通大手 Home Depot
　・米国映画製作大手 Sony Pictures Entertainment
　・米国消費者信用情報会社 Equifax
　・米国配車事業会社 Uber
　・カナダソーシャルエンターテイメント会社 Avid Life Media（ALM）
　・アイルランドクレジットカードサービス会社 Experian
　・オーストリア航空機部品メーカー FACC
　・オーストラリア不動産コンサルティング会社 LandMark White

　一方、日本では、サイバー攻撃被害を理由に経営層が辞任したケースは、少なくとも公にはなっていません。そのため、日本企業の経営層が、海外企業と同じような危機感を持って対処に当たっているのかは疑問に感じるところです。

　実際に、日本企業の経営層における“危機感の薄さ”を示す調査もあります。

　NRIセキュアテクノロジーズが行った調査では、サイバーレジリエンスの強化に向けた現在の課題として、日本企業の情報システム・情報セキュリティ担当者が最も問題視しているのが「経営層の関与不足」です。