経営を守る新たな企業防衛戦略
企業のセキュリティ対策は「自社を守る」段階から、サプライチェーン全体の「信頼を確保する」段階へと移行している。2026年度末には開始予定とされる「SCS評価制度」はその象徴だ。セキュリティ対策の水準がビジネスの取引条件として扱われるようになるからだ。もはやセキュリティは経営課題であり、規模を問わず、すべての企業に対応が求められる。では、この激変する経営環境下で、リーダーは何を決断すべきか。サイバーリーズンの代表執行役員社長・桜田仁隆氏に、組織の未来を盤石にするための「防衛の解」を聞いた。
2025年には、堅牢(けんろう)なはずの国内大手企業が相次いでサイバー攻撃の被害に見舞われ、事業継続が脅かされる大規模インシデントが頻発した。もはや「100%の防御」は存在しない。企業には「侵入されることを前提」に、迅速に攻撃を検知し、被害を最小化する体制構築が求められている。
生成AI(人工知能)の急速な普及により、サイバー攻撃は一段と高度化している。フィッシングメールの精度向上や自動生成による攻撃は増加する一方だ。現在は企業規模を問わず脅威が広がっている。
桜田氏は「攻撃者は半年から1年をかけて用意周到に侵入します。例えば、脆弱なネットワーク機器を起点に、認証情報の窃取、内部侵入、横展開、ランサムウエア展開へと段階的に進めます。どの段階で検知できるかが被害の大きさを左右します。早期に発見するほど影響は抑えられますが、その全過程を継続的に監視することは容易ではありません。侵入を100%防ぐことは不可能です」と指摘する。
現在、セキュリティ業界で深刻化しているのは専門人材不足だ。日本国内では17万人(※)が不足しているとされる。中小企業には専任のIT担当者すらいないケースも多い。自社だけでセキュリティ対応を完結させることは現実的ではなく、こうした人材不足と運用負荷の高さが、中小企業をサイバー攻撃の格好の標的にしている。
※国際的な情報セキュリティ専門家資格の運営団体「ISC2」が2024年時点で発表した数値
「中小企業の経営層の方々とお話をすると、『うちを攻撃しても何も得るものはないから大丈夫』とおっしゃる。しかし、これは危険な思い込みです」と桜田氏は警鐘を鳴らす。
攻撃者はセキュリティが手薄な取引先を「迂回路」として狙い、そこを踏み台に大企業へと侵入経路を広げる。こうした攻撃が恐ろしいのは、侵入口となった中小企業が被害に気づかないまま、結果的に攻撃に加担し続けてしまうことだ。実際、警察からの連絡で初めて発覚した事例もある。企業規模に限らず、ひとたび業務が停止してしまえば、「仕入れ先に支払いができない」「社員の給与が支払えない」といった事態すら発生する。
桜田氏は「その結果として取引停止になれば、中小企業にとって致命的な打撃となります。サプライチェーンは一次取引先だけでなく、その先まで影響が及びます。そうなれば、これまで築いてきた信用も失墜します」と指摘する。
こうした現実を踏まえ、2027年初頭には「サプライチェーン強化に向けたセキュリティ対策評価制度(SCS評価制度)」が施行される。同制度は企業のセキュリティ対策水準を星(★)で可視化し、取引先に客観的に示す仕組みだ。取得は任意だが、★の獲得状況が取引条件に組み込まれれば、対応が不十分な企業は取引を失うリスクを抱える。いわば「取引のライセンス」として機能する。セキュリティ対策は、もはや経営者にとって「取引上の死活問題」なのだ。
「SCS評価制度を正しく運用する最終的な責任者は経営者です。予算を組まなければ、機器も運用体制も整えられません。この制度はセキュリティ投資水準の目安となり、『何を・どのレベルで防御すべきか』を明確にします。求められるのは単一製品の導入ではなく、セキュリティ全体を見渡した戦略です」と桜田氏は強調する。
では、具体的にどのような対策を講じるべきか。有事の際、多くの企業は調査や復旧を外部の専門会社へ委託するため、契約や対応範囲の整理に時間を要し、初動が遅れがちだ。この空白の時間こそが、事業停止期間の長期化につながり、機会損失や取引停止、ブランド毀損といった経営インパクトを致命的なものにする。
サイバーリーズンの強みは、こうした分断による初動の遅れを生まない一気通貫の体制にある。「ソフトウェアから監視・検知・対応までを一体で提供できる点が大きな特徴です」と桜田氏は語る。
具体的には、EDR(エンドポイントセキュリティ)による検知を起点に、24時間365日の監視運用、脅威の封じ込め、インシデントレスポンス、さらに再発防止策までをカバーする。検知から対応までの意思決定と実行をシームレスに進めることができ、初動の大幅な短縮が実現すると同時に、平時の運用支援や対策の継続的な見直しも一体で担えるのだ。
こうした防御側の視点に立脚したソリューションポートフォリオは、顧客の声を起点に進化してきたものだという。設立当初、サイバーリーズンはEDRを中心としていたが、「検知した後の対応まで任せたい」というニーズに応える形でサービスを拡張してきた。さらに2025年には、米通信大手AT&Tのセキュリティ部門として中小企業支援の豊富な実績を持つLevelBlueと統合。これまでカバーできなかった領域にも対応可能となり、その知見を日本市場にも展開できる体制が整備された。
対策の第一歩は、根拠のない「大丈夫」を捨てることにある。サイバーリーズンが提供する「サイバーセキュリティ簡単診断」は、経営者が抱く認識のズレを可視化し、客観的なデータへと変える。桜田氏は「多くの経営者は根拠のない思い込みで自社のセキュリティ対策が十分だと判断しがちです。しかし、その認識のズレが、インシデント発生時の初動遅れを招く要因なのです。まず自社の現状を正しく把握することが、あらゆる対策の出発点です。簡易チェックアセスメントは、そうした”見えていないリスク”を可視化するものです」と説明する。
サイバーセキュリティ簡単診断で課題の大枠を把握した後は、ヒアリングによってパスワード管理や運用ルールなど人的・運用面などの実態を整理する。これにEDRデータの分析を組み合わせることで、ツールの有無だけでは把握できないリスクや課題を浮き彫りにする。現状が明確になれば、同業種・同規模の企業との比較も踏まえながら、「どこまで対策すべきか」「どの程度の投資が必要か」といった現実的な判断が可能になる。中小企業にとって大きな課題である「どこまでやればよいのか分からない」という問いに対しても、具体的な優先順位と段階的なロードマップを示すことができる仕組みだ。セキュリティに関して知見がなかったとしても、まずは気軽に相談してもらいたい。ヒアリングなどから現状を把握し、そしてその後を一緒に伴走できるパートナーの存在を手にすることができるからだ。
「セキュリティ対策に終わりはありません。大切なのは、現状を正しく知り、一歩を踏み出すこと。サイバーリーズンにはその“解”があります。現状把握から仕組みを整えるまでお手伝いしていますので、ぜひお気軽にご相談ください」(桜田氏)