サイバーセキュリティが叫ばれて久しい昨今。セキュリティ対策の重要性を認識しつつも、今一つ前向きに取り組めないのも事実です。しかしながら、サイバー攻撃の被害は計り知れないインパクトを与える可能性があります。
本コラムでは、サイバーセキュリティを事業継続とレピュテーションの面から経営リスクとして捉え、計4回にわたって対策の重要性に迫ります。


レピュテーションへの影響

サプライチェーンを狙ったサイバー攻撃の脅威は、企業の事業継続に大きなインパクトを与えるため、経営リスクとして広く捉えることの重要性を前回お伝えしました。
続く第3回は、セキュリティリスクがレピュテーションリスク(風評リスク)へとつながることで、セキュリティインシデントによる被害がより大きくなることを説明します。

直接的な被害がなくても

一般的にサイバー攻撃の被害と言えば、重要情報の漏えいやシステムの稼働停止などです。特に近年、ランサムウェアに感染すると、サーバやパソコンのディスクドライブが暗号化されて使えなくなり、システムの可用性やビジネスの継続性に大きな影響を及ぼします。
ただし、攻撃による影響は、こうした直接的な被害に限りません。たとえば、サイバー攻撃で重要なデータファイルが盗まれます。そのデータを暗号化していれば、情報が悪用されるなどの直接的な被害は少ないと思われます。
そこで、
『情報が漏洩しましたけど、特に大きな影響はありません・・・』
と答えて、関係者の理解は得られるでしょうか。
取引先から見れば、
『情報の取り扱いに、何らかの問題があるのではないだろうか?』
『表に出ていないところで、重大なインシデントがあるのでは?』
『あの会社に重要な情報を送るのは、ちょっと危ないかもしれない・・・』
といった、不信感が募るはずです。

セキュリティによる風評被害

こうした取引先の不信感は、企業に間接的なダメージを与えます。一般的に企業間の取引では、重要な情報のやり取りが生じます。今後発売を予定している新製品の情報は、製造委託をしている外部ベンダーや、販売提携している代理店と共有することも多いはずです。
いくら秘密保持契約を結ぶとしても、情報の漏えいを起こすような会社に、重要な新製品のデータを安心して渡せますか? 新規に取引先を選定する場合は、そうした企業との取引を避けるのではないでしょうか。
つまり、セキュリティリスクの影響は、間接的にレピュテーションリスク(風評リスク)につながるということです。合理的・客観的な面はあたり前の要素であり、人の感情を含む感覚的・主観的な面に、より重きが置かれる時代になっているからです。
今では高機能で安価な製品が必ず売れるとは限りません。製品が持つデザインやコンセプトに共感したり、製品を所有することに何らかの意味をなしたり、具体的にスペックで比較することが難しい価値観へとシフトしています。性能の高い低いだけではなく、イメージの好きか嫌いに大きく左右されるのです。
こうしたことから、企業が持つコーポレートブランドの重要性も高まっています。ただし、企業が社会的な信頼を得るのが難しい一方、その信頼を失うのはあっという間です。

株価へのインパクト

「ビジネスはもっと合理的に行われるはずだ・・・」と、皆さん思われるかもしれません。しかしながら、身近な経済活動を見ても、その状況は明らかです。たとえば、株価は不合理な人の感情に大きく影響を受けます。AIを用いた高度な自動売買のアルゴリズム取引でさえも、SNSのつぶやき等が重要なインプット情報になります。
株式を上場している企業にとって、サイバー攻撃への対処を誤ると、株価に影響を及ぼす恐れがあります。些細なことだと考え、社外秘にしていたセキュリティインシデントがマスコミにリーク。(事実とは異なる)ネガティブな記事として大きく取り上げられ、株価が下落した事例も少なくありません。短期的な収益の影響だけでなく、社会的な信頼を失墜して中長期的な売上低迷につながるかもしれません。
サイバー攻撃を起点とした風評被害を防ぐには、セキュリティインシデントを甘く見過ごすことがないよう、サイバーセキュリティリスクのマネジメントがより重要になるのです。

次回は

最終回では、そうは言っても、なかなか進まないサイバーセキュリティ対策の現状を踏まえ、今こそ求められるトップダウンのセキュリティ推進について説明します。

Twitterでフォローしよう

おすすめの記事