サイバーセキュリティ対策は、大企業なら何とかなるけれど、中小企業にとっては資金・人材・設備が十分ではなく無理だという話は方々で聞く。しかし取引先がサイバー攻撃で操業停止になり、サプライチェーン全体が停まってしまうリスクをほぼすべての(大)企業は抱えている。先月もトヨタ自動車の重要なサプライヤーであるK社にサイバー攻撃があり、受発注システムがやられた。<カンバン方式>で在庫を絞っているトヨタ自動車は、丸一日国内全工場が停まってしまった。
だから行政や業界団体では、
・経産省が「お助け隊サービス」という安価なセキュリティサービスをプロモート
・中小企業庁が「IT導入助成金」にセキュリティ対策をセットにして提供
・IPAが中小企業向けのセキュリティガイドライン、チェックリストなどを提供
・200近い業界団体が参加した「SC3」という団体で、情報などを提供
しているのだが、まだ「自社は関係ない」と思っている中小企業経営者も少なくない。そこで経営者の意識を変えてもらうために、外部からの「圧力」をかけられないかという話が出てくる。その外部というのは、
1)株主、市場
2)取引先(発注元の大企業)
3)融資などしている金融機関
1)の影響力は非上場企業には及ばないし、市場そのものがサイバーリスクへの理解が十分ではないこともある。リスクを認識していても、どう対策しているかを正しく判断するのは難しい。
2)は、ちゃんと対策しないと来年の取引がなくなるかもと思ってもらえれば最も効果がある。しかしやりすぎると「優越的地位の濫用」と公取に叩かれる可能性もあって、大企業側が委縮してしまう。
だから3)はどうかという議論になった。地方銀行なら発注元同様、企業への「脅し」効果は高い。しかし金融業界に詳しい大学教授は、そう簡単ではないという。
・銀行業界はITで先行しているが、メインフレーム中心の旧ITしかわからない
・セキュリティにしてもインターネット上のリスクに対しては理解が不十分
・企業のDXを促進してセキュリティも・・・という指導は皆ができるわけではない
「貸しはがしなどの非難を浴びるような真似もできない」ということもあるのだろう。残念ながら「中小企業経営者の意識改革」は、一歩一歩進めるしかないということですね。