ESG経営において重要な要素であるサイバーセキュリティに関するソリューションを提供するのが、日立ソリューションズだ。同社は、経営者自らが積極的に関与し、全方位で取り組むサイバーBCP（事業継続計画）体制の構築が不可欠だと訴える。

　「企業の事業継続計画（BCP）の実効性を高めるには、サイバーレジリエンスの強化が欠かせない」。日立ソリューションズ セキュリティソリューション事業部 企画本部 シニアセキュリティエバンジェリストの扇健一氏はこう強調する。

　サイバーレジリエンスとは、サイバー攻撃やシステム侵害を事前に想定し、被害を最小限に抑えつつ迅速に復旧し、さらに次の脅威に適応していく力を指す。単なる「防御」にとどまらず、継続的な回復力と進化力を備える概念だ。

　2025年には大手食品メーカーや通販企業が大規模なランサムウエア攻撃を受け、店頭から商品が消えたり配送が停止したりする事態が発生した。企業活動の停滞は取引先や消費者にも波及し、サイバーセキュリティが社会インフラの安定を左右するテーマであることを改めて浮き彫りにした。

ESG経営に不可欠なサイバーセキュリティ

　サイバーセキュリティは、ESGの中でもとりわけ「G（ガバナンス）」に直結する重要テーマだ。事業継続や個人情報保護の観点から企業統治の根幹に関わるほか、サプライチェーン全体への影響も大きい。海外では原子力発電所や水道施設が標的となる事例もあり、環境や社会の安定にも深く関与している。

　近年は、十分な対策を講じているとみられる大企業であっても攻撃を完全に防ぐことは難しい。攻撃手法が高度化し、ランサムウエアの攻撃ツールがサービスとして提供されるなど、専門知識がなくても攻撃可能な環境が広がっている。生成AIの普及もその傾向に拍車をかけている。

　一方で企業側にも課題がある。DX（デジタルトランスフォーメーション）を急速に推進するあまり、利便性や接続性を優先し、システムやサービスの企画・設計段階から対策を組み込む「セキュリティ・バイ・デザイン」が十分に徹底されていないケースがある。

　さらに、従業員一人ひとりのリテラシー不足もリスクを高める要因だ。ランサムウエア感染はVPN機器の脆弱性や認証情報の漏洩を起点とする場合が多く、パスワードの使い回しといった基本的なミスが侵入経路となる。

インシデントがもたらす甚大な損失

　ひとたびサイバーインシデントが発生すれば、企業は多面的な損害を被る。初動対応や復旧にかかる直接費用に加え、情報漏洩による賠償金、事業停止に伴う利益損失、さらには法令違反による罰金や課徴金の可能性もある。風評被害やブランド価値の毀損は長期的な影響を及ぼす。

　こうした被害実態については、日本ネットワークセキュリティ協会（JNSA）が公表したインシデント損害額調査レポートでも示されている。サイバー攻撃は「IT部門の問題」にとどまらず、経営課題そのものであることが分かる。

　一方で、サイバーレジリエンスを強化し、経営層が主導する全社的なサイバーBCP体制を確立できれば、投資家や取引先、消費者からの信頼を高めることができる。優秀な人材の確保や企業価値の向上、さらには株価上昇へとつながる好循環も期待できる。

　ESG経営の実効性を高めるうえで、サイバーセキュリティは守りのコストではなく、企業価値を創出する戦略投資と位置付けるべき段階に来ている。

引用元記事：https://project.nikkeibp.co.jp/ESG/atcl/column/00007/022500252/