経営者の皆様、こんにちは。和田経営相談事務所の代表、和田健一です。私は銀行員として17年、独立して15年、のべ30年以上にわたり中小企業の「攻め」と「守り」を見てきました。
今、多くの中小企業経営者の足元で、恐ろしい「時限爆弾」のタイマーが回っています。それは、決算書には1円も現れない「デジタル負債」――すなわち、放置された古いITインフラと、それに対する無防備な経営姿勢です。
「うちは地方の小さな会社だから狙われない」という言葉を、私はこれまで何度も耳にしてきました。しかし、愛媛県松山市にある私の小さな事務所のサイトでさえ、ここ2カ月で1日数千回、累計10万回を超える不正アクセスの試行を受けています(当事務所は強固なサイバー防衛システムにより全スパムアクセスを遮断しています)。ハッカーにとって、企業の規模は関係ありません。「入りやすいドア(脆弱性)」が開いているかどうかがすべてなのです。
【目次】
長年、多くの経営者と対話してきて痛感するのは、サイバーリスクに対する圧倒的な「認識の乖離」です。なぜ、優秀な経営者がこのリスクを見誤るのでしょうか。
日本の経営者は、工場や機械、店舗といった「目に見える資産」の保守点検には熱心です。しかし、目に見えないサーバーやソフトウェア、ネットワークは「一度買えば壊れるまで使える消耗品」と捉えがちです。銀行員時代の経験を振り返っても、設備投資の融資相談は具体的ですが、ITインフラの刷新やセキュリティ対策への投資は「単なるコスト(経費)」として、後回しにされる傾向が顕著でした。
「これまで何も起きなかったから、明日も起きないだろう」という根拠のない自信、すなわち正常性バイアスが経営判断を鈍らせます。サイバー攻撃は交通事故のようなものです。自分が気をつけていても、相手(攻撃者)が一方的に仕掛けてくる。そして一度事故が起きれば、その損害額は中小企業の純資産を一瞬で食いつぶすほど巨大化しています。
今、最も警戒すべきは「ランサムウェア(身代金要求型ウイルス)」です。彼らはどのようにして、あなたの会社の深部にまで入り込むのでしょうか。
コロナ禍で急ぎ導入したテレワーク用のVPN機器。これのアップデートを放置していませんか?警察庁の報告でも、ランサムウェア被害の過半数が「VPN機器の脆弱性」を突いたものです。古い鍵を使い続けている家と同じで、攻撃者は専用のツールで数分もあれば「玄関」を突破してきます。
巧妙に擬態したメールから社員がウイルスに感染し、そこから社内ネットワーク全体に汚染が広がるケースも後を絶ちません。また、退職した社員のアカウントが残っていたり、簡単なパスワードを使い回していたりすることも、攻撃者に「マスターキー」を渡しているようなものです。
もしランサムウェアに感染したら、あなたの会社はどうなるでしょうか。それは単に「パソコンが動かない」というレベルでは済みません。
在庫管理、発注システム、配送管理、顧客管理。これらすべてのデータが暗号化され、読み取れなくなります。「今日、何をどこに送ればいいのか」「在庫がどこにいくつあるのか」が一切不明になり、物理的なモノの動きが完全にストップします。製造業であればラインが止まり、小売業であれば販売機会をすべて失います。
銀行員として最も恐ろしいと思うのは、財務・会計システムの破壊です。入金予定がわからず、請求書も発行できない。しかし、仕入先への支払いや銀行への返済、従業員の給与支払いの期日は容赦なくやってきます。手元のキャッシュが枯渇すれば、帳簿上は黒字でも、支払不能による「黒字倒産」の引き金が引かれます。
さらに、融資先の企業がサイバー攻撃で顧客情報を漏洩させたり、操業停止に陥ったりした場合、銀行は即座に「管理体制に重大な懸念あり」と判断します。資金繰りがショートしかかっているその瞬間に、最も頼りたい銀行からの新規融資や追加融資がストップするのです。情報漏洩リスクへの対応は、まさに企業の死活問題です。
個人情報の漏洩が発生すれば、顧客への謝罪や補償に追われるだけでなく、取引先からは「リスク管理ができない会社」というレッテルを貼られます。一度失った信用は、何十年かけても取り戻せません。サプライチェーンの一角を担う中小企業が止まることは、親会社や顧客企業の活動を止めることを意味し、多大な迷惑をかけるだけでなく、損害賠償請求に発展する可能性すらあるのです。
中小企業がサイバー対策を進める上で、最大の壁となるのが「組織内の人材不足」です。しかし、これを「専門家がいないから仕方ない」で済ませることは、もはや許されません。
多くの中小企業には、サイバーセキュリティの高度な知識を持つ人材はいません。総務や経理の担当者が、本来の業務の傍らでPCのセットアップを「ついでに」行っているのが実情でしょう。しかし、攻撃者はその隙を狙っています。人材がいないからこそ、外部ベンダーの力を借りつつも、会社としての「防衛の意思決定」をどこで行うかが問われています。
ここが今回の記事で最も強調したい点です。IT人材がいない中小企業経営者は、サイバーセキュリティを外部業者に「丸投げ」しがちです。しかし、これは会社にとって非常に大きなリスクです。
外部業者に「外部業者しかわからない状態」にされるということは、会社にとって最大の資産流出リスクです。業者が「大丈夫です」と言っているから安心、ではなく、実際には何をしているか不明(ブラックボックス)になり、有事の際に経営者が判断できなくなります。
業者が変わる際、あるいは契約が切れた際に、会社にノウハウ(全体の流れ、重要な設定)が残らず、詰んでしまいます。「作業(How)」は委託しても、「何を守るか(What)」や「全体の流れ(Story)」は会社が内部に蓄積しなければなりません。これは「経営者の知的資本」であり、顧客や金融機関、従業員を守るための核心部分です。これを外部に委託することは、会社の魂を売るに等しい行為です。
サイバー対策は「ITの問題」ではなく「経営の問題」です。組織に専門家がいないのであれば、経営者自らが陣頭指揮を執り、セキュリティ対策の最高責任者となるべきです。
外部ベンダーを活用する際も、経営者自身が「我が社の守るべき資産は何か」「どこまでのリスクを許容し、どこから投資を行うか」を判断しなければなりません。外部ベンダーとのコミュニケーションにおいては、全体の流れを把握し、重要な設定や情報は会社側で把握し、内部に蓄積おく必要があります。
社長が「セキュリティは最優先事項だ。外注先とも、その流れを共有し、会社にノウハウを蓄積する」と宣言しなければ、組織全体に危機感が浸透することはありません。
専門的な知識は不要です。経営判断として、今すぐ以下の4点を実行してください。外注先への指示も、この4点に基づいて行ってください。
パスワードだけでなく、スマホのアプリやSMSでの認証を必須にしてください。これだけで、アカウント乗っ取りの9割以上を防げます。最も安価で最も効果的な投資です。これを外注先に「全社導入してください」と指示するのは、社長、あなたです。
ランサムウェアは、サーバーに繋がっているバックアップデータも一緒に暗号化します。必ず物理的に切り離されたバックアップを確保してください。これが「最後の砦」になります。この予算を承認し、外注先に具体的な構築を指示するのは経営者の仕事です。
「まだ動くから」は通用しません。サポート切れのOSや古いVPN機器は、即刻リプレイスしてください。IT担当者が「替えたい」と言った時、コストを理由に却下していませんか?これは経費ではなく、事業継続のための「保険料」です。
「感染した時、誰がどこに連絡し、どう公表するか」を事前に決めておいてください。専門知識は不要です。連絡網を作るのは組織管理の基本です。初動の遅れが、被害と社会的信用の損失を最小限に抑える鍵となります。外注先にも、有事の連絡体制を確認してください。
銀行員時代、私は数多くの倒産現場を見てきました。その多くは、予期せぬリスクに対する備えの甘さが原因でした。現代において、サイバーリスクは火災や地震と同じ、あるいはそれ以上に発生確率の高い「経営災害」です。
「担当者がいない」「ITはわからない」という言い訳は、倒産した際に顧客や従業員、仕入先には通用しません。外部業者をうまく活用することは不可欠ですが、それは外部業者にすべてを委ねることではありません。経営者自らが陣頭指揮を執り、全体の流れを把握し、会社にノウハウを蓄積するという決意が、会社の安全を担保します。
資金や時間の漏れをゼロにするという透明性の高い経営姿勢こそが、顧客や金融機関に絶大な安心感を与えます。目先のコスト削減にとらわれて「デジタル負債」を抱え込み、会社を崩壊させることのないよう、今こそ経営者の皆様の強いリーダーシップでIT環境の見直しを図ってください。その強い意思決定こそが、貴社の次なる成長を支える強固な礎となるはずです。
【関連記事】
【AI時代の新常識】急増するボット攻撃から会社を守れ。経営者が今すぐ「サーバーログ」をAIに読ませるべき理由
【重要】「ウチのような中小企業は狙われない」が一番危険です。~当事務所への4万回の攻撃と、鉄壁の防衛戦記~
自社の経営・財務基盤を盤石にし、本気の事業成長を目指す方は、ぜひ一度当事務所へご相談ください。17年の銀行員経験と、15年のコンサルタントとしての事業性評価(DD)の実績をかけ合わせ、御社の「最強の参謀」として伴走いたします。
愛媛県松山市の中小企業診断士・FP1級技能士。
元銀行員(17年)および経営コンサルタント(15年)として計100社以上の支援実績を持つ財務・経営戦略の専門家。
「次のステージ(設備投資・事業拡大)」を目指す優良企業に向けた緻密な財務シミュレーションや銀行交渉のロジック構築に加え、客観的な【経営診断】を起点とした伴走型の会社成長支援を得意としています。支援の最終ゴールは、コンサルタントへの依存ではなく「企業の自走化」です。
当事務所の最大の強みは、代表・和田健一による【完全専任体制】です。担当者が変わる大手ファームとは異なり、極めて機密性の高い財務データの「情報漏洩リスクゼロ(究極の機密保持)」を絶対の約束としています。
愛媛県松山市 和田経営相談事務所 代表 和田健一(中小企業診断士/経済産業省認定 経営革新等支援機関)。
