情報セキュリティ

  1. トップページ
  2. 情報セキュリティ
  3. セキュリティエコノミクス
  4. プラクティス・ナビ
  5. プラクティス1-1 経営者がサイバーセキュリティリスクを認識するための、他社被害事例の報告

プラクティス1-1 経営者がサイバーセキュリティリスクを認識するための、他社被害事例の報告

公開日:2026年4月28日

背景

従業員数1,000名規模の小売業であるA社では、全社的なリスクや課題を報告する場である経営会議にセキュリティ施策を付議するも、一部の役員からはネガティブな反応があった。 情報システム部の部長は経営層のサイバーセキュリティリスク、例えば『事業の停止』や『金銭の詐取』といったリスクの認識が十分でないと感じていた。

そのため、経営会義で、通常報告する「自社に対するサイバー攻撃の状況」や「対策の実施状況」に 加え、「他社のサイバー被害事例」を報告することを考えた。また、トピック追加後も経営者への報告は 同じフォーマットで続けることとした。

A社の実践のステップ

情報システム部長が実践したステップは下記3点である。

  1. サイバー攻撃事例等を紹介するWebサイト(注釈)から他社の業務停止事例等を収集する
  2. 同様の被害が自社で発生する可能性を分析し、追加対策の要否を検討する
  3. 上記の収集・分析・検討結果をCISO等が経営者の参加する経営委員会で定期報告する
  1. 注釈
    他社のサイバー攻撃被害事例の収集元としては、下記のサイトが挙げられる。 
  2. IPA:サイバー情報共有イニシアティブ(J-CSIP)

A社の実践内容

上記ステップに則り、情報システム部長が収集した事例と自社の追加対策要否をCISO等に説明し、CISOから経営会議に定期報告するプロセスとした。(関連するサイバーセキュリティ対策の予算確保については“プラクティス3-1”を参照)

2-1.1 経営委員会への報告内容の目次例

  • 経営会議報告資料
    1. 当社に対するサイバー攻撃の状況
    2. サイバーセキュリティ対策の実施状況
    3. 他社のサイバー攻撃被害の発生状況
    4. その他サイバー攻撃のトレンド
表 2-1.1 他社のサイバー攻撃被害の発生状況の報告例
発生企業
国内小売業
国内製造業
被害内容
一時的に通販サイトが利用できない状態。
翌日サービス再開。
製品生産を担う取引先が自己増殖型ランサムウェアに感染。供給が月単位で滞った。
原因
DDoS攻撃
取引先のランサムウェア感染
自社での発生可能性
発生確率:低
発生確率:高
必要な追加対策
追加対策不要。
運営を委託する自社WebサイトへのDDoS対策は実施済で、サーバダウンは受容する。
ネットワーク分離が必要。
OA環境と倉庫は同一ネットワーク上にあるため、感染時の被害拡大が懸念される。
前のページへ 次のページへ

更新履歴

  • 2026年4月28日

    新規公開