サイバーセキュリティ対策で「信頼され選ばれる企業」になるには~サイバーセキュリティ対策を「真の投資」にする~
サイバーレジリエンス1.はじめに
デジタル化が進む現代において、企業が競争優位を保つためには「信頼」が欠かせません。
その信頼を支える重要な要素がサイバーセキュリティです。
重大な情報漏えいやサービス停止のインシデントは企業の信用を一瞬で失墜させ、
取引先や顧客から選ばれなくなるリスクを孕みます。
一方で、堅牢なセキュリティ対策を講じている企業は、「安心して取引できる相手」として評価され、ビジネス上の信頼を獲得できます。
事実、IPAが毎年発表している「情報セキュリティ10大脅威」では「サプライチェーンの弱点を悪用した攻撃」が2022年から3年連続でトップ3に入っており 、一社の脆弱性が全体へ波及しかねない現実が浮き彫りになっています。
このような状況下、「サイバーセキュリティ対策の信頼ゆえに選ばれる企業」となることが、経営上ますます重要になっています。
では、「選ばれる企業」になるにはどうすれば良いのでしょうか。
今号では、直近の企業調査結果なども踏まえ、サイバーセキュリティ対策を「真の投資」にする方法を紹介したいと思います。
2.概要
「サイバーセキュリティ対策は「経費ではなく投資である。」2000年代からサイバーセキュリティ対策の呼びかけと共に発せられてきた言葉です。しかし、それをどのように実現するかということについては、「サイバー攻撃被害を回避することで、被るはずだった損害を『利益』としてROIを算出する」方法が長く用いられてきました。しかし、最近、サプライチェーンリスクが注目されるにつれ、取引条件にサイバーセキュリティ対策を含めるところが増えてきています。
経済産業省の調査でも、社内にセキュリティ専門部署や担当者を置き、体制を整備している企業の約59.8%が「対策を行ったことが新たな取引につながった」と実感しているという結果が出ています。また、別の調査では第三者認証(ISMS等)を取
得している企業は約73.9%が「認証取得が取引につながった」と感じているとの結果も出ています。
従って、サイバーセキュリティ対策が、取引先の維持や開拓に寄与する時代になってきているとも言えます。そのような時代においては、対策を実施するだけでなく、その対策をどのようにアピールするかも重要になってきます。
また、サイバーセキュリティ対策を進めるにあたっては、後追いでセキュリティ対策を進めるのではなく、最初の段階から対策を施しておくことが重要です。
ソフトウェア開発やモノづくりの世界では「トラスト・バイ・デザイン(Trust byDesign)」と呼ばれ、注目されている手法ですが、自社サービスや社内業務にも適用できる考えです。
そこで、今号では下記のように、先ずTrust by Designについて解説した上で、自社のセキュリティ対策をどのようにアピールするかについて紹介したいと思います。 その上で「真の投資」とする方法としてROIの算出方法を複数紹介したいと思います。
1.トラスト・バイ・デザイン(Trust by Design) – 開発段階から信頼を織り込む
2.サプライチェーン信用を得るための広報術 – 「見える化」と透明性で信頼を醸成
3.ROI管理 – 経営に響くサイバーセキュリティ投資の示し方
3.トラスト・バイ・デザイン – 開発段階から信頼を織り込む
「トラスト・バイ・デザイン(信頼性の設計)」とは、システムやサービスを開発する初期段階からセキュリティ・プライバシーなどの要素を織り込み、プロダクト自体に信頼を組み込む設計思想です。EYはこの考え方を、自社メソッドとして「リスク
を最適化する文化を根付かせ、信頼をサービスや製品に初めから組み込むことでリスクそのものを変革する手法」と定義しています 。つまり単に後追いで脅威に対処するのではなく、製品・サービスの設計段階から信頼性確保を前提にすることがポイ
ントです。つまり、ソフトウェア開発やモノづくりを行わない業種においても、通用する考えです。
セキュリティ・バイ・デザインとの関係
トラスト・バイ・デザインの具体策としては、従来から提唱されてきた「セキュリティ・バイ・デザイン(Security by Design)」の実践が中心となります。セキュリティ・バイ・デザインとは「情報セキュリティを企画・設計段階から組み込むこと」を意味し 、脅威分析やセキュリティ要件定義、セキュアコーディングといった活動を開発ライフサイクルの初期から行うアプローチです。
脆弱性を上流で潰すことで、結果的に製品の信頼性が向上し、開発コスト削減や保守性向上といった副次効果も生まれます 。実際、脆弱性を後から修正するより最初から作り込まないようにした方が、修正コストは格段に低く抑えられます。ある有名な
指摘では「設計段階で発見したバグ修正コストを1とすると、実装段階では6倍、テスト段階では15倍、リリース後には最大100倍かかる」とも言われます 。
なお、これは外部の製品・サービスを使う場合も同様です。製品・サービス仕様の確認と非常時の対応を選定段階から検討内容に含めておくことで、製品・サービス採用後のセキュリティ対策の手間が大幅に異なってきます。
国際動向:セキュリティ規制と「信頼の証明」
海外では法規制の面からも「製品に信頼性(セキュリティ)を組み込むこと」が要求される時代に入っています。特にEUは2024年に「サイバーレジリエンス法(CyberResilience Act)」を成立させ、2027年からEU域内で販売される、ほぼ全てのデジタル製品に対し、企画・設計・開発・保守の各段階で遵守すべきセキュリティ要件フレームワークの導入とライフサイクル全体でのセキュリティ確保を義務付けました 。
また高リスク製品については販売前に第三者機関によるセキュリティ評価を要求し、新基準に適合した製品にはCEマーキング(適合表示)を付与する仕組みも導入されます 。これによりユーザー企業や消費者は、適切なサイバーセキュリティ機能を備えたハードウエアやソフトウェア製品を容易に見分けられるようになります 。
イギリスでも基本的なセキュリティ対策の実施を認証するCyber Essentials制度が普及し、中小企業を中心に広く導入されています。導入企業はサイバー攻撃リスクを約80%低減できたとの報告もあり、取引先からの信頼獲得にも寄与しているとされます 。日本でも、経済産業省が提案する新制度(前述のサプライチェーン評価制度)は日本版Cyber Essentialsとも言える仕組みで、セキュリティ対策を「負担」から「信頼の証」に変えるチャンスになると期待されています 。
以上のようにTrust by Designは企業にとって単なる技術的善策に留まらず、競争環境を生き抜くための必須条件になりつつあります。リスク低減と信頼獲得の双方を実現する設計思想として、自社の製品開発プロセスに組み込んでいくことが重要です。
4.サプライチェーン信用を得るための広報術– 「見える化」と透明性で信頼を醸成
自社で優れたセキュリティ対策を講じていても、取引先や顧客にその価値が伝わらなければ「信頼で選ばれる企業」にはなれません。特に企業間取引(B2B)においては発注側がサプライヤーのセキュリティ対策状況を重視する傾向が強まっています。
大企業のCIO/CISOが「この会社は情報を預けても大丈夫か」「自社のサプライチェーンの弱点とならないか」を評価するようになり、場合によってはセキュリティの弱い企業は取引から除外されるケースすら出てきています。そこで、自社のサイバーセキュリティ体制やインシデント対応力を適切にアピールし、取引先からの信用を得る広報術が重要です。
第三者認証・評価の活
客観的な第三者認証は、セキュリティ体制の「お墨付き」として信頼獲得に大きく貢献します。代表的な認証であるISO/IEC 27001(情報セキュリティマネジメント)は、機密情報の保護やリスク管理について国際標準に適合していることを証明するものです。ISO 27001を取得することで、「当社は情報セキュリティのベストプラクティスを実践しています」と対外的に示すことができます。実際、ISO/IEC 27001は機密情報の保護、信頼構築、評判向上に寄与するフレームワークとして広く認知されています 。またクラウドサービス事業者であれば、クラウドセキュリティの認証制度であるCSA STARや、日本政府の定めるISMAP適合なども有効でしょう。金融業界ではFISC安全対策基準への準拠、産業制御システム分野ではIEC 62443認証など業界固有の基準もあります。また、業界の普遍的なものとしては、Pマークなども挙げられます。自社事業領域に合わせた認証取得は取引先への安心材料となります。
さらに最近では、セキュリティ対策状況を「見える化」する新たな仕組みも登場しています。経済産業省は2025年4月に「サプライチェーン強化に向けたセキュリティ対策評価制度」の中間取りまとめを公表し、発注企業と受注企業の信頼関係を強化
するため、企業のセキュリティ対策状況をスコアリングなどで可視化する制度を検討しています。
これは各社バラバラに行っていたセキュリティチェックを標準化し、政府主導で「サイバーセキュリティ対策の格付け」を行うものです。この制度は、サイバーセキュリティ対策への取り組みが「優良企業」となる条件の一つであると政府が規定
したものとも言えます。従って、この制度に基づく「★3・4」の取得は、取引の条件になることが容易に予想できます。
インシデント対応力と情報開示の姿勢
信頼を得るには、「仮に事件が起きても適切に対処できる」というインシデント対応力への信頼も不可欠です。そのために有効なのが、セキュリティ情報の積極開示と迅速な報告体制です。たとえば、米国では2023年に証券取引委員会(SEC)が重大なサイバーインシデント発生後4営業日以内の開示を義務付けました 。
日本でも上場企業は有価証券報告書でセキュリティ対策の状況を記載する動きが広がりつつあります。こうした透明性の高い姿勢はステークホルダーからの評価を高め、実際に「サイバーセキュリティ情報を開示している企業ほど株主からの信頼が向上する」と指摘されています 。特に海外投資家は企業のセキュリティ開示情報に敏感で、ある調査では米国の株主の9割が投資判断の際にセキュリティ開示情報を活用しているとのデータもあります 。
取引先にサイバーインシデントが発生しても、あらかじめ自社データが安全に維持されるプロセスを調整しておけば安心感を提供できます 。万一の際の情報共有(関係者への迅速な通報・報告)についても、事前に取り決めておくことで相互信頼が深まります。
強固な契約とコミュニケーション
ビジネス上の信頼は契約やコミュニケーションの中にも表れます。セキュリティ条項を契約書に盛り込むことは、お互いの義務と期待値を明確にし、信頼関係を構築する助けとなります 。例えば「サプライヤーはISO 27001や業界標準に準拠したセキュリティ対策を維持すること」「インシデント発生時には○時間以内に通知すること」等を契約で定めておけば、発注側は安心して委託できます。BSIグループも「サプライヤーとの契約にサイバーセキュリティ要件を組み込むことで、利害関係者間の共通理解が保証される」と指摘しています 。
さらに、ステークホルダーとの日常的なコミュニケーションも信頼醸成に有効です。具体的には、主要顧客に向けたセキュリティニュースレターの配信や、取引先向けセキュリティ勉強会の開催、業界ISACへの参加による脅威情報の共有などが挙げられます。「規格は信頼と信用の礎」とも言われますが 、同時に人と人との信頼関係も重要です。セキュリティの話題をタブー視せずオープンに共有できる関係性を築くことで、万一何かあった場合にも迅速かつ建設的な協力体制を取ることができます。
5.ROI管理 – 経営に響くサイバーセキュリティ投資の示し方
3番目にして、最も重要と言えるのが、サイバーセキュリティ投資のROI(Returnon Investment)管理です。経営層にとって、サイバー対策への支出はコストセンター(費用部門)とみなされがちで、「売上に直接寄与しない出費」と捉えられることも少なくありません 。この認識を改め、「セキュリティ投資は事業継続と信頼確保のための戦略的投資である」と理解してもらうには、ROIの可視化と説得力ある説明が必要です。
リスクを定量化して、それらの回避・低減効果を「利益」とする
ROIを示す方法として長年提唱されてきたのが「サイバー攻撃被害を回避することで、被るはずだった損害を『利益』としてROIを算出する」方法です。使い古されたとも言える方法ですが、説得力のある数字が提示できれば今でも十分に通用する方法です。基本式は「ROI = (リスク低減による効果額-セキュリティ投資額) ÷セキュリティ投資額」で表されます 。ここで重要なのが、リスク回避・低減効果のベースとなるサイバーリスクの定量化です。
定量化の手法はいくつかありますが、FAIR(Factor Analysis of InformationRisk)などがグローバルで活用されています。これは、資産に対する脅威発生確率や想定損失額といった要素から年間予想損失(ALE: Annual Loss Expectancy)を算出し、サイバーセキュリティ対策導入によるALE低減量からROIを計算するといったアプローチを取ります。具体的なシナリオをベースにして示すことができるので、経営者などセキュリティ技術を知らない方々にも説明が容易です。
なお、資産に対する想定損失額については、様々な統計が出ているのでそれを活用することをお勧めします。例を挙げると、大企業に限定した数字ですが国内でのランサムウェア感染の被害額はトレンドマイクロの調査によると平均約2億2,000万円となっています。また企業規模を問わないJNSAの調査によると平均約2,386万円です。
ビジネスへの寄与度を「利益」とする
こちらはサイバーセキュリティ対策を取引条件に含めることが増えた最近の傾向に基づくものです。例を挙げると「ISO 27001認証取得が新規取引獲得に繋がった」「セキュリティの信頼性向上で顧客の解約率が低下した」など、自社の競争優位や顧客信頼にセキュリティ対策が寄与した事例を集め、データで示します。売上データを丹念に追っていくことが必要であり、また寄与の度合いを関係者が納得する形で数値化するのは試行錯誤が必要ですが、経営者への説得録は非常に強いと言えます。
経営層への報告
ROIの算出も重要ですが、それ以上に重要なのは、経営層の意思決定に役立つ形で情報提供することです。専門的なセキュリティ指標だけでなく、「これだけ投資してこれだけ損失を防ぎました」「この投資のおかげで○○社との大型契約を獲得できました」といったビジネス言語で語ることが必要です。過去の投資成果をROIとして示せば、経営陣や取締役会に「費用対効果が十分あった」と納得してもらえますし、新たな投資提案についても見込まれるROSIを計算して提示することで承認を得やすくなります 。
継続的な改善
ROIを継続的に最大化する取り組みも重要です。チェック・ポイント社は「セキュリティ部門も他の部署と同様、投資対効果の最大化に努めるべきであり、リスク分析によって最もROIの高い領域に注力することが肝要」と述べています 。そのため、定期的にリスク状況の変化や新たな脅威動向を踏まえて、セキュリティ投資ポートフォリオを見直すことが求められます。
具体的には「最新の脅威トレンドを見るとランサムウェア対策強化のROIが高いので来年度はEDRに重点投資しよう」「クラウド移行が進んだからクラウド向けWAFにリソース配分を変更しよう」といった具合に、動的な投資判断を行うのです。その結果として、セキュリティ対策は単なるコストではなくビジネスを守り、信頼を生む戦略的投資として社内に位置付けられていくでしょう。
6.おわりに
今号ではサイバーセキュリティ対策によって信頼を勝ち取り、取引先や顧客から「選ばれる存在」となることで、セキュリティ対策を「真の投資」とするための方法を3つ紹介しました。
重要なのは、これらが互いに独立した施策ではなく相乗効果を持つという点です。製品・サービスの開発段階からセキュリティを組み込めばインシデントリスクが下がり(Trust by Designの効果)、それ自体がROI向上につながります(予防によるコスト削減)。そうして構築された堅牢な体制は第三者認証取得や透明性の高い開示を通じて市場での信頼を生みます。それが新たなビジネス機会を呼び込み、さらにROIを高めるという好循環を生み出します。
サイバー攻撃が「いつか必ず起こる」前提で事業を考えねばならない現在、セキュリティ対策は単なる防衛策ではなく企業価値そのものと深く結び付いています。
「セキュリティの信頼」で選ばれる企業は、危機に強いだけでなく日頃から信頼という見えざる資本を蓄積し、マーケットで優位に立つことができます。サイバーセキュリティへの積極投資で、自社の未来をより確かなものにしていきましょう。
最後までお読みいただきありがとうございました。
参考記事・文献:
経済産業省 「中小企業の実態判明 サイバー攻撃の7割は取引先へも影響」
https://www.meti.go.jp/press/2024/02/20250219001/20250219001.html
IPA 「『2024年度 中小企業における情報セキュリティ対策に関する実態調査』報告書について」
https://www.ipa.go.jp/security/reports/sme/sme-survey2024.html
経済産業省 「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまと
め」 https://www.meti.go.jp/press/2025/04/20250414002/20250414002-2.pdf
経済産業省 「【参考資料】★3・★4要求事項案・評価基準案」
https://www.meti.go.jp/press/2025/04/20250414002/20250414002-3.pdf
特定非営利法人 日本ネットワークセキュリティ協会 「インシデント損害額調査レポート第2版」・
「別紙 被害組織調査」 https://www.jnsa.org/result/incidentdamage/202402.html
トレンドマイクロ 「セキュリティ成熟度と被害の実態調査 2024」
https://www.trendmicro.com/ja_jp/about/press-release/2024/pr-20241210-01.html
FAIR Institute 「What is FAIR」 https://www.fairinstitute.org/what-is-fair
EY 「Trust by Design」 https://www.ey.com/en_gl/trust-by-design
IPA 「セキュア・バイ・デザイン導入指南書」
https://www.ipa.go.jp/jinzai/ics/
投稿者プロフィール
