"自分事"がセキュリティを強くする――経営・現場・CSIRTの認識をそろえ、カイゼンし続ける組織へ：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

SecurityWeek 2026 春の基調講演に、日本シーサート協議会（NCA）理事でDNV ビジネス・アシュアランス・ジャパンの福田かおり氏が登壇。CSIRT・BCP・経営判断の関係性を整理しながら、セキュリティを全社で"自分事"にするための実践的なアプローチを語った。

[周藤瞳美，ITmedia]

日本シーサート協議会（NCA）理事／DNV ビジネス・アシュアランス・ジャパン株式会社　福田かおり氏

　ある日突然、自社の工場がランサムウェアに感染し、生産ラインがストップしたら、経営陣や現場はどう動くべきか。

　CSIRT構築や工場セキュリティ支援など、長年にわたり企業のサイバーセキュリティ対策に伴走してきたDNV ビジネス・アシュアランス・ジャパンの福田かおり氏（日本シーサート協議会 理事）は、「有事の際に自律的に機能する組織を作るためには、経営から現場までがセキュリティを"自分事"として捉え、自ら改善（カイゼン）し続ける文化が不可欠」と語る。

　全社一体となって取り組むべきセキュリティ組織のあり方と実践アプローチについて、福田氏が解説した。

「月曜の朝一番に、工場が止まっている」――あなたはどう動くか

　「もし月曜の朝一番に、複数の工場の生産ラインが止まっており、生産システムの画面に英語で『1000万円の身代金を払え、払わなければデータを暴露する』と表示されていたら、あなたならどんなアクションをしますか」――福田氏は、企業のセキュリティ体制の現状を測るための問いとして、このようなシチュエーションを提示する。

　身代金は支払うべきか、復旧に向けて現場へどのような指示を出すか。そして、刻一刻と変わる状況を顧客や株主、メディアに対して、自らの言葉で適切に説明できるだろうか。

　「こうした事態に対する絶対的な正解はありません。しかし、どうすればよいのかを常に考え続けることが何よりも重要です」（福田氏）

　インシデント対応の考え方を学ぶケーススタディとして福田氏が挙げるのが、2025年9月に発生したアサヒグループホールディングスへのランサムウェア攻撃事案だ。同社では朝7時に受注や出荷などに関わるシステム障害が発覚し、同日11時にはネットワークの遮断とデータセンターの隔離を迅速に実施。数日後にはランサムウェア攻撃を受けた事実を公式に発表し、その後数カ月をかけて段階的にシステムを復旧させた。

　「経営的な影響や対応の是非について、外部から完璧な正解を出すことは困難です。しかし最も重要なのは、現在、私たちが1人の消費者として『問題なくビールが飲めている』という結果です。被害に遭ったこと自体を責めることはできません。この事例から、自社であればどう素早く判断し、事業を継続させるかを自問自答し、学ぶことが大切なのです」（福田氏）

「サイバー」という言葉に惑わされず、守るべきものを定義する

　有事に備え、平時から何をすべきか。福田氏は、経済産業省が策定した『サイバーセキュリティ経営ガイドライン』における「指示1：サイバーセキュリティリスクの認識、組織全体での対応方針の策定」の重要性を強調する。

　「自社にとって何が一番大切で、何を守るのか。その方針を組織全員が同じ認識として持てているでしょうか。意外とできていない企業が多いのが現実です」（福田氏）

　また、『工場システムにおけるサイバー・フィジカル・セキュリティ対策ガイドライン』のステップ1でも、保護する対象の整理が求められている。これはサイバーセキュリティに限らず、一般的な事業リスクへの対策と何ら変わりはない。「サイバー」という言葉に惑わされず、自社の重要な業務や資産を明確にし、それを守るという基本に立ち返ることが求められる。

　福田氏自身、前職で自動車メーカーに在籍していた際、「安全安心な社会づくりへ貢献」と唱和していたという。そうした文化が根付いていると、いざという時の判断の軸として自然と「安全」や「安心」という言葉が出てくるようになる。

　一方で、実際のインシデントに直面した際、社内の立場によって見え方が大きく異なる点に注意が必要だと福田氏は指摘する。

　「経営層は『事業継続』『商品力』『顧客の信頼』を第一に考えます。一方、現場の担当者は『生産ラインの停止』『製品の安全や品質』『サプライチェーンへの影響』を懸念します。そしてIT部門やセキュリティ担当者は『システムやデータがどうなったか』という技術的な側面に目が行きがちです。見ているものが違うため、そのままでは議論がかみ合いません。同じインシデントであっても視点が違うことを認識し、意識をそろえる必要があります。共通認識を持つことで初めて、それぞれの立場で"自分事"として考えられるようになるのです」（福田氏）

素早い初動を生み出す「権限の先渡し」

　インシデントは、初期のイベント検知から、インシデント、重大インシデント、そして危機管理へと、被害の拡大とともにステージが変化していく。重大インシデント以降のフェーズでは、サイバーセキュリティの技術的な対応にとどまらず、事業継続に関わる高度な経営判断が不可欠となる。

　「刻一刻と状況が変わるなかで、現場がいちいち経営層に『どうしましょうか』と報告し、指示を仰いでいる時間はありません。現場が最適な判断を下してすぐに行動し、事後に報告を受ける。そしてその結果に対して経営者が責任を持つという『権限の先渡し』による信頼関係がなければ、現場は動けないのです。この関係性をいかに作るかが最大のポイントになります」（福田氏）

　素早い意思決定をするための体制として、BCP（事業継続計画）の整備が挙げられる。昨今では「サイバーBCP」や「IT-BCP」の策定が急務と言われるが、福田氏は「既存のBCPが機能するのであれば、名称はどうでもよい」と語る。自然災害、設備障害、サプライチェーンの途絶など、あらゆるインシデントへの対応にITは関わっている。その隙間を埋める活動こそがCSIRTの役割だと福田氏は位置づける。

　「防災訓練は消防法で決められているから実施するのではなく、従業員の安心・安全のために行うはずです。BCPも目的は同じです。ただし、サイバー空間での被害は自然災害のように目に見えず、全体像が把握しづらいという難しさがあります。被害の範囲が分かりにくいため、一生懸命に対応している現場の人間が周囲から責め立てられることすらあります。だからこそ、経営、現場、CSIRTがそれぞれの立場で信頼関係を持ち、最適な判断ができる体制を平時から構築しておくことが必要なのです」（福田氏）