[入門] ゼロから学ぶゼロトラスト 第2回 日本企業の危機と経営者の責任

前回の記事「[入門] ゼロから学ぶゼロトラスト 第1回 なぜ今「何も信頼しない」のか？」では、KADOKAWAの事例を通じて境界防御モデルの限界とゼロトラストの基本概念を解説しました。

今回は、日本が直面している深刻なセキュリティ危機と、政府が打ち出した本格的な対策、そしてセキュリティ対策を怠ることが経営者の重大な判断ミスであり、その結果生じる被害は全て経営責任として問われるという現実について詳しく見ていきます。

日本のセキュリティ産業の深刻な現状

経済産業省が2025年3月に発表した「サイバーセキュリティ産業振興戦略」¹は、日本のセキュリティ産業が危機的状況にあることを明らかにしました。最も衝撃的な事実は、国内で使用されるセキュリティ製品の過半数が海外製であるということです。

研究開発投資の面でも、日本企業は売上のわずか0.2～2.4%しか投じていないのに対し、海外企業は17～31%もの予算を研究開発に充てています。この100倍近い差は、技術革新のスピードと製品の競争力に直結しています。特に成長分野であるゼロトラストやWebセキュリティの領域では、外資企業が圧倒的な優位性を持っており、日本企業は太刀打ちできない状況です。

さらに深刻なのは、セキュリティビジネスの売上が大手SIベンダー数社に集中していることです。これらの企業は主に海外製品を輸入して販売するディストリビューターとしての役割を果たしており、国産製品の開発には消極的です。

この状況は、新規参入を阻む悪循環を生み出しています。「実績がないと買ってもらえない」ため「売れないので投資できない」、その結果「競争力が低下」し、「さらに売れなくなる」という負のスパイラルです。この悪循環により、日本企業は革新的なセキュリティ技術の開発に遅れを取り、海外製品への依存度がさらに高まっています。

経営層への緊急メッセージ：セキュリティ投資は保険ではなく生存戦略

サイバー攻撃による被害は、経営者の判断ミスが招いた人災です。

多くの経営者は、いまだにセキュリティを「コストセンター」と考えていますが、これは致命的な誤解です。セキュリティ投資はビジネス継続への必須投資であり、企業の生死を分ける戦略的判断なのです。セキュリティ投資を怠った結果、サイバー攻撃を受けて事業が停止した場合、それは天災ではなく、経営判断の失敗による人災です。

「IT部門に任せておけばいい」という考えも間違いです。サイバーセキュリティは技術的な問題ではなく、経営判断が必要な戦略課題です。**セキュリティ対策の最終責任は経営者にあります。**情報漏洩が発生した際、「知らなかった」「任せていた」という言い訳は通用しません。株主、顧客、従業員、そして社会に対して、経営者が責任を負うことになります。

特に「うちの規模では狙われない」と考えている中小企業の経営者は要注意です。実際には、セキュリティが甘い中小企業こそが攻撃者の格好の標的となっています。そして被害に遭った時、「まさか自分たちが」と言っても、それはリスク管理を怠った経営責任として問われることになります。

また、「保険に入っているから大丈夫」というのも幻想です。保険金では失った信用は買い戻せません。一度の情報漏洩で築き上げてきた信頼関係が崩壊し、取引先を失い、最悪の場合は廃業に追い込まれます。これらは全て、適切なセキュリティ投資を行わなかった経営判断の結果なのです。

実際の被害企業の損失は想像を絶するものです。システム復旧費用だけで平均3.5億円、事業停止による機会損失は1日あたり数千万円から数億円に上ります。顧客離れの影響は長期にわたり、回復には平均3年以上かかります。上場企業では株価が平均15-20%下落し、68%のケースで経営責任問題に発展し役員の引責辞任に至っています。

**重要なのは、これらの被害は「運が悪かった」のではなく、「適切なセキュリティ投資を怠った経営判断の帰結」だということです。**株主代表訴訟では、セキュリティ対策の不備が「善管注意義務違反」²として認定され、経営者個人が巨額の賠償責任を負うケースも出ています。

一方、ゼロトラスト導入にかかるコストは年間数百万円から数千万円程度です。しかも、IT導入補助金や自治体の助成金を活用すれば、実質負担は半分以下になります。被害を受けた場合の損失が数十億円に信用失墜が加わることを考えれば、1回の攻撃を防ぐだけで投資の100倍以上の価値があることは明白です。

それでもなお、セキュリティ投資を「コスト」と見なし、先送りする経営者がいるとすれば、それは株主、顧客、従業員に対する背信行為と言わざるを得ません。

東京都の中小企業なら最大1500万円の助成金が利用でき、全国どこでもIT導入補助金が活用できます。「予算がない」という言い訳は、もはや通用しません。補助金があるにも関わらず活用せず、結果として被害に遭った場合、それは明らかな経営判断の誤りです。

経営層が今すぐ理解すべきことは、サイバーセキュリティは「もしも」の問題ではなく「いつ」の問題だということです。投資を渋った結果、倒産した企業が実在します。攻撃を受けてからでは手遅れで、週末の48時間で全てが終わってしまいます。

そして最も重要なのは、セキュリティ被害は「不可抗力」ではなく「予見可能なリスクに対する対策を怠った経営責任」として扱われるということです。「知らなかった」「予算がなかった」「他社も同じだった」という言い訳は、法的にも社会的にも一切通用しません。

セキュリティ投資は企業価値を守る最重要投資であり、これを怠ることは、経営者としての責務を放棄することに他なりません。

止まらないサイバー攻撃の急増

2024年の日本における被害状況は深刻を極めています。報告されただけで年間3,000件を超えていますが、実際はその10倍以上と推定されています。特に中小企業の被害は前年比300%も増加し、復旧できずに廃業する企業が月平均50社以上に上っています。

大企業も例外ではありません。トヨタ自動車は2022年にサイバー攻撃を受け、国内全工場14拠点が1日停止しました。2024年にはJALとANAの予約・搭乗システムが障害を起こし、数万人に影響が出ました。全国各地の病院では電子カルテシステムが停止し、手術延期を余儀なくされています。地方自治体では住民サービスが数週間停止する事態も発生しています。

**これらの被害企業に共通するのは、「まさか自分たちが」という油断と、適切なセキュリティ投資を怠った経営判断です。**被害に遭ってから「想定外だった」と言っても、それは予見可能なリスクへの対策を怠った経営責任として、株主や利害関係者から厳しく追及されることになります。

政府の本格的な対策

相次ぐサイバー攻撃を受け、日本政府もついに重い腰を上げました。2025年2月に経済産業省が「SSL-VPNのゼロトラスト移行ガイド」を公開し、3月には「サイバーセキュリティ産業振興戦略」を発表しました。

この戦略は包括的な政策パッケージとなっており、デジタル庁は政府システムのゼロトラスト化を推進し、NISC（内閣サイバーセキュリティセンター）は民間企業への移行支援を強化しています。

政府が掲げる目標は野心的です。2035年までに国内セキュリティ企業の売上高を現在の約0.9兆円から約3兆円超へと3倍増させ、国産製品・サービスの市場シェアを大幅に拡大し、セキュリティ人材も大幅に増強する計画です。

企業への影響も大きく、政府調達ではゼロトラスト対応が必須要件化される方向です。金融、医療、重要インフラでの義務化も検討されており、従来型セキュリティでは保険金支払いを拒否される事例も増加しています。

**つまり、ゼロトラストへの移行は、もはや「選択」ではなく「義務」になりつつあるのです。**この流れに乗り遅れた企業は、政府調達から排除され、保険も適用されず、被害が発生した際には経営者個人の責任が厳しく問われることになるでしょう。

中小企業向けの支援制度を活用しよう

「予算がない」という理由でセキュリティ投資を諦める必要はありません。政府は「サイバーセキュリティ産業振興戦略」の一環として、中小企業のセキュリティ強化を支援する様々な制度を用意しています。

IT導入補助金2025（セキュリティ対策推進枠）

最も活用しやすいのがIT導入補助金です。「サイバーセキュリティお助け隊サービスリスト」に掲載されているサービスのうち、IT導入支援事業者が提供し、かつ事務局に登録されたサービスを導入する際、サービス利用料の最大2年分を補助してもらえます。全国の中小企業・小規模事業者が対象で、申請開始は2025年3月31日の予定です。

東京都サイバーセキュリティ対策促進助成金

東京都内の中小企業には、さらに手厚い支援があります。企業秘密や個人情報等を保護するためのサイバーセキュリティ対策に必要な設備等の導入を支援する制度で、助成対象経費の1/2以内、最大で1500万円まで支援を受けられます（下限10万円）。ただし、SECURITY ACTION³の二段階目を宣言している必要があります。

サイバーセキュリティお助け隊サービス

IPAが認定する中小企業向けセキュリティサービスで、中小企業に対するサイバー攻撃への対処として不可欠なサービスをワンパッケージにまとめたものです。IT導入補助金と連携して導入コストを大幅削減できるのが魅力です。

政府の新たな支援策（2025年3月発表）

さらに政府は新たな支援策も打ち出しています。「スタートアップ技術提案評価方式」では、J-Startup⁴選定企業等の製品を政府機関で試行的に活用します。「IoT製品セキュリティ適合性評価制度（JC-STAR）」⁵は2025年3月末に開始予定で、「懸賞金型研究開発事業」では優れたセキュリティ技術に懸賞金を提供します。

Cloudflare Zero Trustなども補助対象になる可能性があります（要確認）。申請にはSECURITY ACTIONの宣言など事前準備が必要ですが、専門家への相談も補助対象になる場合があります。これらの支援制度を活用すれば、実質的な負担を大幅に軽減しながらゼロトラスト環境を構築できます。

これだけの支援制度があるにも関わらず、「知らなかった」「手続きが面倒だった」という理由でセキュリティ対策を怠り、結果として被害に遭った場合、それは経営者の怠慢以外の何物でもありません。

今すぐ行動すべき理由

「うちはまだ被害に遭っていないから大丈夫」という考えは、正常性バイアス⁶であり大変危険です。サイバー攻撃は確率的な問題であり、早急にゼロトラストを導入しない限り、遅かれ早かれ被害に遭うのは間違いないでしょう。

情シスの危険な正常性バイアス

特に深刻なのが、情報システム部門に蔓延する正常性バイアスです。「10年間、一度も大きな被害に遭ってないから大丈夫」「ファイアウォールがあるから侵入されない」「うちは中小企業だから狙われない」「最新のセキュリティ製品を入れたから安心」「定期的にパスワードを変更させているから問題ない」―これらは全て幻想です。

実際、被害に遭った企業の多くが「まさか自分たちが」と口を揃えます。KADOKAWAも、トヨタも、病院も、みな「今まで大丈夫だった」企業でした。

情シスの機能不全が招く悲劇は深刻です。経営層への説明不足で「技術的に難しい」と言って先送りし、予算確保に失敗して「今年も大丈夫だろう」と投資を見送ります。新技術への抵抗から「今のやり方で問題ない」と変化を拒み、インシデント想定の甘さから「うちには関係ない」と訓練を怠ります。

正常性バイアスの恐ろしさは、「去年も大丈夫だった」から「今年も大丈夫だろう」、そして「来年も大丈夫なはず」と続き、ある日突然、全システムが停止するという形で現実となります。

攻撃者は、こうした油断している企業を狙い撃ちにします。「セキュリティ対策が古い」「アップデートが遅れている」「監視体制が甘い」企業のリストは、ダークウェブで売買されているのです。

情シス部門に必要な意識改革は、まず「守る」から「前提として侵入される」への転換です。完璧な防御は不可能という現実を受け入れ、「信頼」から「検証」へと考え方を変える必要があります。社内だから安全という思い込みを捨て、「対応」から「予防」へシフトし、事故が起きる前に対策を講じなければなりません。そして何より、サイバーセキュリティを「技術」の問題から「経営課題」として捉え直し、企業存続の問題として認識することが重要です。

情シスが正常性バイアスに陥っている企業は、経営層も含めて「サイバー攻撃は他人事」と考えがちです。しかし、今この瞬間も、あなたの会社のネットワークは攻撃者に狙われているという危機感を持たなければなりません。

そして忘れてはならないのは、情シスがどれだけ正常性バイアスに陥っていても、最終的な責任は経営者にあるということです。「情シスが大丈夫と言っていた」は免責理由にはなりません。経営者は自らの責任において、適切なセキュリティ投資の判断を下さなければならないのです。

具体的なアクションプラン

今すぐできる3つのステップ

まず今日から始められることは現状把握です。社内システムへのアクセス方法を洗い出し、VPNやリモートアクセスの利用状況を確認します。同時に、最近のセキュリティインシデント情報をチェックして、自社に当てはまるリスクがないか確認しましょう。

今週中には、小さく始めることが重要です。Cloudflare Zero Trust Free版なら50ユーザーまで無料で試せます。重要度の低いシステムから段階的に移行し、ログの監視体制を構築します。また、利用可能な補助金・助成金を調査し、IT導入補助金や自治体の助成金の申請準備を始めましょう。

来月までには本格展開の準備を整えます。経営会議でゼロトラスト導入を正式決定し、予算確保と実行計画の承認を得ます。全社的なゼロトラスト戦略を策定し、従業員向けの教育・訓練を実施し、インシデント対応計画も更新します。

導入時の注意点

よくある失敗パターンとして、「とりあえずツールを入れておけば安全だろう」と考えて設定が不十分なまま導入し、かえって脆弱性が増加するケースがあります。また、「全システムを一気に移行しよう」として業務が停止し、従業員が大混乱することもあります。「安いツールで済ませよう」として機能不足で実質的な保護効果がない製品を選んでしまうことも避けるべきです。

情シス部門でよく見られる抵抗として、「新しいシステムを覚えるのが面倒」「今まで問題なかったのに、なぜ変える必要が？」「ユーザーからクレームが来るから現状維持したい」「予算がないから来年度に先送り」といった声が上がりますが、これらは全て、企業を危険にさらす言い訳に過ぎません。

**経営者の責務は、こうした抵抗を排除し、企業を守るための決断を下すことです。**情シスの抵抗を理由に対策を先送りすることは、経営責任の放棄に他なりません。

成功のポイントは、まず経営層の強力なコミットメントです。**これは「協力」ではなく「経営者の義務」です。**セキュリティを最優先経営課題として位置づけ、売上の1-2%という世界標準の予算を確保します。補助金・助成金の積極活用で実質負担を軽減し、取締役会での定期的な進捗確認も欠かせません。

**セキュリティ対策の成否は、経営者がどれだけ本気で取り組むかにかかっています。**導入は段階的に、影響の少ないシステムから開始し、従業員への教育で新しいアクセス方法を事前に周知します。監視体制も重要で、ログの確認とインシデント対応手順の整備が必要です。

まとめ〜今すぐ行動しなければ手遅れになる〜

KADOKAWAの事例は、従来の境界防御モデルの限界を如実に示しています。もはや「社内ネットワークは安全」という前提は通用しません。

ゼロトラストは、この新しい脅威環境に対応するための必然的な進化です。世界の先進企業はすでに移行を完了し、日本政府も「サイバーセキュリティ産業振興戦略」を策定して本格的な推進に乗り出しています。

投資判断を先送りにした企業の末路は悲惨です。「来年度予算で検討」と言っているうちに攻撃を受けて倒産し、「ROIが見えない」と躊躇している間に1回の攻撃で数十億円の損失を被り、「他社の動向を見てから」と様子見している間に先行企業は既に守られています。そして、被害が発生した時、全ての責任は「適切な投資判断を行わなかった経営者」に帰することになります。

今すぐ必要な経営判断は明確です。売上の1-2%という世界標準のセキュリティ予算を即時確保し、ゼロトラスト移行の意思決定を行い、情シス部門への権限委譲とサポートを実施し、全社的なセキュリティ文化を醸成し、IT導入補助金や各種助成金などの政府支援制度を積極的に活用することです。

これは「選択肢」ではありません。経営者としての「義務」です。

あなたの会社が明日、サイバー攻撃の被害者になる前に、ゼロトラストという新しい防御戦略を導入してください。

想像してみてください。1週間ビジネスが停止することを。実際、KADOKAWAではニコニコ生放送が約2か月（8月5日まで）停止し、その影響は計り知れないものでした。

ゼロトラストを導入することで、万が一侵入を許した場合でも、その影響範囲を局所化することができます。これにより、ビジネスへのインパクトを最小限に抑えることが可能になるのです。

政府も企業も動き始めています。あなたの会社だけが取り残されてもよいのですか？

セキュリティ被害に遭った時、「知らなかった」では済まされません。それは経営者の判断ミスであり、経営責任なのです。

待っている時間はありません。今すぐ行動してください。

明日の朝、災害対策アプリから緊急通知を受け取る前に。

そして、株主、顧客、従業員から「なぜ対策を怠ったのか」と問われる前に。

参考文献

• 経済産業省「サイバーセキュリティ産業振興戦略」（2025年3月）
• IT導入補助金2025（セキュリティ対策推進枠）
• 東京都サイバーセキュリティ対策促進助成金（東京都中小企業振興公社）
• IPA「サイバーセキュリティお助け隊サービス」
• IPA「IoT製品に対するセキュリティ要件適合評価・ラベリング制度（JC-STAR）」
• サイバー安全保障分野での対応能力の向上に向けた有識者会議「サイバー安全保障分野での対応能力の向上に向けた提言」（令和6年11月29日）

1. サイバーセキュリティ産業振興戦略 - 経済産業省が2025年3月に策定した、日本のサイバーセキュリティ産業の競争力強化を目指す包括的な政策パッケージ。2035年までに国内セキュリティ企業の売上高を現在の約0.9兆円から約3兆円超へと3倍増させることを目標としています。 ↩

2. 善管注意義務違反（善良な管理者の注意義務違反） - 会社法上、取締役は会社に対して「善良な管理者の注意をもって」職務を遂行する義務があります。サイバーセキュリティ対策を怠り、結果として会社に損害を与えた場合、この義務に違反したとして、取締役個人が損害賠償責任を負う可能性があります。 ↩

3. SECURITY ACTION - 中小企業自らが情報セキュリティ対策に取り組むことを自己宣言する制度。独立行政法人情報処理推進機構（IPA）が運営。★一つ星は「情報セキュリティ5か条」の実施、★★二つ星は「情報セキュリティ基本方針」の策定と公開を宣言するものです。 ↩

4. J-Startup - 経済産業省が推進する、日本のスタートアップ・エコシステムの構築を目的としたプログラム。外部有識者の推薦などに基づき、潜在力のある企業を「J-Startup」企業として選定し、官民連携で集中支援を行います。 ↩

5. JC-STAR（Labeling Scheme based on Japan Cyber-Security Technical Assessment Requirements） - IoT製品のセキュリティ要件への適合性を評価し、ラベリングする制度。2025年3月末に制度開始予定。適合製品には★マークが付与され、政府調達等の要件となることが検討されています。 ↩

6. 正常性バイアス - 自分にとって都合の悪い情報を無視したり、過小評価してしまう心理的傾向。災害心理学で使われる用語で、「自分だけは大丈夫」「今まで大丈夫だったから、これからも大丈夫」という根拠のない思い込みを指します。 ↩