はじめに：ここからは「決める」ステージへ

ここまでのDay1〜4で、「なぜ年末にサイバーリスクが高まるのか」「自社にはどんなリスクがあるのか」「どのようなトラブルが起こりやすいか」「90日で何をしていくか」を見てきました。

最終回のDay5では、これまでの整理をもとに、経営者として「何を決めるか」に焦点を当てます。 技術的な細部すべてを理解する必要はありませんが、「どのリスクを優先し、どこに時間とお金を配るか」は、どうしても経営の判断が必要になる部分です。

そこで今回は、取締役会や幹部会にそのまま持ち込める「意思決定ブリーフ」の形に落とし込みながら、よく出てくる反対意見への向き合い方や、会議での進め方のヒントを整理します。 読み終えたとき、「次の会議でこの1枚をベースに話してみよう」と思っていただければ、このシリーズの役割はひとまず果たせたと言えます。

1. 経営者として押さえるべき3つの問い

技術的な話が増えると、「分からないから担当に任せる」となりがちです。 しかし、経営者として押さえるべきポイントは、次の3つの問いに集約できます。

1. 何を守るのか？（守るべき資産・業務）
2. どこまで守るのか？（優先度と許容できるリスク）
3. そのために、今年はどこまでやるのか？（期間と予算の枠）

Day2・Day3で整理した内容を思い出しながら、この3つの問いに短い言葉で答えてみると、 意思決定ブリーフの「芯」がほぼ出来上がります。

これを起点に、次の「意思決定ブリーフ」に肉付けしていきます。

2. 意思決定ブリーフのひな型と書き方のポイント

取締役会や幹部会で話を進めるには、「話す人によって言うことがバラバラ」ではなく、 1枚の紙（またはスライド）に、論点と提案を整理しておくことが有効です。 ここでは、そのひな型を紹介します。

2-1. Decision Brief（取締役会共有用ひな型）

# Decision Brief（年末サイバーリスク対策）

- テーマ：
  年末・長期休暇に向けたサイバーリスク対策

- 推奨アクション：
  Aランクのリスクについて、最低限の対策方針と予算枠を決定する

- 主要根拠（3点）：
  1. 長期休暇中は攻撃リスクと対応遅延の可能性が高まる
  2. 中小企業・個人事業主もメール・クラウド・端末を通じて攻撃対象となっている
  3. 事後対応より、事前の最低限対策の方がトータルコストを抑えられる可能性が高い

- 財務影響（概算イメージ）：
  事後対応コスト ≒ 復旧費用 + 売上機会損失 + 信用回復コスト
  事前対策コスト ≒ 設定変更・教育・最小限ツール導入費

- リスクと対策（例）：
  ・フィッシング・偽SMS → 注意喚起・教育・二重確認ルール
  ・ランサムウェア       → バックアップ確認・多要素認証
  ・メールなりすまし     → ドメイン認証設定・振込前の電話確認

- タイムライン（四半期）：
  ・今期末までに：Aランクリスクの対策着手
  ・次期Q1：中長期計画の策定

- 担当/RACI：
  ・R（実行）：情報システム担当 or 兼務担当者
  ・A（責任）：経営者・役員
  ・C（相談）：主要取引先、専門ベンダー
  ・I（連絡）：全従業員・主要外注先

- 測定KPI（例）：
  ・多要素認証導入率
  ・教育実施率
  ・インシデント報告件数（早期発見の観点）

- 代替案と棄却理由：
  ・何もしない：長期休暇中のインシデントリスクが高く、得られるものがない

- 次の一手（NBA）：
  次回の役員・幹部会議の議題に「年末サイバーリスク対策」を追加し、
  優先テーマと予算枠を決定する。

2-2. 書き込むときのポイント

• 「3つ」に絞る：根拠やリスクは、できれば3つまでに絞ると議論がしやすくなります。
• 数字は「概算イメージ」でよい：正確な予測より、「どこに影響が出るか」を示すことが大切です。
• 代替案も必ず書く：「何もしない」「先送りする」も選択肢として明示し、なぜ採らないのかを書いておくと納得感が生まれます。

3. よくある反対意見と向き合い方

実際に経営の場で話をすると、次のような反応が出てくることがあります。 どれももっともな懸念ですが、視点を少し変えることで、現実的な着地点を見つけやすくなります。

3-1. 「お金がない」への向き合い方

セキュリティ投資は、直接売上を生まない費用に見えがちです。 しかし、「被害を受けた場合に失うもの」と比較する視点が重要です。

• まずは「無料〜低コストでできる対策」から優先する（設定変更・多要素認証・ルール作りなど）
• ツール導入は、「Aランクリスクに効くもの」に絞る
• 今期は「準備と設計」、来期以降に「本格投資」という段階的な考え方もあり得ます

3-2. 「人がいない」への向き合い方

専任のセキュリティ担当を置くことが難しい場合でも、次のような工夫ができます。

• 役割を明確にする（「兼務でもよいが、誰が担当か」をはっきり決める）
• すべてを自社で抱え込まず、外部の専門家と分担する前提で考える
• 「全員に細かいルール」を求めるのではなく、「必ず守る数個のルール」に絞る

3-3. 「今は忙しい」への向き合い方

忙しい時期こそ、トラブルが起きたときの影響が大きくなります。 「今は忙しいからこそ、最小限の対策だけでも決める」という発想の転換がポイントです。

• 「今年はここまで」と線を引き、やることを減らす
• 経営者が1時間だけ時間を取り、「優先テーマ」と「Next Best Action」を決める
• 実際の設定作業は、後日まとめて実施しても構いません

4. 取締役会・幹部会での進め方の例

最後に、この意思決定ブリーフを使って、取締役会や幹部会でどう話を進めるかの一例をご紹介します。

4-1. 会議前にやっておきたいこと

• Day2〜Day4の内容をもとに、意思決定ブリーフの素案を作っておく
• Aランクリスクと90日ロードマップの概要を1枚にまとめる
• 「何もしない場合」のリスクも、簡単なメモで示せるようにしておく

4-2. 会議の進め方（例）

1. 年末サイバーリスクの全体像を簡単に共有（5分）
2. 意思決定ブリーフをもとに、「守るべき対象」と「優先テーマ」を確認（10分）
3. 「何もしない」「先送りする」場合のリスクを共有（5分）
4. 0〜90日で実施する範囲と、概算予算・担当を決定（15分）
5. 次回会議での進捗報告のタイミングを決める（5分）

4-3. 会議後にやること

• 決まった内容をA4一枚にまとめ、関係者全員に共有する
• 具体的なタスクに落とし込み、担当者・期限を明確にする
• 必要に応じて、外部の専門家やベンダーに相談する

ここまでできれば、「なんとなく不安」の状態から、 「決めるべきことは決めた」という状態に一歩進むことができます。

5. まとめと今日の一歩（Next Best Action）

シリーズ全体の振り返り（5ポイント）

• Day1：年末・長期休暇はサイバーリスクが高まりやすく、中小企業・個人事業主も例外ではないことを確認しました。
• Day2：自社のサイバーリスクを「資産・脅威・弱み」の3つに分けて整理し、Aランクリスクを特定しました。
• Day3：身近な3つの仮想事例から、「どこで防げたか」「何を準備すべきか」をイメージしました。
• Day4：0〜30日・31〜60日・61〜90日の3フェーズで、現実的な90日ロードマップを描きました。
• Day5：これらを1枚の意思決定ブリーフにまとめ、経営として「何を決めるか」を明確にしました。

Next Best Action（今日やることは1つだけ）

次回の役員会・幹部会・経営ミーティングの議題に、
「年末サイバーリスク対策（意思決定ブリーフ案共有）」
を1行追加してください。

議題に載れば、あとは今回のひな型をベースに、 各社の状況に合わせて中身を整えていくだけです。

よくある質問（FAQ）

Q1. 技術的なことがよく分からないのに、経営者が判断してよいのでしょうか？

A. 技術の細部まで理解する必要はありません。 経営者の役割は、「何を守るか」「どのリスクを受け入れるか」「どこに資源を配分するか」を決めることです。 細かな手段は、担当者や外部の専門家と一緒に検討すれば問題ありません。

Q2. うちのような小規模事業でも、ここまでやる必要がありますか？

A. 規模が小さいほど、一つのトラブルが事業全体に与える影響は大きくなりがちです。 すべてを完璧にする必要はありませんが、「Aランクリスクだけは押さえる」という考え方は、 小規模事業者にとっても有効です。

Q3. まずは誰に相談するのがよいでしょうか？

A. すでにお付き合いのあるシステム会社や、信頼できる専門家がいれば、 まずは本シリーズで整理した内容（棚卸し表・90日ロードマップ・ブリーフ案）を見せながら相談してみてください。 それが難しい場合は、公的な相談窓口や、業界団体が提供する支援メニューを確認するのも一つの方法です。

意思決定ブリーフの作成を一緒に進めたい方へ

参考リンク（執筆時の参考情報）

• ServiceNow「サイバーリスクとは何か」
• ソフトバンクビジネスブログ「長期休暇前に確認したいセキュリティのポイント」

※上記は執筆時点で参考にした公開情報です。実際の運用では、最新の公的機関（IPA、総務省、経産省 等）の情報もあわせてご確認ください。