はじめに：不安を「表」にしてしまえば、対策はラクになる

「サイバーリスクへの備えが大事」と言われても、実際には「何がリスクかよく分からない」「ニュースは見るが、自社にどう当てはめればいいのか分からない」と感じる方も多いと思います。 そのままでは、漠然とした不安だけが残り、「忙しいからまた今度でいいか」と対策が先送りになってしまいがちです。

そこで今回は、複雑な専門用語は使わずに、自社のサイバーリスクを 「守るべきもの（資産）」「どんな危険があるか（脅威）」「どこが弱いか（弱み）」の3つに分けて整理する方法をご紹介します。 これは海外でもよく使われる考え方ですが、難しい数字は一切使わず、「ざっくりABC」で構いません。

Day2のゴールは、「自社のサイバーリスクを一枚の表にできた状態」にすることです。 完成度は70％で大丈夫です。表にするだけでも、何から手をつければよいかが、かなり見えやすくなります。

1. サイバーリスクとは何か（やさしい定義）

まず、「サイバーリスクとは何か」を、できるだけシンプルな言葉で押さえておきます。

ここでは、 「ITまわりのトラブルが原因で、仕事やお金、信頼に悪い影響が出る可能性」 と考えてください。

• コンピュータやスマホがウイルスに感染する
• メールやクラウドサービスのアカウントを乗っ取られる
• 設定ミスや操作ミスで、大事なデータを消してしまう
• インターネットバンキングなどの情報を盗まれる

こうしたことが起きた結果、 「売上が止まる」「お金をだまし取られる」「顧客や取引先の信頼を失う」などの 影響が出る可能性がサイバーリスクです。

大事なのは、「攻撃だけがリスクではない」という点です。 ヒューマンエラー（人のミス）や設定ミスもふくめて、 「ITまわりで仕事に悪影響が出る可能性」をまとめて見ていきます。

2. ステップ1：守るべき「資産」を書き出す

いきなり「リスクは何か？」と考えると、範囲が広すぎてまとまりません。 そこで第一歩として、 「何を守りたいのか（資産）」 から考えます。

「資産」とは、ITに関わる「大事なもの」全般

ここでいう資産は、お金や建物だけではありません。ITに関わる次のようなものも含まれます。

• 顧客リスト（名前・住所・メールアドレスなど）
• 売上・請求・仕入れなどのデータ
• 給与・賞与、従業員の人事情報
• インターネットバンキングやクレジットカード情報
• ECサイトや予約サイト、受発注システム
• 見積書・契約書・設計図など、業務に必要なファイル
• 会社用のメールアドレスやチャットツール

年末に特に使うものに印をつける

書き出した資産の中で、 「年末〜年始に特に使うもの」にマークをつけてみてください。 たとえば次のようなものです。

• 請求書発行に使うシステムやファイル
• 賞与計算や年末調整に関わるデータ
• 年末セールのECサイト・キャンペーンページ
• 棚卸しや在庫管理に使うシステム

これらは、「年末に止まると特に困る資産」です。 Day1で考えた「年末に止まると一番困る業務」ともつながります。

簡単な表のフォーマット例

紙やExcelで、次のような表を作ると整理しやすくなります。

【資産一覧（例）】
------------------------------------------------
資産名          年末に重要か   備考
------------------------------------------------
顧客リスト      ◎             DM・メール配信用
売上・請求データ ◎             請求書発行に必要
インターネットバンキング ◎     支払い・入金確認
ECサイト        ○             年末セールを予定
社内共有フォルダ ○             納品データあり
…

ここではまだ「リスク」は考えず、一旦「守るべきもの」を出し切ることが目的です。

3. ステップ2：「脅威」と「弱み」を小さく分けて考える

守るべき資産が見えてきたら、次は 「どんな危険がありそうか（脅威）」と、 「自社のどこが弱いか（弱み）」を考えます。

「脅威」＝起こりうる出来事のイメージ

脅威は、「何が起きそうか」を表す言葉です。たとえば次のようなものがあります。

• フィッシングメールや偽SMSから、ID・パスワードを盗まれる
• 不審な添付ファイルやリンクから、ウイルス・ランサムウェアに感染する
• ノートPCやスマホの盗難・紛失
• クラウドストレージの共有設定ミスで、他人に見えてしまう
• 退職者のアカウントが残ったままで、不正利用される

ここでは、「専門的に正しい分類」よりも、 自社でありえそうな状況を、日本語でそのまま書き出すことが大切です。

「弱み」＝自社の守りが甘くなっているポイント

弱みは、「攻撃やミスが起きたときに、被害が広がりやすいところ」です。 たとえば次のようなものがよく見られます。

• 同じパスワードを複数のサービスで使い回している
• パスワードを紙やExcelに書いて共有している
• 多要素認証（ログイン時にもう1段階の確認）が設定されていない
• 共有アカウント（誰でも使えるID）を複数人で使っている
• バックアップはしているが、復元テストをしたことがない
• 長く使っていないクラウドサービスのアカウントが残っている

「資産 × 脅威 × 弱み」でセットにしてみる

次に、ステップ1の「資産」と、今の「脅威」「弱み」を組み合わせてみます。 たとえば次のようなイメージです。

【例】
資産：インターネットバンキング
脅威：偽メール・偽サイトにIDとパスワードを入力してしまう
弱み：ワンタイムパスワードなどの追加認証を設定していない

こうして「資産」「脅威」「弱み」がセットになると、 「どこを直せばリスクが下がるか」が見えやすくなります。

4. ステップ3：簡易マトリクスで優先順位を決める

最後に、書き出した「資産 × 脅威 × 弱み」に、 ざっくりと優先順位をつけていきます。 ここでも難しい数字は使いません。

「起こりやすさ × 起きたら困る度」の2軸で考える

それぞれの組み合わせについて、次の2つを考えてみてください。

• 起こりやすさ：よくありそうかどうか
• 起きたら困る度：実際に起きた場合の影響の大きさ

それぞれを「高・中・低」や「3・2・1」のようにざっくり評価し、 2つの掛け合わせで、優先度A〜Cを決めます。

【優先度の目安】
Aランク：起こりやすさも困る度も高い
Bランク：どちらか一方が高い
Cランク：どちらもそれほど高くない

表のサンプル

イメージとしては、次のような表になります。

【サイバーリスク簡易マトリクス（例）】
---------------------------------------------------------------------------------
資産                脅威                     弱み                 優先度
---------------------------------------------------------------------------------
インターネットバンキング 偽メールにIDを入力       多要素認証なし       A
顧客リスト              端末の紛失・盗難         端末の暗号化なし     A
ECサイト                ランサムウェア感染       バックアップ未確認   B
社内共有フォルダ        共有リンクの設定ミス     権限の整理が未実施   B
…

「Aランクだけを年末までの対象」にする

ここまで来ると、 「すべてに対策する」のではなく、 「Aランクだけを年末までの対策対象にする」 という考え方ができるようになります。

すべてを一度に変えるのは現実的ではありませんが、「Aランクだけ」に絞れば、 限られた時間と人手でも、具体的なアクションを検討できます。 Day3、Day4では、このAランクを中心に、事例や90日ロードマップの形で見ていきます。

5. まとめと今日の一歩（Next Best Action）

この記事のまとめ（5ポイント）

• サイバーリスクは「ITトラブルで仕事やお金に悪影響が出る可能性」と考えられます。
• まずは「守るべき資産」を書き出し、年末に特に重要なものに印をつけることが出発点です。
• 次に、「どんな出来事（脅威）」と「どんな弱み」があるかを、日本語で素直に書き出します。
• 「起こりやすさ × 起きたら困る度」でA〜Cの優先度をつけると、焦点が絞れます。
• Aランクだけを「年末までに考える対策」として扱えば、現実的に動きやすくなります。

Next Best Action（今日やることは2つだけ）

1. 「資産・脅威・弱み・優先度（A〜C）」の4列をもつ表を、紙かExcelで1枚作ってください。
2. とくに気になるものにAランクをつけ、Aにマークがついた行に★印を付けておいてください。 これが、今後の対策検討の「優先リスト」になります。

よくある質問（FAQ）

Q1. 専門知識がないと、サイバーリスクの棚卸しは難しくありませんか？

A. ここでご紹介した方法は、あくまで「簡易版」です。正確な数値を出すことが目的ではなく、 「どこにどんな不安があるか」を見える化することが目的です。 感覚的なABC評価で十分ですし、迷ったら一度A寄りにしておくぐらいで問題ありません。

Q2. クラウドサービスに任せておけば安心ではないのですか？

A. クラウド側のセキュリティは日に日に強化されていますが、 「弱いパスワード」「共有設定ミス」「退職者アカウントの放置」など、 利用する側の設定や運用に弱みがあると、そこから攻撃や事故が起きる可能性があります。 そのため、「自社側の弱み」を棚卸しすることがとても重要です。

Q3. どのくらい細かく書き出せばよいですか？

A. 最初から完璧を目指す必要はありません。 「年末に止まると困るもの」「お金や信頼に直結しそうなもの」から書き始め、 少しずつ行を足していけば大丈夫です。毎年、年末前に表を見直すつもりでいれば、 少しずつ精度は上がっていきます。

棚卸しのシート作成をサポートしてほしい方へ

参考リンク（執筆時の参考情報）

• ServiceNow「サイバーリスクとは何か」
• ソフトバンクビジネスブログ「長期休暇前に確認したいセキュリティのポイント」

※上記は執筆時点で参考にした公開情報です。実際の運用では、最新の公的機関（IPA、総務省、経産省 等）の情報もあわせてご確認ください。