セキュリティ軽視でIPO延期……　そのとき情シスは何ができたのか？：セキュリティ担当者生存戦略

　しかしITやセキュリティへの投資は、多くの企業で「販売管理費」として計上され、収益には直結しない“必要経費”として認識されています。この認識は大きな経営リスクを見逃す発想です。筆者はこれまで、さまざまな企業の情シス支援や経営層との会話をしてきましたが、その中で「セキュリティ投資を渋った結果、手遅れになった」ケースを何度も見てきました。そのうちの幾つかを紹介しましょう。

事例1．「一度も被害に遭っていないから不要」と言い続けた企業

　以前、IT業界の従業員500人規模の企業にEDR（Endpoint Detection and Response）製品の導入を提案したとき、「当社はこれまで一度もウイルス感染の被害に遭ったことがない」との理由で導入を却下されたことがありました。

　しかし数カ月後、その企業は標的型攻撃によってクライアントPCがマルウェアに感染してしまいました。幸い、情報漏えいには至りませんでしたが、復旧と再発防止の対応に1000万円以上のコストがかかり、主要顧客からは「なぜ検知できなかったのか」「未然に防ごうとしなかったのか」と厳しく追及されていました。

　その企業は最終的に、導入を渋っていたEDR製品を含めたセキュリティ対策を講じなければならなくなりましたが、「事故によって要したコストは当初提案いただいた導入額の約3倍でした」と悔やまれていたのが印象的でした。

事例2．「費用対効果が見えにくいから後回しに」とIPO直前まで先送りした企業

　あるスタートアップでは、IPO準備に入ってから慌ててIT統制を実施しましたが、経営者のIT統制に対する意識が低く、全く整備が進みませんでした。ISMS（情報セキュリティマネジメントシステム）認証の取得も、途中で断念せざるを得なかったそうです。同時に情シス体制を整え始めましたが、限られた期間やリソースでの体制構築は想像以上に困難で、監査法人、証券会社からの指摘が相次ぎ、結果的にIPOのスケジュールは延期されました。

　IPO延期は資金調達にも影響し、経営者は「もっと早く投資判断していれば、ここまで損失を出さずに済んだ」と反省していました。セキュリティ投資は“後からやればいい”ものではないという、非常に示唆的な事例だといえるでしょう。

セキュリティ投資を惜しんだ結果、思った以上の損失が……

　このようにセキュリティ投資を単なるコストと見なすと、「投資を惜しんだことで、数倍の損失が生まれる」構図に陥るケースが非常に多いです。損失につながった例を幾つか見ていきましょう。

株価や信用への重大な影響

　セキュリティインシデントが発生して最も大きなダメージを受けるのは、企業がこれまで長期間をかけて培ってきた自社に対する外部からの「信用」です。「信用」は可視化しにくい資産ですが、対外的には極めてセンシティブで、株価という形で即座に表面化します。

　実際、上場企業において重大な情報漏えいが発覚したとき、株価が10〜20％下落し、信頼回復までに年単位の時間を要するケースは珍しくありません。一度失った信用は回復にコストも時間もかかります。こうしたリスクをしっかりと認識すべきであり、軽視してはいけません。

インシデント対応に伴う多大なコストと副次的影響

　セキュリティインシデントが発生すると対応に要するコストは極めて高額です。例えば以下のようなものがあります。

　これらは全てインシデント発生時に「直ちに・確実に」発生するコストであり、最終的に数億円単位の損失を生むこともあります。また、社内のモチベーション低下や、離職リスクの増加といった副次的な影響も無視できません。

平時のセキュリティ投資とのコスト比較

　SOCの運用コストが年間1000万〜3000万円だったとします。一見すると高額ですが、前述のようなインシデント対応に要する費用（数億円）や、ブランドや信頼の回復にかかる時間的コストを考慮すれば「保険」としてはむしろ安価です。

　さらにセキュリティインシデントが原因で大手企業との取引停止や入札失格になるリスクもあることから、「備え」はもはや“コストを抑える施策”ではなく“収益を守る施策”として捉えるべきです。

「セキュリティは利益を生まない」という誤解を払拭せよ

　「セキュリティは利益を生まない」と思われがちですが、それは視点が固定化されているからです。

　セキュリティがもたらすのは、信用や契約（売上）、ブランド価値といった“非連続的に毀損される無形資産の保護”です。これらを守ることは、営業活動や採用活動等の企業活動の信頼を維持し、企業全体の成長を支える“土台”になります。「収益に直結しないから販管費」という発想ではなく“失えば致命的な価値”を守るための投資であるという観点に切り替える必要があります。

　特に上場企業やIPO準備企業にとって、セキュリティは「対策しておいた方がいい」ものではなく「対策しなければならない」ものです。

　これらは監査法人や取引先からの説明要求にも直結しており、セキュリティ対策の有無が取引継続や上場承認に影響することすらあります。

　筆者が伝えたいのは、情シス部門やCIO（最高情報責任者）は単なる守備部隊ではなく、企業の売上や成長に直接的に貢献する存在であるということです。セキュリティやITへの投資を通じて、企業は次のような経営における利益を得られます。

　これらは単なる“守り”ではなく、営業活動と同じく会社の利益を生み出すための重要な活動です。情シスの成果は目に見えにくいかもしれませんが、実際には企業の利益を守る最前線に立っています。

　セキュリティはコストではなく「企業の利益の土台」を支える戦略的投資です。一度失った信頼や契約機会はいくら現場が努力しても、簡単には取り戻せません。だからこそ情シスやCIOは経営層に対して“信用・契約（売上）、ブランド価値”をどう支えているのかをロジカルに語れる存在であるべきです。

　われわれは単なる技術者でも業務改善の裏方でもありません。経営と現場を橋渡しするパートナーとして、“攻め”と“守り”の両面を理解し、ITの活用とセキュリティ対策に取り組むことの価値をさらに引き上げていく必要があると考えています。

　次回は、ITやセキュリティ投資の価値を経営層に理解してもらい、納得の上で意思決定してもらうための具体的なアプローチをお伝えします。「どう伝えるか」に悩む情シスやCIOの方々にとって、実践的なヒントとなれば幸いです。