本レポートは、工場セキュリティ対策を事業継続とレピュテーションの観点から経営リスクとして捉えて解説するシリーズ連載です。
今なぜ工場セキュリティを考えるべきなのか。第2回では、サイバー攻撃による工場の生産停止でサプライチェーンが中断。企業の経営に大きなインパクトを与えるサイバー攻撃に対する事業継続について説明しました。第3回となる本稿では、サイバー攻撃による工場の生産への影響だけでなく、経営リスクとして考慮すべきレピュテーションの問題を取り上げます。
事実無根の噂や誹謗中傷、風評被害。企業の社会的信頼やブランド価値を一瞬で失墜させるレピュテーションリスクは、経営に大きな影響を及ぼします。社内における不祥事、不正の隠蔽、内部告発、消費者からの苦情など、対処を誤れば、製品やサービス、そして法人そのものに大きなダメージを与えかねません。
もちろんOTのセキュリティについても、レピュテーションリスクと無縁ではないのです。些細なセキュリティインシデントだと軽く見ていたら、とんでもない事態に発展することがあるからです。
直接的な被害がなくても
「工場でサイバー攻撃を受けましたが、生産への影響や情報の漏洩等ありません」。このように、正直に事実を公表したとします。しかし、今までと変わりなく取引先との関係が保てるでしょうか。レピュテーションリスクが恐ろしいのは、人や組織の心に変化をもたらすことなのです。
身近な例として、高額商品の購入を想像してみてください。確かにモノ自体の品質の良さも重要でしょう。しかし、どの商品を選ぶかは、世間の評判や口コミ情報に大きく左右されないでしょうか。
近年のマーケティングでは、より心理学の重要性が高まっています。経済学では「合理的な行動」が前提でしたが、最近話題の行動経済学では「非合理的な行動」が前提です。経済は、人の感情、直観、過去の記憶などで動く。もちろんマクロ・ミクロ経済に限らず、われわれのビジネス環境でも同じです。
レピュテーションには、そうした人や組織が持つ心理的な側面が関係します。必ずしも、合理的、論理的、客観的だから正しいとは言えません。数値として直接測れないもの(イメージ)への考慮が必要なのです。
セキュリティによる風評被害
グローバル化したビジネス競争の手段として、サイバー攻撃が用いられます。第2回では、そのようなサプライチェーンへの影響を説明しました。ですが、実際には工場を止めてサプライチェーンを中断しなくても、ターゲット企業に大きなインパクトを与えることができる。それが、レピュテーションなのです。
攻撃者は、サイバー攻撃で(ここでは架空の)A社の工場にちょっとしたインシデントを起こします。重大なセキュリティ事故ではありません。その後、業界に密告を始めます。「A社の工場でセキュリティ事故があったようですよ…」。そのような悪い噂話は誇張され、事実無根の内容であっという間に広がります。
A社の取引先は、悪い噂話にとても敏感に反応します。なぜなら、新製品のスペックや図面情報などをA社と共有することが多いからです。取引先はA社に問い合わせます。「ちょっとセキュリティの件で、良くない話を耳にしたんだけど…」。
A社は事実関係を説明します。「確かに工場でサイバー攻撃を受けました。しかし、情報の漏洩等がないのはもちろん、生産への影響もありません」。
それでも取引先の心配は尽きません。「何か隠していないだろうか…」、「以前から情報の取り扱いが気になっていたし…」。こうして取引先は調達ルートの変更を検討し、その結果A社は競合他社に顧客を奪われてしまうのです。
株価へのインパクト
一時期、フェイクニュースが世間を騒がせましたが、フェイクニュースのごとく、先ほどの悪い噂話がマスメディアに取り上げられたらどうなるでしょうか?まさかと思うかもしれませんが、実際に、新聞記事となったケースもあるのです。
そのような事態を想像してみます。まず、取引先からの問合わせで、会社の電話は朝から鳴りっぱなしになるでしょう。管轄の官公庁から状況確認の連絡が入ることも考えられます。懸命に事実を説明すればするほど、言い訳のように聞こえてしまいます。誰が悪いわけでもないのですが、社内では責任の擦り付けが始まり、もう収拾がつかない状況となってしまうかもしれません。
そして追い討ちをかけるように株価への影響が出始めます。株式市場に上場していた場合、寄り付きから下げが続き、多少持ち直しをするかもしれませんが、想定外の下げ幅となってしまう可能性は否めません。
ここまで物語風に説明をしましたが、経営リスクとして実感していただけたでしょうか。OTセキュリティに関わるインシデントが、このようなインパクトにつながる。決して大げさに話しているわけではありません。
第4回は、このテーマのまとめ(最終回)です。今後、経営サイドとして、OTのセキュリティ対策をどのように推進していくべきか。求められるリーダーシップについて解説します。
執筆者
KPMGコンサルティング
顧問 福田 敏博 ※掲載当時
経営リスクで考える工場セキュリティ対策の重要性
関連リンク
工場セキュリティに関するシリーズ連載です。それぞれ第1回にリンクします。2回目以降はリンク先からご覧いただけます。
- いまさら聞けない工場セキュリティの基本(全4回)
- 管理視点で考える工場セキュリティの勘どころ(全3回)
- 国際標準を読み解く IEC 62443の本質(全4回)