たとえば中堅製造業のDXセキュリティ担当がいきなり社長にプレゼンするような物語：事例で学ぶ製造業DXセキュリティ対策入門（5）（2/4 ページ）

[佐々木弘志，MONOist]

※本記事はアフィリエイトプログラムによる収益を得ています

社長の胃がピンチ!?

ありがとうございます。次のページは、先ほど紹介したセキュリティ脅威が、わが社で現実化した場合に発生する被害額について記載しています。

なるほど、この被害総額20億円というのは、なかなかシビアな数字ですが、どれくらい確度のある数字なのですか？

はい、もちろん概算ではあるのですが、現状の対策状況ですと、コンピュータウイルス感染が工場全体に広がってしまう恐れがあるのと、復旧手順が明確でないなどの理由で、少なくとも5日間は工場が停止していまいます。

え！　5日も止まるのですか？　それは困ります。それでは、対外的に発表せざるを得ないですね。

　やっぱり、リスクを具体的な金額に落とし込むのは大事だなぁ。課長のアドバイス通り、多少の不確定要素があっても見積もっておいてよかった。

はい、そうです。この概算に含まれているのは、生産停止による機会損失と、システム復旧費用、事故調査費用などの直接的な被害のみです。

では、事故発生による企業の信用や評判の低下リスク、株価への影響は含まれていないと。

はい。加えて、社長が記者会見でマスコミからいじめられたせいで、胃に穴があくリスクも含まれていません。

アッハッハッハ。いや、笑い事じゃありませんが、確かにそれは重大リスクです。

あと、さまざまな部署の社員が事故対応に取られる工数も含まれていません。ですので、会社への影響という意味では、20億円は最低限の数字だと考えておいていただければと思います。

うーん。なるほど。とはいえ、このような事故は、そう簡単に起こるものではないですよね。例えば、隕石が降ってくるとか、交通事故に遭うとか、どれくらいの確率だと考えておけばよいのでしょうか。あんまり確率が低いようだと、役員会は割れるかもしれませんね。

　予想通りの質問に少しホッとする。経営者は、限られた経営資源の中で、他のリスク対応との優先順位をつける必要があるから、リスクがあるからと言ってホイホイと決裁できるわけではない。ここの説明は勝負所だな。

確かに、自然災害のような他のリスクと比べると、まだまだ確率的には低いかもしれません。ただ、今回のセキュリティ対策を実施することで、発生リスクを抑えるだけでなく、仮に事故が起こったとしても、被害を約8億円以下に抑えることができます。

予防効果だけでなく、発生後の被害抑制の対策も含むということですか。そういえば、青井さん、この工場DXプロジェクトって、いくらかかるのでしょうか？

はい、それは、最後のまとめのページに、対策を実施することで、低減されるリスクとともにまとめてあります。

どれどれ。最後のページね。