1.はじめに
5日目では、手元資金の「生存月数」を軸に、為替や金利の揺らぎがキャッシュフローをどう破壊するかを論じました。地政学ショックは、単に原価や物流を直撃するだけでなく「お金の出入りのスピード」を根本から狂わせる装置であることを確認しました。
今日は、その「時間」を買うための最後の防波堤であるデジタル領域に入ります。
2日目で物流の単一故障点を、3日目で原価の変動幅を、4日目で調達の80:20分散を、
5日目で資金の生存月数を設計してきました。 これらすべてが、デジタルインフラが止まった瞬間に意味を失う可能性がある—それが今日の現実です。
ブログでは、noteで触れた「三つの問い」を、ITに詳しくない中小企業の経営者が、「明日から自社で確認・指示できる」レベルまで落とします。技術の話は最小限にし、経営者として「何を確認し、何を指示すべきか」に徹します。
0.甘い前提が一番危ない—三つの典型的な思い込み
多くの方が無意識に持っている前提が、実は最も危険な単一故障点になっています。
まず、「うちは小さい会社だから狙われない」という思い込み。 これは1日目で扱った「地政学は大企業の話でしょう?」と全く同じ構造です。実際には逆で、中小企業こそがサイバー攻撃の格好の標的になっています。理由はシンプルです。大企業はセキュリティ投資を重ねて城壁を厚くしているのに対し、中小企業は対策が手薄だからです。
攻撃者にとっては、堅固な正面玄関を破るより、裏口である中小企業を経由して大企業に侵入する方が、効率的です。これを、「サプライチェーン攻撃」と呼びます。あなたの会社が狙われるのは、あなたのデータが欲しいからではなく、あなたが取引している、大企業への「入口」として利用されるからです。製造業であれば、部品設計データを預かっている下請け企業が狙われ、飲食業であればPOSシステムや予約管理システムが、建設業であれば図面共有ツールが、サービス業であれば顧客管理(CRM)システムが踏み台にされるケースが急増しています。
次に、「クラウドだから安心」という思い込みです。 「雲の上」という、言葉の印象が強いため、データがどこにあるのかを意識しなくなります。しかし、クラウド上のデータは、実際には世界のどこかにある物理的なサーバーの中に格納されています。そのサーバーは特定の国の領土の上にあり、その国の法律の管轄下にあります。米国企業が提供するクラウドサービスの場合、たとえデータセンターが日本にあっても、米国のCLOUD Act(クラウド法)により、米国当局がデータにアクセスできる法的根拠を持つ可能性が指摘されています。経営者が「どの国の建物に自分の重要なデータが入っているか」を知らないまま使っている状態は、自社の資産の一部を知らない国の法律に委ねているのと同じです。
三つ目は、「ITは担当者に任せてあるから大丈夫」という思い込み。 中小企業では、従業員が個人の判断でさまざまなクラウドサービスを導入し、経営者がその一覧すら把握していない「シャドーIT」が日常的に起きています。製造業の技術者が勝手に設計データを海外クラウドに上げている、飲食店の店長が予約管理アプリを無料サービスで入れている、建設業の現場監督が図面共有に海外ツールを使っている—こうしたケースで、経営者が名前すら知らないサービスが、会社の重要なデータを預かっているというのが実態です。IT担当者に任せているつもりでも、「何を任せているか」を経営者が把握していなければ、それは「任せている」のではなく、「放置している」のと同じです。
これらの前提が危険な理由は、すべて、2日目で扱った「単一故障点」の構造と同じだからです。一箇所が破られると物流・原価・資金のすべてに波及し、5日目で計算した生存月数が一気にゼロに近づきます。
1.ステップ1:デジタル資産の棚卸し—まずは「何を使っているか」を把握する
デジタル防衛の第一歩は、技術的な対策ではなく「把握」です。 経営者が自社で使っているクラウドサービスや業務システムを一覧化するだけで、防衛レベルは「ゼロ」から「1」に上がります。
以下のシンプルな表を、IT担当者(または外部ベンダー)に渡して、一つずつ埋めてもらいましょう。経営者自身がすべて調べる必要はありません。「この表を埋めて、来週の経営会議までに提出してほしい」と指示するだけで十分です。
| サービス名 | 用途(何に使っているか) | 保存データの主な種類 | 提供元の国 | データセンター所在国(分かれば) | バックアップの有無 |
| (例)Google Workspace | メール・ドキュメント共有 | 顧客リスト、契約書 | 米国 | 不明 | なし |
| (例)freee会計 | 会計処理 | 財務データ | 日本 | 日本 | あり |
製造業であれば、CADデータや生産管理システムが入るはずです。飲食業であればPOSデータや予約管理アプリ、建設業であれば図面管理ツールや工程管理アプリ、サービス業であれば顧客管理(CRM)や会計ソフトが該当します。 「え、そんなの知らない」という反応が普通です。それでいいのです。知らない状態を「知らないまま」にしておくことが危険なのです。まずは一覧化するだけで、4日目で扱った「依存度30%超の赤塗り」と同じ効果が生まれます。
2.ステップ2:止まったら何日もつか—デジタル版・生存日数のシミュレーション
次に、5日目の「生存月数」と同じ発想で「システム停止時の生存日数」を考えてみましょう。 基幹システム(受発注、在庫管理、会計、メールなど)がすべて使えなくなった場合、紙と電話と手作業だけで何日間事業を回せますか。
- 製造業の場合:生産管理システムが止まると、部品発注が滞り、数日でラインが止まる。代替手段は電話とFAX中心になるが、在庫の正確な把握ができず、過剰生産や欠品が連鎖する。
- 飲食業の場合:POSや予約システムが止まると、即時売上がほぼゼロになる。手書き伝票で対応可能でも、食材発注や在庫管理が追いつかず、廃棄ロスが増大する。
- 建設業の場合:図面共有ツールが止まると、現場と事務所の連携が崩れ、工程遅延が発生。代替は紙図面と電話になるが、変更指示のミスが増え、信用失墜につながる。
- サービス業の場合:顧客管理システムが止まると、新規受注やフォローアップが滞り、数日で売上機会を失う。
「1日も無理」という結果が出たら、それはデジタルインフラがあなたの会社の単一故障点になっている証拠です。2日目の物流チョークポイントと同じ構造で、ここが破られると、資金繰り(5日目)や信用(アクセス30%)に直撃します。
3.ステップ3:最低限の防衛線—明日からできる三つの行動
完璧なセキュリティ対策は不要です。4日目の「20%の芽の投資」と同じ発想で、最も止まっては困る部分にだけ「最小限の冗長性」を持たせましょう。
(1)最も重要なデータ3つを選んで、別の場所にも保存する
顧客情報、設計データ、財務資料など、会社が止まる3つのデータを決めてください。クラウドとは別の場所(外付けハードディスクや別のクラウドサービス)にも週1回以上コピーする。これを「デジタルのセカンドソース」と考えます。平時には「無駄なコスト」に見えますが、有事には事業を止めない保険になります。製造業であればCADデータを、飲食業であれば顧客予約データを、建設業であれば重要図面を対象にすると現実的です。
(2)多要素認証(ログイン時にスマホで確認コードを入力する仕組み)を入れる
多くのサービスで無料で設定可能です。「password123」のような単純なパスワードが未だに使われている中小企業は少なくありません。これを入れるだけで、不正アクセスのリスクは大幅に下がります。IT担当者に「主要なクラウドサービスすべてに多要素認証を設定してほしい」と指示してください。多くの場合、短時間で設定できます。
(3)システムが止まったときの1枚の手順書を作る
完璧なマニュアルは不要です。A4一枚に以下の3点をまとめるだけで十分です。 ・まず誰に連絡するか(IT担当者・外部ベンダー・警察・取引先) ・顧客への一次連絡の文面例 ・紙と電話での代替業務の簡単な流れ
この手順書を印刷して机に貼っておくだけで、有事の空白時間が劇的に縮まります。
これは、1日目のIf-Then思想のデジタル版です。
全部を完璧にやろうとしなくていいのです。上記3つのうち、1つでも今週中に着手すれば、あなたの会社のデジタル防衛は「ゼロ」から「1」になります。
【今日のOSアップデート(宿題)】
利用中のクラウドサービスを1つだけ選び、IT担当者(またはサービスの問い合わせ窓口)に以下の2点を確認してください。
(1)そのサービスのデータセンターは、主にどの国にあるか
(2)重要なデータのバックアップは自動で取れているか、取れていない場合はどうすればいいか
IT担当者がいないならば、自分で電話して聞くだけです。これをやるだけで、6日目の目的は半分以上達成されます。
【次回予告】
明日はいよいよ最終回、7日目です。 これまで7日間で設計してきたすべてのOS(入力ポート・チョークポイント・原価OS・多極化・資金繰りOS・デジタル防衛)を一枚のシートに統合し、「世界がどう動いても即死しない、10年継戦OS」を完成させます。年次で更新する「地政学決算」の儀式も設計します。
【ご案内】
デジタル資産の棚卸しを一緒にやりたい、取引先からセキュリティ対策の確認を求められたがどう対応すればいいかわからない、最低限の防衛線をどこまで整えればいいか判断がつかない—そんな方は、伴走型支援をご検討ください。
私は経営者の意思決定と実行を、伴走型で支援しています。
「自社のデジタルインフラの脆弱性を棚卸ししたい」
「取引先からセキュリティ対策の確認を求められたが、何から手をつけていいかわからない」
「デジタル面での最低限の防衛線を設計したい」
という方は、まずはお気軽にお問い合わせください。
ご相談をご希望の方は、お問い合わせフォームよりお申込みください。
※対象:原則として、設立3年以上(最低2年以上)・従業員10名以上(5名程度から応相談)の法人様とさせていただいております。(初回1時間無料)
