サプライチェーン攻撃の経営報告｜取締役会・KPI・指標・ダッシュボードを解説

2025年12月23日作成

コラム

サプライチェーン攻撃対策の状況を取締役会に報告し、経営層が適切に監督することは、ガバナンスの重要な要素です。しかし、「何を報告すればよいか」「どのような指標で測定すべきか」という疑問も多いでしょう。この記事では、サプライチェーン攻撃対策の経営報告を詳しく解説します。取締役会への報告内容、KPI・指標の設定、ダッシュボードの構築、報告資料のサンプルまで、経営層が監督・モニタリングするための方法を紹介します。

経営報告の重要性

サプライチェーン攻撃を含むサイバーセキュリティ対策の状況を経営層に報告し、適切な監督を受けることは、コーポレートガバナンスの重要な要素です。

コーポレートガバナンス・コードとの関連: 東京証券取引所のコーポレートガバナンス・コードでは、取締役会が適切にリスク管理を監督することを求めています。サイバーセキュリティリスクは、現代の企業にとって重要なリスク領域であり、取締役会の監督対象に含まれます。

取締役の監督責任: 取締役は、会社に対して善管注意義務を負っています。サイバーセキュリティ対策の状況を把握し、適切な監督を行うことは、この義務の一部です。報告を受け、必要な質問を行い、改善を指示することが求められます。

透明性の確保: セキュリティの状況を経営層に透明に報告することで、問題の早期発見・早期対応が可能になります。報告がなされていないと、問題が大きくなるまで気づかないリスクがあります。

経営者は、サイバーセキュリティリスクを経営リスクの一つとして認識し、リーダーシップを発揮して対策を進めることが重要です。取締役会等がサイバーセキュリティ対策を監督することが求められます。
— 出典：経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」

取締役会への報告内容

取締役会にどのような内容を報告すべきか、具体的に整理します。

報告すべき項目

報告カテゴリ	報告内容	報告頻度
リスク状況	脅威動向、自社のリスク評価、主要リスクの状況	四半期
対策状況	対策計画の進捗、投資状況、主要施策の成果	四半期
インシデント状況	発生件数、対応状況、重大インシデントの詳細	都度＋四半期
取引先管理	評価状況、課題、重要取引先のリスク	半期〜年次
コンプライアンス	法規制対応状況、監査結果	年次

リスク状況の報告: 外部の脅威動向（新たな攻撃手法、業界での被害事例など）と、自社のリスク評価結果を報告します。「どのようなリスクにさらされているか」「リスクは増加しているか、減少しているか」を経営層に理解してもらうことが目的です。

対策状況の報告: 計画している対策の進捗状況、投資の執行状況、主要な施策の成果を報告します。「計画通りに進んでいるか」「投資に見合った効果が出ているか」を確認します。

インシデント状況の報告: セキュリティインシデントの発生状況を報告します。重大なインシデントが発生した場合は、臨時で詳細を報告します。定例報告では、発生件数、傾向、対応状況などを報告します。

報告の形式

エグゼクティブサマリーの重要性: 取締役会メンバーは多忙であり、すべての詳細を読み込む時間はありません。報告書の冒頭に**エグゼクティブサマリー**（要約）を配置し、1ページ以内で要点を伝えることが重要です。サマリーには、「現状の評価」「主要なリスク」「必要なアクション」を簡潔に記載します。

詳細資料との使い分け: エグゼクティブサマリーに加えて、詳細資料を添付します。質問があった場合や、より深く理解したいメンバーのために、詳細情報を参照できるようにしておきます。

報告の頻度

定期報告（四半期、年次）: 通常は**四半期に1回**程度の定期報告が推奨されます。年次報告では、年間の総括と次年度計画を報告します。会社の取締役会のスケジュールに合わせて、報告機会を確保します。

臨時報告（インシデント発生時）: 重大なインシデントが発生した場合は、定例を待たずに**臨時報告**を行います。インシデントの概要、影響範囲、対応状況、今後の計画などを報告し、必要に応じて経営判断を仰ぎます。

報告タイミングの判断基準: 臨時報告を行うべき基準を事前に定めておくことが重要です。例えば、「事業停止が発生した場合」「個人情報漏洩が確認された場合」「外部公表が必要な場合」などを基準とします。

KPI・指標の設定

セキュリティ対策の効果を測定するため、適切なKPI（重要業績評価指標）を設定します。

リスク関連指標

重大脆弱性の未対応件数: CVSSスコアが高い（例：7.0以上）脆弱性のうち、パッチが適用されていない件数を追跡します。この数字が減少していれば、リスクが低減していることを示します。

取引先のセキュリティ評価結果: 重要取引先のセキュリティ評価を実施し、評価結果（スコア、リスクレベル）を追跡します。評価が低い取引先の数や、改善傾向を確認します。

リスク評価スコアの推移: 自社全体のセキュリティリスクを評価し、そのスコアの推移を追跡します。リスク評価の手法は複数ありますが、一貫した手法で継続的に測定することが重要です。

対策関連指標

パッチ適用率: 重要なセキュリティパッチの適用状況を測定します。「リリースから○日以内に適用完了した割合」などで追跡します。目標値を設定し、達成状況を確認します。

セキュリティ研修受講率: 従業員のセキュリティ研修の受講状況を測定します。新入社員研修、定期研修、役職者向け研修など、対象別に追跡します。100%を目標とします。

取引先評価実施率: 対象となる取引先のうち、セキュリティ評価を実施した割合を追跡します。重要取引先は100%を目標とします。

対策計画の進捗率: 年度のセキュリティ対策計画に対して、実際に完了した対策の割合を追跡します。四半期ごとに進捗を確認します。

インシデント関連指標

インシデント発生件数: セキュリティインシデントの発生件数を追跡します。重大度別（高・中・低）に分類し、傾向を分析します。

平均対応時間（MTTR）: MTTR（Mean Time To Respond / Recover）は、インシデントを検知してから対応（復旧）が完了するまでの平均時間です。この数字が短縮していれば、対応能力が向上していることを示します。

標的型メール訓練の結果: 標的型メール（フィッシング）訓練を実施し、開封率やクリック率を測定します。継続的に訓練を行い、数字が改善しているかを確認します。

目標値の設定

ベンチマークとの比較: 可能であれば、業界平均やベストプラクティスと比較して目標値を設定します。業界団体の調査やセキュリティベンダーのレポートが参考になります。

段階的な目標設定: 最初から高い目標を設定するのではなく、現状を把握した上で、段階的に目標値を引き上げていきます。例えば、パッチ適用率を現状の70%から、1年後に85%、2年後に95%と段階的に向上させます。

KPI	現状	1年後目標	3年後目標
重大脆弱性の未対応件数	50件	30件	10件以下
パッチ適用率（14日以内）	70%	85%	95%
研修受講率	85%	95%	100%
フィッシング訓練クリック率	15%	10%	5%以下

ダッシュボードの構築

セキュリティの状況を可視化するダッシュボードを構築することで、経営層が直感的に状況を把握できるようになります。

ダッシュボードに含めるべき要素: リスクサマリー（信号機形式での全体評価）、主要KPIの現状と推移グラフ、直近のインシデント情報、対策計画の進捗、取引先管理の状況などを含めます。1画面で全体像を把握できることが重要です。

リアルタイムモニタリング vs 定期レポート: ダッシュボードは、リアルタイムで更新されるものと、定期的に更新されるものがあります。経営層向けには、四半期ごとなどの定期レポートで十分な場合が多いです。リアルタイムモニタリングは、セキュリティ運用チーム向けに活用します。

ツールの活用: セキュリティダッシュボードを構築するツールには、SIEMに付属のダッシュボード機能、BIツール（TableauやPower BIなど）、専用のセキュリティポスチャ管理ツールなどがあります。既存のツールを活用できる場合は、新規導入よりも効率的です。

報告資料のサンプル

経営層向けの報告資料の構成例を示します。

エグゼクティブサマリー（1ページ）: 全体の評価（信号機形式）、主要な発見事項、必要なアクション、前回からの変化を簡潔に記載します。取締役会メンバーが最初に目を通すページです。

リスク状況（1〜2ページ）: 外部の脅威動向、自社のリスク評価結果、主要リスクの詳細を記載します。リスクマトリクスやヒートマップで視覚的に示すと効果的です。

対策状況と進捗（1〜2ページ）: 対策計画の進捗状況、主要施策の成果、投資の執行状況を記載します。計画対比で進捗を示し、遅れがある場合はその理由と対策を説明します。

課題と次のアクション（1ページ）: 認識している課題、次の四半期での重点施策、経営層に求める判断事項（予算承認、方針決定など）を記載します。

監査・監督の観点

社外取締役や監査役が、セキュリティ対策をどのように監督すべきかの観点を示します。

質問すべきポイント: 社外取締役・監査役は、以下のような質問を通じて監督を行います。「主要なリスクは何か、それに対する対策は十分か」「インシデントが発生した場合の対応体制は整っているか」「投資額は妥当か、同業他社と比較してどうか」「取引先のセキュリティ管理は適切に行われているか」

監督責任の果たし方: 監督責任を果たすためには、定期的な報告を受けるだけでなく、能動的に質問を行い、改善を促すことが重要です。また、外部の専門家から意見を聴取することも有効です。

外部監査の活用: 内部の報告だけでなく、外部監査を活用することで、客観的な評価を得ることができます。セキュリティ監査、ペネトレーションテスト、ISMS認証審査などの結果を活用します。

よくある質問

Q: 取締役会への報告頻度はどのくらいが適切ですか？: A: 一般的には四半期に1回程度が推奨されます。ただし、会社の規模や業種、リスク状況によって異なります。重大なインシデントが発生した場合は、定例を待たずに臨時報告を行います。頻度よりも、報告内容の充実と、経営層との対話が重要です。最初は半期に1回から始め、徐々に頻度を上げていくアプローチも有効です。

Q: KPIはいくつ設定すべきですか？: A: 経営報告用のKPIは、5〜10個程度が適切です。多すぎると焦点がぼやけ、少なすぎると全体像が見えません。「リスク」「対策」「インシデント」「取引先」の各領域から、最も重要な指標を選定します。KPIは固定ではなく、状況に応じて見直すことも重要です。

Q: 技術的な内容を経営層に分かりやすく説明するには？: A: 技術的な詳細は省き、ビジネスへの影響という観点で説明することが重要です。「CVSSスコアが高い脆弱性が○件」ではなく、「攻撃されると事業停止につながる脆弱性が○件残っています」と説明します。また、比喩や身近な例えを使うことも効果的です。経営層向けの報告に技術用語は最小限にとどめ、必要な場合は用語集を添付します。

Q: 社外取締役からの質問にどう対応すべきですか？: A: 社外取締役からの質問は、監督機能が働いている証拠であり、前向きに受け止めるべきです。質問に対しては、正直に現状を説明し、課題があれば改善計画とともに報告します。「わからない」場合は持ち帰って調査し、次回報告するのが適切です。また、社外取締役が質問しやすいよう、報告資料に用語解説や補足資料を添付しておくことも有効です。

Q: 悪い状況を報告するのが難しいのですが？: A: 悪い状況こそ、早期に報告することが重要です。隠していて後で発覚した場合、信頼を大きく損ないます。悪い状況を報告する際は、原因分析と改善計画をセットで提示することで、建設的な議論につなげられます。「課題がない」状況の方がむしろ不自然であり、適切に課題を認識し、対策に取り組んでいることを示すことが重要です。

まとめ

サプライチェーン攻撃対策の経営報告について、ポイントを整理します。

経営報告は、取締役会の監督機能を果たすために不可欠である
報告内容はリスク状況、対策状況、インシデント状況、取引先管理を含める
エグゼクティブサマリーで要点を簡潔に伝え、詳細は添付資料とする
KPIは5〜10個程度を設定し、継続的に測定・改善する
ダッシュボードで状況を可視化し、直感的に把握できるようにする
社外取締役・監査役からの質問には前向きに対応する
悪い状況こそ早期に報告し、改善計画とセットで提示する

次に、インシデント発生時の対応について、サプライチェーン攻撃の危機管理｜広報・公表判断・ステークホルダー対応で詳しく解説しています。

ガバナンス体制については、サプライチェーン攻撃のガバナンス設計｜CISO体制と役割分担で解説しています。

経営者向けの他のトピックは、サプライチェーン攻撃と経営｜リスク・ガバナンス・投資判断からご覧いただけます。サプライチェーン攻撃の全体像は、サプライチェーン攻撃とは｜仕組み・事例・対策を初心者にもわかりやすく解説で解説しています。

サプライチェーン攻撃完全ガイドナビゲーション

総合ガイド

サプライチェーン攻撃とは【総合ガイド】

目的別に探す

役職・立場別に探す

経営者・役員向け（現在のカテゴリ）
中小企業向け
技術者・開発者向け

業種別に探す

業種別対策一覧

重要なお知らせ

本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません。
実際にサイバー攻撃の被害に遭われた場合は、警察（#9110）やIPA（03-5978-7509）などの公的機関にご相談ください。
法的な対応が必要な場合は、弁護士などの専門家にご相談ください。
記載内容は作成時点の情報であり、攻撃手法は日々進化している可能性があります。

更新履歴

2025年12月23日: 初稿公開

サプライチェーン攻撃の経営報告｜取締役会・KPI・指標・ダッシュボードを解説