サイバーインシデントにより実害が生じたことをきっかけとして、事業リスクとしてのサイバーセキュリティの重要性への認識や、インシデントの再発防止策としてのセキュリティ対策を進めるのではなく、経営・サステナビリティの観点からサイバーBCPの検討や同BCPに基づく経営層向けのサイバー訓練等を通じて経営層に重要性を認識してもらうことで、対外公表を含めて理想とするインシデント対応の姿から必要なサイバーセキュリティ対策を逆算するアプローチについて紹介する。