決算資料から読み解くサイバー攻撃被害の実態は? 1社当たり2億円超、数十億円規模に至る大きな影響も:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
モノ、仕組み、人という3つの観点からの対策を
続けて中村氏は、「どうするかといえば、やはり対策を取るしかありません」と述べ、対策のポイントを紹介した。
「まず、現状を理解することが重要です。実は万全な状態のシステムは少なく、脆弱性が存在するソフトウェアがそのまま使われていたりします。パスワードを初期設定のまま放置していたり、誰でも推測できるようなものを設定したりしていることもあります。サイバー攻撃を実行する人間はそういった部分を見つけます」(中村氏)
システムの状況を把握した上で適切に手を打つとともに、万一被害が発生した際にどうするか、常日頃から考え、構えを用意しておくべきだという。
中村氏は、「モノ」「仕組み」「人」の3つに分類して具体的な対策を紹介した。
モノというのは、いわゆるITツールやサービスの導入だ。ウイルスやマルウェアの侵入を防止し、仮に入られてもすぐ検知できるEDRにはじまり、ログ監視、資産管理、ASMによる脆弱性管理といった項目が挙げられる。全ての対策に投資できるのは簡単ではないため、ビジネスの進め方やリスクマネジメントの考え方を踏まえて取り組むべきだとした。
特にランサムウェア対策で重要なものとしてはバックアップが挙げられる。「1つだけでなく多重でバックアップを取る、異なるメディアに保存するなど、いろいろな形でいようにしていくというのも1つの手でしょう。1度書き込んだら自分たちでも上書きできない『イミュータブルバックアップ』と呼ばれる仕組みを使うことで、被害を抑えることができるでしょう」(中村氏)
2つ目の仕組みとは、組織体制や規程類の整備・見直しだ。「モノを入れても、使いこなせなければ宝の持ち腐れになってしまいます」(中村氏)
ここでポイントになるのが、グループ全体を見据えたセキュリティ組織の強化だ。大手企業の場合、子会社や孫会社、海外の関係会社がサイバー攻撃に遭い、この影響で本体も被害を受けるケースが多いため、実態を踏まえた対策を検討すべきとした。
セキュリティ専門の組織を自前で設けて対策を推進できるかどうかもポイントだ。もしセキュリティ専門人材をそろえるのが困難な場合は、外部のSOCサービスやコンサルタントの力を借りることも一案だという。
併せて、自然災害に備えたBCPだけでなく、サイバー攻撃に備えたBCPの整備も必要だとした。自然災害ならばバックアップからデータを戻せば済むが、サイバー攻撃の場合は事情が異なる。。中村氏は「行動指針やチェックポイントを明らかにして、普段から組織を強くする、人が意識しなくても仕組みによって意識を高める方法もあるでしょう」と話した。
3つ目の人については、経営者も含め社員のリテラシー向上と意識改革を進めていくことに尽きる。
サイバー保険が損害の一部をカバーし、被害回復に一定の効果も
中村氏はさらに、一連の対策を補完する手段として「サイバー保険」に言及した。
サイバー保険は、取引先の事業に損害を与えてしまった場合の損害賠償金や、事業を通常の状態に戻すための費用・人件費などをカバーするものだ。
ただ、ランサムウェア被害に遭った際に市はラス身代金は保険の対象外だ。一方で、いざ何かが起こった場合、何からどう動けばいいのかさえ分からないという場合に、保険会社からセキュリティ支援企業を紹介する付帯サービスもある。この際のインシデント対応費用も保険でカバーできる仕組みだ。
中村氏は独自調査を振り返り「損益計算書でサイバー攻撃による損失を計上している会社でも、実は、保険で被害をある程度カバーできたと記述しているところが何社かありました。サイバー保険が現実に使われており、保険金を受け取った会社もあることが明らかになりました」と述べた。
中村氏がもう1つ着目したのは、サイバー攻撃を受けた場合にその事実を公表すべきかどうかの判断だ。最近では記者会見を開く企業も増えてきたが、サイバー攻撃を受けたこと自体について公表すべきかどうかを定めた明確な法律やガイドラインはない。
ただ、で決算資料の開示が求められる企業では、損益計算書の中でサイバー攻撃被害について触れなければならないケースがある。なぜなら「上場企業などの場合、一定の条件に当てはまる損失は、具体的にどういったかものか分かるように書かなければいけないというルールがあります。サイバー攻撃被害に関しては、システム障害対応費用や情報セキュリティ対策システム費といった項目で計上しています」(中村氏)
個人情報が漏洩した場合には、個人情報保護法で定められているとおり、当局への届け出に加え、当人への連絡が必要になる。もし不特定多数の情報が漏洩した可能性があれば、必然的に公表が求められる。
中村氏はこう整理した上で、1つの判断材料として「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を挙げた。そして、実際には被害を公表せず、決算短信の中で触れるにとどめた企業も存在することを紹介し、不利な情報を隠蔽したと取られるリスクと天秤にかけながら、それぞれの会社で判断を下していくしかないと話した。
最後に中村氏は、取材経験を踏まえ「デジタルトランスフォーメーション(DX)は終わることなく、デジタルデータの活用は欠かせません。ただ活用に合わせて必要なセキュリティを確保すべきです」とし、DXに終わりがない以上、守りの要のセキュリティも不可欠であると呼び掛けた。
関連記事
- コミュニティ活動を通して人材育成を進め、サイバーの世界でも安全を追求するANAの取り組み
- 緊急出動の現場から見える、ランサムウェア対応の勘所
- 国内外約70社、1万6000人の社員を守る! 日清食品グループのサイバーセキュリティ戦略とは
- 熱い注目を集めるNIST CSF 2.0、改定のポイントと活用の鍵は――NRIセキュアテクノロジーズ 足立道拡氏
- 情報セキュリティ白書や10大脅威から見えてくる基本の大切さ――楽天グループ セキュリティエンジニア 原子拓氏
- AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏
- 2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
- 迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
ITmedia エグゼクティブのご案内
「ITmedia エグゼクティブは、上場企業および上場相当企業の課長職以上を対象とした無料の会員制サービスを中心に、経営者やリーダー層向けにさまざまな情報を発信しています。
入会いただくとメールマガジンの購読、経営に役立つ旬なテーマで開催しているセミナー、勉強会にも参加いただけます。
ぜひこの機会にお申し込みください。
入会希望の方は必要事項を記入の上申請ください。審査の上登録させていただきます。
【入会条件】上場企業および上場相当企業の課長職以上
アクセストップ10
- 「ごく普通の会社」がランサムウェア被害で直面した損失と再生の記録――菱機工業 小川弘幹氏
- 「社長、これだけは覚えておいて」――NTTグループ250人のトップが学んだ、有事の際の4つの定石
- 群馬の山で「国産レアアース」新鉱物4種発見 山口大が発表、国際鉱物学連合で承認
- 灰皿を投げられ、経営者の言葉を繰り始めたベンダーフリーの守護神 - タニウム 楢原氏
- 中国人も台湾人も夜遅くまで働いている 日本人だけが「働き方改革」でいいのか
- 見つけにくい「心不全のリスク」が分かる血液検査 保険適用、自覚症状なくても受けて
- なぜコーポレートITはコスト削減率が低いのか――既存産業を再定義することでDXを推進
- 「さっぽろ雪まつり」が開幕 サラブレッドなどの雪像や氷像、初日から観光客でにぎわい
- 「法律以前に、やるべきことがある」──ANA和田氏×SBT辻氏が語る、能動的サイバー防御の本質
- 全国で5倍増している大規模蓄電所 必要に応じて電気を充放電、課題はシステムの中国依存
アドバイザリーボード
早稲田大学商学学術院教授
根来龍之
早稲田大学大学院国際情報通信研究科教授
小尾敏夫
株式会社CEAFOM 代表取締役社長
郡山史郎
株式会社プロシード 代表取締役
西野弘
明治学院大学 経済学部准教授
森田正隆
過去記事カレンダー
ITmediaはアイティメディア株式会社の登録商標です。