「ごく普通の会社」がランサムウェア被害で直面した損失と再生の記録――菱機工業 小川弘幹氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

初期対応後、今回のインシデントの経験からシステムには4カ所の急所があったと判断し、そこを重点的に対処していった。

[高橋睦美，ITmedia]

被害額はトータルで2億規模に、痛感したバックアップの重要性

　では、この攻撃によって菱機工業の業務や業績にはどのような影響が生じたのだろうか。小川氏はそれもまとめている。

　前述の通り、緊急サイトにシステムをリストアし、入力作業が可能な場所を物理的に1つの部屋に制限する状況が、11月17日の被害発生から同年末まで続いた。さらに、リモートアクセスに関しては根本的な見直しを加えることとし、翌年3月中旬まで実施できない状態となった。取引先の中にはデータ共有のためにクラウドストレージを利用するケースもあったが、それも対策が完了するまでは接続が制限されるなど、通常通りに業務ができない状態が長く続いた。

　通常通りに社内システムが利用できるようになるまで一カ月半はかかり、この間の業務パフォーマンスは、通常時の50％くらいだった。

　ただ幸いなことに、「ランサムウェア被害が原因で失注した案件はないと聞いています。数百社に上った請負先に対し、注文期日を1回後ろ倒しして、2週間後に変更するよう依頼したケースはありましたが、支払だけは守り抜きました」（小川氏）

　また、上層部が年末の挨拶がお詫び行脚となる事と思い各社を訪問した際も、「大変な目に遭いましたね」と、むしろ同情的な声を多くもらったという。加えて「実際にどういった経験をしたか共有してほしい」という言葉もあり、それが今回の講演にもつながっているとした。

　ランサムウェア感染による経済的な損失は、まず、フォレンジックや復旧対応、再発防止に向けたベンダーからの支援費用やサーバの再構築などに要した直接的な費用として、約3000万円の臨時予算を取り、これをほぼ使い切った。ここに、新たなシステムやサービスの導入といった再発防止策も追加したことで、7000〜8000万円の費用がかかり、これれらに業務パフォーマンスの低下に伴う人件費などを加えると、2億を超える額になる。

　そして、後からでもある程度は進捗を取り戻せる建設業の性質上、影響はこの程度にとどまったが、小売りや製造業の場合はさらに損失が積み上がる可能性があると指摘した。加えて、大量の個人情報を保有している場合には、見舞金や顧客・取引先に対する損賠賠償によってさらに損害が生じるリスクもある。

　ただ、こうした事態に備え、例えばNISTのサイバーセキュリティフレームワークに沿って包括的な対応を実施したくても、中堅・中小企業では絶対的にリソースが足りない。「対策を全方位的に実施するのはとても困難であり、有事対応が中心になってしまう現状があります」（小川氏）というのが実情だ。

　そんな中でも推奨したい対策として小川氏が挙げたのが、バックアップだ。必ずしも高額なソリューションを導入せずとも、必要とするデータの鮮度や量によっては、シンプルな仕組みで、かつコストを抑えながらバックアップを導入することができる。

　一般に経営層や役員からは「セキュリティ施策はお金ばかりかかる」と受け止められがちだ。だが、ランサムウェアに感染した同社の場合、システムが止まって仕事にならない状態となり、人件費だけで一日1000万円が飛んでいった。このように、もし業務が停止したらどのぐらい損失が生じるかをそれぞれの会社で思い描くことで、施策に納得してもらいやすくなるでしょう。また、災害に備えたBCPをすでに検討している場合には、そこで算出した数字も参考になるとアドバイスした。

　「実際に被害を受けてみると、未然に防ぐのは困難な状況があると思います。当社とは桁違いに大きな企業でも被害を防ぐことはできていません。そんな中でわれわれにまずできることは、バックアップデータを守り切る、ということかもしれません」と小川氏は述べ、バックアップの重要性を繰り返し強調した。