決算資料から読み解くサイバー攻撃被害の実態は? 1社当たり2億円超、数十億円規模に至る大きな影響も:ITmedia エグゼクティブセミナーリポート(2/2 ページ)
サイバー攻撃は猛威を振るっている今、ある日突然、会社の機密情報や個人情報が盗まれ、トップが頭を下げる事態になったり、システムが通常通りに動作せず業務が止まり、売上にまで影響を及ぼすこともある。
モノ、仕組み、人という3つの観点からの対策を
続けて中村氏は、「どうするかといえば、やはり対策を取るしかありません」と述べ、対策のポイントを紹介した。
「まず、現状を理解することが重要です。実は万全な状態のシステムは少なく、脆弱性が存在するソフトウェアがそのまま使われていたりします。パスワードを初期設定のまま放置していたり、誰でも推測できるようなものを設定したりしていることもあります。サイバー攻撃を実行する人間はそういった部分を見つけます」(中村氏)
システムの状況を把握した上で適切に手を打つとともに、万一被害が発生した際にどうするか、常日頃から考え、構えを用意しておくべきだという。
中村氏は、「モノ」「仕組み」「人」の3つに分類して具体的な対策を紹介した。
モノというのは、いわゆるITツールやサービスの導入だ。ウイルスやマルウェアの侵入を防止し、仮に入られてもすぐ検知できるEDRにはじまり、ログ監視、資産管理、ASMによる脆弱性管理といった項目が挙げられる。全ての対策に投資できるのは簡単ではないため、ビジネスの進め方やリスクマネジメントの考え方を踏まえて取り組むべきだとした。
特にランサムウェア対策で重要なものとしてはバックアップが挙げられる。「1つだけでなく多重でバックアップを取る、異なるメディアに保存するなど、いろいろな形でいようにしていくというのも1つの手でしょう。1度書き込んだら自分たちでも上書きできない『イミュータブルバックアップ』と呼ばれる仕組みを使うことで、被害を抑えることができるでしょう」(中村氏)
2つ目の仕組みとは、組織体制や規程類の整備・見直しだ。「モノを入れても、使いこなせなければ宝の持ち腐れになってしまいます」(中村氏)
ここでポイントになるのが、グループ全体を見据えたセキュリティ組織の強化だ。大手企業の場合、子会社や孫会社、海外の関係会社がサイバー攻撃に遭い、この影響で本体も被害を受けるケースが多いため、実態を踏まえた対策を検討すべきとした。
セキュリティ専門の組織を自前で設けて対策を推進できるかどうかもポイントだ。もしセキュリティ専門人材をそろえるのが困難な場合は、外部のSOCサービスやコンサルタントの力を借りることも一案だという。
併せて、自然災害に備えたBCPだけでなく、サイバー攻撃に備えたBCPの整備も必要だとした。自然災害ならばバックアップからデータを戻せば済むが、サイバー攻撃の場合は事情が異なる。。中村氏は「行動指針やチェックポイントを明らかにして、普段から組織を強くする、人が意識しなくても仕組みによって意識を高める方法もあるでしょう」と話した。
3つ目の人については、経営者も含め社員のリテラシー向上と意識改革を進めていくことに尽きる。
サイバー保険が損害の一部をカバーし、被害回復に一定の効果も
中村氏はさらに、一連の対策を補完する手段として「サイバー保険」に言及した。
サイバー保険は、取引先の事業に損害を与えてしまった場合の損害賠償金や、事業を通常の状態に戻すための費用・人件費などをカバーするものだ。
ただ、ランサムウェア被害に遭った際に支払う身代金は保険の対象外だ。一方で、いざ何かが起こった場合、何からどう動けばいいのかさえ分からないという場合に、保険会社からセキュリティ支援企業を紹介する付帯サービスもある。この際のインシデント対応費用も保険でカバーできる仕組みだ。
中村氏は独自調査を振り返り「損益計算書でサイバー攻撃による損失を計上している会社でも、実は、保険で被害をある程度カバーできたと記述しているところが何社かありました。サイバー保険が現実に使われており、保険金を受け取った会社もあることが明らかになりました」と述べた。
中村氏がもう1つ着目したのは、サイバー攻撃を受けた場合にその事実を公表すべきかどうかの判断だ。最近では記者会見を開く企業も増えてきたが、サイバー攻撃を受けたこと自体について公表すべきかどうかを定めた明確な法律やガイドラインはない。
ただ、決算資料の開示が求められる企業では、損益計算書の中でサイバー攻撃被害について触れなければならないケースがある。なぜなら「上場企業などの場合、一定の条件に当てはまる損失は、具体的にどういったかものか分かるように書かなければいけないというルールがあります。サイバー攻撃被害に関しては、システム障害対応費用や情報セキュリティ対策システム費といった項目で計上しています」(中村氏)
個人情報が漏洩した場合には、個人情報保護法で定められているとおり、当局への届け出に加え、当人への連絡が必要になる。もし不特定多数の情報が漏洩した可能性があれば、必然的に公表が求められる。
中村氏はこう整理した上で、1つの判断材料として「サイバー攻撃被害に係る情報の共有・公表ガイダンス」を挙げた。そして、実際には被害を公表せず、決算短信の中で触れるにとどめた企業も存在することを紹介し、不利な情報を隠蔽したと取られるリスクと天秤にかけながら、それぞれの会社で判断を下していくしかないと話した。
最後に中村氏は、取材経験を踏まえ「デジタルトランスフォーメーション(DX)は終わることなく、デジタルデータの活用は欠かせません。ただ活用に合わせて必要なセキュリティを確保すべきです」とし、DXに終わりがない以上、守りの要のセキュリティも不可欠であると呼び掛けた。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
- コミュニティ活動を通して人材育成を進め、サイバーの世界でも安全を追求するANAの取り組み
- 緊急出動の現場から見える、ランサムウェア対応の勘所
- 国内外約70社、1万6000人の社員を守る! 日清食品グループのサイバーセキュリティ戦略とは
- 熱い注目を集めるNIST CSF 2.0、改定のポイントと活用の鍵は――NRIセキュアテクノロジーズ 足立道拡氏
- 情報セキュリティ白書や10大脅威から見えてくる基本の大切さ――楽天グループ セキュリティエンジニア 原子拓氏
- AI駆動型攻撃が現実となる時代に求められるセキュリティ対策と専門家の役割とは――名和利男氏
- 2030年問題で解決はいよいよ困難になるサプライチェーンリスクへの処方箋は――NRIセキュアテクノロジーズ 足立道拡氏
- 迷宮化するセキュリティ対策、脱出の鍵は「自分の頭で考える」こと――Armoris 鎌田敬介氏