- 2023/07/20
- 中堅企業向け
中堅・中小企業がランサムウェアに備えて対策すべき「4つの経営リスク」
Post by : Yuichi Kikukawa
サプライチェーン攻撃の蔓延で中堅・中小企業もサイバー攻撃の標的に
大規模なサイバー攻撃の報道が相変わらずメディアの誌面を賑わせていますが、中には「報道される事案は大手企業がほとんどなので、うちのような中堅・中小規模には関係がない」と考えている企業経営者もいまだに少なくないかもしれません。しかし実際には中堅・中小規模を敢えて狙った攻撃が近年多発しており、多くの被害が発生しています。
その背景には、「サプライチェーン攻撃」と呼ばれる攻撃手法が多用されるようになった事情があります。サイバー攻撃者の多くは大企業が保有する機密情報や個人情報の窃取を狙っていますが、昨今大企業ではサイバーセキュリティ対策が進んできためそう簡単には侵入できません。そこで比較的対策が手薄な取引先企業や関連企業にまずは侵入し、そこを足掛かりにして本丸の大企業への侵入を図る手口が増えてきています。こうした攻撃手法は、企業のサプライチェーンを悪用することから「サプライチェーン攻撃」と呼ばれています。
また現在世界中で猛威を振るっているランサムウェア攻撃も、大企業のみならず中堅・中小企業も標的に据えています。特に不特定多数に対してランサムウェアに感染させるためのフィッシングメールを送り付ける「ばらまき型攻撃」の場合、大企業よりセキュリティ対策が手薄で従業員のリテラシーも低い中堅・中小企業の方が被害に遭いやすいと言えます。
中堅・中小企業がこうした攻撃の標的となり、実際に被害を被ってしまうと極めて広い範囲に渡ってダメージを受けてしまいます。具体的には、以下の4つの経営リスクが考えられます。
■事業停止
サイバー攻撃を受け、自社の情報資産が盗まれ、破壊されてしまうと、当然のことながら事業の継続に大きな支障が生じます。ランサムウェア攻撃などによってシステムが利用できなくなってしまうと、そのシステムに依存してきた業務やサービスはシステムが復旧できるまで停止を余儀なくされます。当然のことながらその間に見込まれた収益は得られないため、復旧が長引けば長引くほどビジネス上の損失は膨れ上がってしまいます。
さらには直接的な損失だけではなく、事業が停止してしまったことに伴い取引先や顧客からの信用も失い、ひいては自社の信用度やブランド力が大きく失墜してしまうリスクがあります。
■お客様、取引先への悪影響
サイバー攻撃を受けて事業が停止してしまうと、自社が損害を受けるだけでなく取引先にも大きな迷惑を掛けてしまいます。2022年4月にある自動車メーカーのグループ会社である部品メーカーがランサムウェア攻撃を受けてシステム停止に追い込まれた際には、同社だけでなくグループ全体のサプライチェーンに影響が及び、結果的に自動車の組み立て工場の生産ラインが全面停止に追い込まれたことはまだ記憶に新しいところです。
■説明責任
2022年4月に個人情報保護法が改正され、企業・組織が個人情報漏えい事故を起こした際には、その旨を個人情報保護委員会に報告する義務が課せられることとなりました。具体的にはインシデント発生から3~5日以内に速報を、そして30日以内に確報を報告しなければなりません。
もしこれらの報告を怠ったり、インシデントの発生そのものを隠蔽したりすると、単に法令違反に問われるだけでなく顧客や取引先、株主から「この企業は情報開示やコンプライアンス遵守に消極的である」と見なされ、信用失墜や取引停止、株価低下につながる可能性があります。なお現在では、サイバー犯罪者の側が攻撃の成果をインターネット上に公開しているため、インシデントの発生は決して隠し通せない時代に入っていることも念頭に置いておくべきでしょう。
■法的責任
現在世界的に、企業のセキュリティ対策に対して当局が課す法令上の義務や違反時の罰則がより厳しくなってきています。日本国内でも、クレジットカード情報を流出させた決済サービス事業者が経営責任を厳しく問われ、社長が辞任に追い込まれたケースもあります。海外ではさらに厳しい罰則が適用されることも多く、大規模な個人情報流出事故を引き起こした企業の経営者が逮捕されるにまで至ったケースもあります。
感染時に素早く原因を特定し事業を復旧できる体制の構築を
ではこうしたリスクを回避するには、一体どのような施策を講じるべきなのでしょうか。まず「事業停止」や「お客様、取引先への悪影響」などのリスクをできるだけ小さくするためには、平時から自社のサプライチェーンを考慮した迅速な原因特定および事業復旧の仕組みを構築しておく必要があります。
具体的にはサイバー攻撃を防御する取り組みだけでなく、万が一マルウェアに感染しても被害が深刻化する前にいち早く脅威を検知して除去できるよう「EDR(Endpoint Detection and Response)」などのセキュリティ製品を導入して対策を強化しておくべきでしょう。
また「説明責任」「法的責任」のリスクに関しては、万が一インシデントが発生しても事態を隠さず透明性のある迅速な報告ができる体制を構築しておく必要があります。そのためにはCSIRTなどインシデント対応に特化したチームを組織し、いざというときに従うべき対応手順をあらかじめきちんと整備した上で、社外への報告や情報公開まで含めた訓練を平時から行っておくことが大事です。
こうした対策を怠っていると、たとえ中堅・中小企業といえども取引先や顧客を大々的に巻き込んだ大規模なセキュリティ事故を引き起こし、一気に経営危機に陥ってしまう事態も十分考えられます。そうならないためにも、企業の経営者はあらためて「サイバーセキュリティ対策は重要な経営課題である」ことを今一度肝に銘じておくべきでしょう。
【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜
世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。
本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/
