企業経営の観点から見たサイバー攻撃のリスク

「1万5,600円」。これが一体何の金額か、お分かりでしょうか？　実は、企業が情報漏洩事故を起こした際に被る損害額を、Ponemon Instituteが2017年に漏えいした情報1件当たりで計算したものです。(148ドル)つまり、もし1万件の情報が漏えいした場合は1億5,600万円、10万件が漏洩した場合は15億6,000万円の損害が発生する計算になります。

これだけでもかなりの額に上りますが、近年のサイバー攻撃の中には、さらに多くの被害を企業にもたらすものも増えてきました。その最たるものが、「破壊型攻撃」と呼ばれる手口です。その名の通り、ただ情報を窃取するだけではなく、さらに企業の情報システムを破壊することで多大なダメージを与えるのが特徴です。

例えば、ここ数年、世界中で被害が報告されているランサムウェアも、最近は破壊型攻撃の手段の1つとして用いられることが多くなってきました。ランサムウェアの本来の目的は、感染した端末のディスクを勝手に暗号化して、「データを元に戻してほしかったら金銭を支払え」と脅迫することにあります。もちろん、たとえ犯人に金銭を支払ってもデータが元に戻る保証はまったくありませんから、ランサムウェア自体が破壊型攻撃の一種と見ることもできます。

しかし近年では、まったく別の手口を使って情報を窃取した後に、その痕跡を消去するためにあえてランサムウェアを使って、攻撃先のシステムのディスクを暗号化してしまうという手法が使われるようになりました。この場合、ランサムウェアの目的は身代金ではなく、自分の動いた痕跡を消し去ることや、純粋に攻撃先のシステムを破壊することにあります。こうした破壊型攻撃によってシステムやデータが破壊されてしまうと、場合によっては業務の継続性が大きく損なわれてしまう恐れもあります。

もし業務遂行に欠かせない重要なシステムが破壊されてしまった場合は、その時点でいったん業務を停止せざるを得ません。その後、すぐ予備システムに切り替えたり、即座にシステムを復旧できれば被害も少なく済むかもしれません。しかし、もしシステムの破壊状況が深刻で復旧に時間がかかる場合は、業務を長期間停止せざるを得ません。当然のことながら、その間に得られるはずだった売り上げやビジネス機会はすべて失われ、経営に相当深刻な打撃を与えることになります。

また業務が停止している間は、取引先やパートナー企業にも不便を強いることになります。その結果、企業としての信用失墜やブランド力の低下は免れません。上場企業であれば、株価も低下するでしょう。その結果、長期間に渡って企業の経営に大きなダメージを与え続けることになります。こうなると、もはや被害額は「1件当たり1万5,600円」どころではなく、その数倍、数十倍にまで膨れ上がる可能性があります。

サイバー攻撃のリスクを経営課題としてとらえる

こうして見ていくと、サイバー攻撃のリスクは単にITの問題である以上に、極めて重大な経営リスクであることが分かります。そのため近年では、企業の経営層がサイバー攻撃リスクに対する意識を高め、重要な経営課題の1つとして情報セキュリティ対策に率先して取り組むことが求められています。経済産業省が企業の経営層に向けて情報セキュリティ対策の指針を示した「サイバーセキュリティ経営ガイドライン」は、まさにこうした目的で作成されたものだと言えます。

ちなみに同ガイドラインは、2017年11月に最新バージョン（Ver.2.0）にアップデートされましたが、その際の主な改訂ポイントの1つが「早期検知によるダメージ最小化」に関する記述の追加でした。近年のサイバー攻撃は手口が極めて高度化・巧妙化しており、もはや侵入を100％防ぐのは事実上不可能です。従って、侵入を防ぐための対策だけでなく、侵入された後に早期に検知できる仕組みの導入が不可欠だと言われています。

そしてもう1つ、最新バージョンで新たに記載されたのが、破壊型攻撃からの復旧の重要性です。これは、先ほど述べた破壊型攻撃の被害が深刻化したことを受けたもので、たとえ自社のシステムが深刻な被害を受けたとしても、迅速に復旧できる仕組みや体制を整えておくことが肝要だとしています。これらのポイントに留意することで、サイバー攻撃による経営リスクを大幅に減らすことができるでしょう。

ただし、現在多くの企業が導入しているファイアウォールやIPS／IDSといった、ネットワークの入口で攻撃の侵入を防ぐ「入口対策」だけでは、明らかに不十分です。近年の高度かつ未知の攻撃は、これらの対策をたやすくすり抜けてしまいます。同じく、ほとんどの企業が導入しているアンチウイルス製品は、PCやサーバなどのエンドポイント端末上で既知のマルウェアを検知することはできますが、未知の脅威は検知できないため、やはり対策としては不十分です。

弊社が開発・提供するエンドポイントセキュリティ製品「Cybereason EDR」は、まさにこうした課題を解決するためにぴったりの製品だといえます。社内に侵入したマルウェアが、PCやサーバなどのエンドポイント端末上で不審な挙動を見せたら即座に検知できるため、被害を未然に防ぐことができます。

万が一インシデントが発生した場合でも、管理画面上から感染経路や影響範囲などを一目で把握できるので、復旧作業を迅速に進めることができます。また、ランサムウェアの攻撃を効果的に防ぐ機能も備えているため、ランサムウェアを使った破壊型攻撃の被害も回避できます。

このように、サイバー攻撃による経営リスクを減らすためには、Cybereason EDRのような製品は極めて有効だと思われます。企業経営におけるリスクマネジメントの一環として、ぜひ導入を検討することをお勧めします。

ホワイトペーパー「すべての組織が狙われている」

企業、組織がどんなにセキュリティを強固にしてもハッカーが悪用できる脆弱性は必ず存在します。侵入されることが避けられないことを受け入れ、新たな対策を立てる必要があります。本書で、なぜ避けられないのか、どのように対処するのかをご覧ください。
https://www.cybereason.co.jp/product-documents/input/?post_id=606