【第2回】事業継続への影響

サイバーセキュリティが叫ばれて久しい昨今。セキュリティ対策の重要性を認識しつつも、今一つ前向きに取り組めないのも事実です。しかしながら、サイバー攻撃の被害は計り知れないインパクトを与える可能性があります。
本コラムでは、サイバーセキュリティを事業継続とレピュテーションの面から経営リスクとして捉え、計4回にわたって対策の重要性に迫ります。

事業継続への影響

初回は「今なぜサイバーセキュリティを考えるべきなのか」と題して、DX推進による持続的な付加価値向上には、トレードオフのように増大するセキュリティリスクへの対処が重要になることを説明しました。
続く第2回は、そうしたセキュリティリスクが企業の経営にどのようなインパクトを与えるのか、事業継続にフォーカスして説明を進めます。

ランサムウェアで変わるサイバー攻撃の手口

サイバー攻撃と言えば、重要な情報を盗み出す「窃盗」のイメージが強いと思います。個人情報の漏えいによる重大な事件・事故は後を絶ちません。一つの事件で数十万件の個人情報が流出するなど、被害の影響は拡大する一方です。そうしたインシデントの発生は、多額の損害賠償や社会的信頼の失墜により、企業の経営に大きなインパクトを与えます。
さらに、近年サイバー攻撃の手口は、窃盗から「破壊工作」へと変貌を遂げています。ランサムウェアというコンピュータウイルスを用いて、企業のサーバやパソコンなどのディスクドライブを（暗号化して）使えなくします。攻撃者は、その復元の対価として身代金（金銭）を要求しますが、仮に支払ったとしてもリカバリーできないことが多いのです。
ランサムウェアによるサイバー攻撃は、コンピュータシステムの可用性にかなり深刻なダメージを与えます。たとえば、生産工程のシステムが感染すれば工場の稼働停止に直結します。重要インフラと呼ばれる、電気・ガス・水道などのシステムが攻撃されると、私たちの身近な生活に影響が及びます。もちろん、サービス業においても、業務システムが使えなくなると営業を続けるのが困難です。

対処が難しいサプライチェーンリスク

そして、現在大きく問題視されているのが、サプライチェーンを狙ったものです。攻撃者は、より多くの金銭を得ようと、規模の大きな企業（大企業）に狙いを定めます。しかしながら、高度化するサイバー攻撃の脅威に対抗するため、大企業のセキュリティ対策は強固になっています。そう簡単に攻撃を成功させることはできないのです。
攻撃者は次の攻め手を考えます。大企業も自社単独で事業を営んでいるわけではありません。製造業であれば、原材料の調達から製品の販売に至るまで、さまざまな企業がサプライチェーンにより連鎖しています。その中には、重要な取引先となる中小企業も多くあり、そこを踏み台のように狙うのです。
ランサムウェアを用いてサプライチェーンを寸断すれば、連鎖する大企業にも影響が及びます。一般的に、大企業と比べて中小企業のセキュリティ対策は脆弱であり、そこに大企業が直接関与するわけにもいきません。サプライチェーンリスクは、非常に対処が難しいリスクになるのです。
こうした中、2022年3月には、日本の大手自動車メーカーがサイバー攻撃の影響で、国内全工場の稼働を停止しました。サプライチェーンに連なる取引先の1社が、ランサムウェアの被害を受けたのが原因です。

BCPとセキュリティ対策の連携

東日本大震災以降、大企業はもちろんのこと、中小企業においてもBCP（Business Continuity Plan：事業継続計画）の策定が進んでいます。BCPとは、災害などの緊急事態が発生したときに、企業が損害を最小限に抑えながら、事業の継続や復旧を図るための計画です。
BCPを発動する基準として、大規模な地震や火災、パンデミックなどの発生があげられます。ただし、その災害に、サイバー攻撃の被害まで考慮している企業はごく限られています。セキュリティ対策として、インシデントレスポンス（セキュリティ侵害の検知・封じ込め・復旧などを行う仕組み）があったとしても、大規模なインシデントからBCPにエスカレーションする連携は取れていないことが多いのです。
攻撃者は、サプライチェーンリスクを狙ってランサムウェアという武器で攻め込み、企業の事業継続性に大きな影響を与えようとしています。サイバー攻撃の脅威は、セキュリティといった狭義のリスクで考えるのではなく、経営リスクとして広く捉えることが重要です。
今一度、自社のBCPとセキュリティ対策との関係を、ご確認いただけますと幸いです。

次回は

第3回では、セキュリティリスクがレピュテーションリスク（風評リスク）つながると、企業の経営に多大な影響を与えることを説明します。