運営 野村ホールディングス・日本経済新聞社
いま聞きたいQ&A

企業はサイバー攻撃を受ける前提で危機管理体制の整備を

日本企業がランサムウエア(身代金要求型ウイルス)の攻撃を受ける事例が増えています。やむを得ず業務システムの接続を遮断すると、企業活動全体が一時停止に追い込まれることにもなりかねません。巨大地震対策と同様に日ごろから初動対応の演習を重ねるなど、サイバー攻撃を受ける前提で危機管理体制を整えておく必要があります。

メインビジュアル

Q.日本企業のサイバー被害が深刻化しているのはなぜですか?

ランサムウエアは、英語のRansom(身代金)とSoftware(ソフトウエア)を組み合わせた造語です。ランサムウエアを使ったサイバー攻撃は、企業や各種団体のコンピューターネットワークをウイルスに感染させ、保存データを勝手に暗号化することで使えない状態にします。その後、データ復元の対価として身代金を要求すると同時に、「金銭を支払わなければ顧客情報などの重要データを公開する」と脅しをかけてきます。

2025年9月下旬にはアサヒグループホールディングスがランサムウエアの攻撃を受け、商品の受発注システムが約2カ月にわたって停止する事態となりました。緊急対応として営業担当者が電話とファクスで注文を受注。手入力で表計算ソフトにまとめたデータを基に生産や出荷の調整にあたりましたが、小売店や飲食店に商品が届かなくなるなど、影響は広範囲に及びました。

続いて10月にはアスクルがランサムウエアに感染し、同社が手掛けるEC(電子商取引)の全3サイトで受発注の停止を余儀なくされています。この攻撃によって顧客や社員などの個人情報が約74万件漏洩し、サイトがすべて復旧するまでには丸3カ月を要しました。アスクル子会社に物流を委託する無印良品やロフトのネット通販にも影響が及んだほか、アスクルの顧客が同業他社に流出するといった実害も出ています。

アスクルの事例では25年10月19日の日曜日にウイルスが起動しました。その後の調査で、アスクルを攻撃したサイバー犯罪者集団は同年7月~10月のどこかの時点で物流などのシステムに侵入し、ウイルスを設置したことも判明しています。これはランサムウエアを使った企業攻撃の典型的な手口といえます。

攻撃者はまず、セキュリティーが相対的に脆弱な工場やグループ会社、海外拠点などのサーバーに侵入。そこから潜伏期間を経て、監視の目が緩くなる土日などを狙ってネットワークを介して本社のサーバーに侵入してきます。米セキュリティー企業のクラウドストライクによると、攻撃者が標的のシステムに侵入するまでの時間は平均48分とのこと。土日は企業の幹部が不在なため、初動対応が後手に回って傷口が広がりやすくなります。

そもそもランサムウエアなどのサイバー被害が深刻化する背景には、企業による業務のデジタル化があります。新型コロナウイルス禍を通じて、多くの企業では幅広い業務のDX(デジタルトランスフォーメーション)を推し進めました。業務の効率化や在宅勤務の浸透など便利になった半面、あらゆる業務がシステムに依存するとともに、システム同士がつながり合うことで、サイバー被害が拡大する素地が生まれたのです。

企業がランサムウエア感染による異常事態を把握しても、システムが障害を起こしているためアクセスできず、調査に必要なデータも読み取れません。被害の全容が分からないため、業務システムの接続を遮断せざるを得なくなり、結果として企業活動全体が一時停止に追い込まれます。米民間調査会社の推計では、25年の世界のランサムウエア被害額は570億ドル(約8兆8000億円)に達し、21年の3倍に拡大しています。

中小企業で目立つサイバーセキュリティーの不備や意識の低さ

それでも日本企業には対策費用の増加に難色を示す経営層が多く、サイバー防衛体制は万全とは言えません。情報処理推進機構(IPA)が25年に公表した調査によると、中小企業の69.7%が情報セキュリティーについて「組織的には行っていない」と回答しました。他の民間調査によれば、大手を含めた日本企業のCISO(最高情報セキュリティー責任者)設置率は4割程度となっており、米国やオーストラリアの9割超に比べて大きく見劣りします。

日本企業にはいま、2つの観点からサイバー攻撃への備えが求められているのではないでしょうか。ひとつは、幹部や従業員一人ひとりがサイバー攻撃への感度を高めることです。前出のIPAによる調査では、自社が受けた攻撃の手口として、偽メールや偽サイトへの誘導により「IDやパスワードをだまし取られた」という回答が、「セキュリティーの脆弱性を突かれた」に次いで2番目に多くなっていました。

KPMGコンサルティングでサイバーセキュリティー分野を統括する澤田智輝・執行役員パートナーは、「実はサイバー攻撃ではパッチ(プログラムの修正)の適用を忘れたり、パスワードの変更を怠るなど、単純なミスで被害を受けることが多い」と指摘します。無施錠の住宅が窃盗の被害に遭いやすいのと同じく、基本的な対策の実行が重要になるわけです。

もうひとつは、企業としてサイバー攻撃を受ける前提で、事前の対策に取り組む必要があること。例えばサイバー被害に際して調査やデータ復旧などの費用が補償されるサイバー保険がありますが、日本損害保険協会の24年調査によると、中小企業の加入率は10%にとどまっており、危機感の低さがうかがえます。

サイバー攻撃によって企業活動全体が一時停止に追い込まれる状況は、巨大地震に見舞われてインフラが途絶する「災害」と捉えればイメージしやすいと思われます。地震対策にならって事業継続計画(BCP)にサイバー被害の項目を盛り込み、日ごろから初動対応の演習を重ねておくことが大切です。優秀なサイバーセキュリティー人材の確保を含め、経営の根幹に関わる重点課題として危機管理体制の整備を進めるべきでしょう。(チームENGINE 代表・小島淳)

ご注意:「いま聞きたいQ&A」は、上記、掲載日時点の内容です。現状に即さない場合がありますが、ご了承ください。

セキュリティー サイバー攻撃
目次に戻る
目次に戻る