2023.5.23
第2回 事業継続への影響/シリーズ①経営リスクで考えるサイバーセキュリティの重要性 ~事業継続とレピュテーション~
サイバーセキュリティが叫ばれて久しい昨今。セキュリティ対策の重要性を認識しつつも、今一つ前向きに取り組めないのも事実です。しかしながら、サイバー攻撃の被害は計り知れないインパクトを与える可能性があります。
本コラムでは、サイバーセキュリティを事業継続とレピュテーションの面から経営リスクとして捉え、計4回にわたって対策の重要性に迫ります。
INDEX
【第2回】 事業継続への影響
初回は「今なぜサイバーセキュリティを考えるべきなのか」と題して、DX推進による持続的な付加価値向上には、トレードオフのように増大するセキュリティリスクへの対処が重要になることを説明しました。
続く第2回は、そうしたセキュリティリスクが企業の経営にどのようなインパクトを与えるのか、事業継続にフォーカスして説明を進めます。
ランサムウェアで変わるサイバー攻撃の手口
サイバー攻撃と言えば、重要な情報を盗み出す「窃盗」のイメージが強いと思います。個人情報の漏えいによる重大な事件・事故は後を絶ちません。一つの事件で数十万件の個人情報が流出するなど、被害の影響は拡大する一方です。そうしたインシデントの発生は、多額の損害賠償や社会的信頼の失墜により、企業の経営に大きなインパクトを与えます。
さらに、近年サイバー攻撃の手口は、窃盗から「破壊工作」へと変貌を遂げています。ランサムウェアというコンピュータウイルスを用いて、企業のサーバやパソコンなどのディスクドライブを(暗号化して)使えなくします。攻撃者は、その復元の対価として身代金(金銭)を要求しますが、仮に支払ったとしてもリカバリーできないことが多いのです。
ランサムウェアによるサイバー攻撃は、コンピュータシステムの可用性にかなり深刻なダメージを与えます。たとえば、生産工程のシステムが感染すれば工場の稼働停止に直結します。重要インフラと呼ばれる、電気・ガス・水道などのシステムが攻撃されると、私たちの身近な生活に影響が及びます。もちろん、サービス業においても、業務システムが使えなくなると営業を続けるのが困難です。
対処が難しいサプライチェーンリスク
そして、現在大きく問題視されているのが、サプライチェーンを狙ったものです。攻撃者は、より多くの金銭を得ようと、規模の大きな企業(大企業)に狙いを定めます。しかしながら、高度化するサイバー攻撃の脅威に対抗するため、大企業のセキュリティ対策は強固になっています。そう簡単に攻撃を成功させることはできないのです。
攻撃者は次の攻め手を考えます。大企業も自社単独で事業を営んでいるわけではありません。製造業であれば、原材料の調達から製品の販売に至るまで、さまざまな企業がサプライチェーンにより連鎖しています。その中には、重要な取引先となる中小企業も多くあり、そこを踏み台のように狙うのです。
ランサムウェアを用いてサプライチェーンを寸断すれば、連鎖する大企業にも影響が及びます。一般的に、大企業と比べて中小企業のセキュリティ対策は脆弱であり、そこに大企業が直接関与するわけにもいきません。サプライチェーンリスクは、非常に対処が難しいリスクになるのです。
こうした中、2022年3月には、日本の大手自動車メーカーがサイバー攻撃の影響で、国内全工場の稼働を停止しました。サプライチェーンに連なる取引先の1社が、ランサムウェアの被害を受けたのが原因です。
BCPとセキュリティ対策の連携
東日本大震災以降、大企業はもちろんのこと、中小企業においてもBCP(Business Continuity Plan:事業継続計画)の策定が進んでいます。BCPとは、災害などの緊急事態が発生したときに、企業が損害を最小限に抑えながら、事業の継続や復旧を図るための計画です。
BCPを発動する基準として、大規模な地震や火災、パンデミックなどの発生があげられます。ただし、その災害に、サイバー攻撃の被害まで考慮している企業はごく限られています。セキュリティ対策として、インシデントレスポンス(セキュリティ侵害の検知・封じ込め・復旧などを行う仕組み)があったとしても、大規模なインシデントからBCPにエスカレーションする連携は取れていないことが多いのです。
攻撃者は、サプライチェーンリスクを狙ってランサムウェアという武器で攻め込み、企業の事業継続性に大きな影響を与えようとしています。サイバー攻撃の脅威は、セキュリティといった狭義のリスクで考えるのではなく、経営リスクとして広く捉えることが重要です。
今一度、自社のBCPとセキュリティ対策との関係を、ご確認いただけますと幸いです。
次回は
第3回では、セキュリティリスクがレピュテーションリスク(風評リスク)つながると、企業の経営に多大な影響を与えることを説明します。
1965年、山口県宇部市生まれ。
JTに入社し、たばこ工場の制御システム開発に携わった後、ジェイティエンジニアリング株式会社へ出向。
幅広い業種・業態での産業制御システム構築を手がけ、2014年からはOTのセキュリティコンサルティングで第一人者として活動する。
2021年4月に株式会社ビジネスアジリティを設立し、代表取締役として独立。
技術士(経営工学)、 中小企業診断士、情報処理安全確保支援士、公認システム監査人など、30種以上の資格を所有。
主な著書に、『図解入門 よくわかる 最新 サイバーセキュリティ対策の基本』(秀和システム) |『現場で役立つOTの仕組みとセキュリティ 演習で学ぶ! わかる! リスク分析と対策』(翔泳社)などがある。
①経営リスクで考えるサイバーセキュリティの重要性
~事業継続とレピュテーション~
セキュリティブログ一覧へ
関連トピックス
-
ニュースリリース
2024.11.20
株式会社RITがAI技術活用の自動仕様書作成サービス「SPG-R」デモ動画を公開
株式会社ファンリード(本社:東京都豊島区、代表取締役社長:小林 慶一)のグループ企業である株式会社RIT(本社:東京都中央区、代表取締役社長:安武遼太)は、レガシーシステムのブラックボックス化や、…
-
ニュースリリース
2024.11.13
生成AIモデルにGemini・Claude追加、新方式でRAG回答品質向上 【STiV新機能】
株式会社ファンリード(本社:東京都豊島区、代表取締役社長:小林 慶一、以下「ファンリード」)が提供するAI活用プラットフォーム「STiV(スティーブ)」は、生成AIのビジネス利用最適化を目指し、新…
-
お知らせ
2024.11.6
株式会社アペックスのコーポレートサイトリニューアル
株式会社ファンリード(本社:東京都豊島区、代表取締役社長:小林 慶一、以下「ファンリード」)のグループ企業である株式会社アペックス(本社: 東京都豊島区、代表取締役社長: 小鹿光雄、以下「アペックス」…
ファンリードに
お気軽にお問合せください。
サービスに関するご質問やお客様のお悩み・ご要望がございましたら、検討段階でもお気軽にご相談ください。