サイバー攻撃による被害は日増しに拡大し、今や大きな社会問題となっている。2013年から2016年にかけてNISC(内閣サイバーセキュリティセンター)に出向し、官公庁や、その他多くの企業においてサイバーセキュリティ対策に携わってきた川口設計代表取締役の川口洋氏は、多様化するサイバー攻撃の被害から企業を守り、安定して事業を継続するために、経営者には事業とITの両方を把握する視点が不可欠だと説く。
※本コンテンツは、2022年11月10日(木)に開催されたJBpress/JDIR主催「第2回サイバーセキュリティフォーラム」の特別講演3「企業の経営層が考えるべきサイバーセキュリティ」の内容を採録したものです。
動画アーカイブ配信はこちら
https://jbpress.ismedia.jp/articles/-/73670
最優先すべきは「事業の安定した継続」
昨今、サイバー攻撃によるさまざまな事件・事故が世界中で起こっている。企業にとってサイバーセキュリティ対策は極めて重要な課題だが、とりわけ事業継続の面で最も大きな影響を及ぼすのは、金銭に直接ダメージを与えられる被害だ。具体的には、企業間の業務用メールを盗み見て、標的に関する情報を事前に取得。経営幹部や取引先になりすまし、従業員をだまして偽口座への送金を促すBEC(Business Email Compromise:ビジネスメール詐欺)による金銭詐欺被害が増加しており、中には数億円という大金がだまし取られる被害も起きている。
また最近では、サイバー攻撃によって病院のシステムが破壊され、受付や会計処理を手作業で行わなくてはならなくなった。この一方では、病歴や投薬履歴といった患者の情報が見られなくなるなど、広い範囲で業務システムが破壊され、病院の事業そのものが継続できなくなるという大変な被害を受けた。
この他にも、工場や製造業が攻撃を受けると操業に必要なデータが見られず、操作のためのパソコンも使用できないまま業務が停止してしまう。特に製造業などでは、1社で事業が停止してしまうと、その製品群を作っている他の企業連合=いわゆるサプライチェーン全体にインパクトが及び、被害が企業を超えた広い範囲にまで拡大しかねない。
また他の企業にまで影響を与えてしまうサイバー攻撃を受けた企業では、風評被害や社会的信頼を失うといった二次的なリスクにもつながる。ある日突然「お宅のシステムから攻撃を受けています、しっかり管理してください。安心できるまで、お宅とのメールのやりとりはしません」と他社から通告を受け、あわてて対応に走り回った企業も実際にあるという。
「企業のセキュリティ対策で最も重要なのは、安定した事業継続を守ることです。個人では情報漏えい対策が優先されますが、企業において情報漏えい対策は2番目以降です。仮に情報が漏えいした場合、会社がダメージを受けても事業そのものは継続できます。ところが、業務停止に追い込まれて利益が確保できなくなれば、その組織は存続の危機に直面します。企業と個人とでは、セキュリティ対策における優先順位に違いがあることを、経営層はまず理解しなくてはなりません」と川口氏は示唆する。