企業経営者の危機管理能力を高める、今読むべきセキュリティ資料

2021年8月、国内の大手製粉会社を直撃したサイバー攻撃のニュースは、その規模と影響の大きさから社会に衝撃を与えました。しかし、こうしたサイバー攻撃はもはや珍しい事件ではなく、国内外を問わず日常的に起きていることなのです。

そのため現代の企業経営者や管理責任者には、セキュリティ対策の知識も必須になっています。この記事ではサイバー攻撃の危険性について紹介し、それを未然に防ぐために最適なセキュリティ資料についても解説します。

国内大手企業を襲ったサイバー攻撃

サイバー攻撃を受けたのは、国内製粉業界最大手のニップンです。同社が明らかにした内容によると、重要なデータを管理するサーバーに加えて、オンライン上のバックアップデータも攻撃の対象になり、グループ企業も含めた財務会計と財務管理システムなどが、起動できない状況に陥ったということです。

攻撃の詳しい方法は明かされていませんが、サーバー内の多くのファイルが解読不能な状態に暗号化されてしまい、システム全体が完全に機能を失ってしまいました。こうした攻撃方法は以前から何度も確認されており、主にランサムウェアというコンピューターウィルスが関わっていました。

このようなサイバー攻撃では、システムを不能にした上で、攻撃側が金銭を要求するという、いわば身代金の要求のような犯罪が行われています。今回の事件でニップンは、2021年4～6月期の決算報告が延期される事態に陥りました。これは企業の存続を問われる、極めて危機的な状況といえるでしょう。

経営者やバックオフィスにも求められるセキュリティの知識

現在ほとんどの企業は、オンライン環境を利用して業務を遂行しています。しかし、セキュリティ対策に関しては、専用のシステムやソフトに完全に依存しているのではないでしょうか。社内にセキュリティを熟知した担当者がいる企業は、かなり少ないと考えられます。

この状況で問題になるのは、サイバー攻撃が年々巧妙になっていることです。いくら重厚なセキュリティシステムを構築しても、それをすり抜けて、企業の重要なデータを使用不能にしてしまう事件が後を絶たないのです。

攻撃を受けた場合の被害を考えると、今後は別な角度からの安全対策を練り直す必要があるかもしれません。企業経営者としては、セキュリティの仕組みまで理解する必要はないものの、自社を守るための知識を、普段から蓄えておく必要があるでしょう。

知識を得るために最適なセキュリティ資料

ここで、今後のセキュリティ対策に関する知識を得るために、ぜひ企業の経営者や管理責任者に読んでほしい資料を2つ紹介します。

• 「インシデント損害額調査レポート2021」日本ネットワークセキュリティ協会（JNSA）
  この資料では、意図的か偶発的かを問わず、ネットワークシステムに生じるトラブルを「インシデント」として、その具体例や対応の流れについて詳細に解説しています。特に、インシデントが発生した場合に企業が被る損害について、多くのページを割いてコスト計算をしている点は他に類を見ません。
  一例を挙げると、サイバー攻撃などによりシステムにダメージを受けると、サーバーが数台程度でも300～400万円程度の復旧費用が必要になるようです。さらに大規模なシステムになると、初動対応の費用でも数千万円以上になると算出されています。
  こうしたコストをさまざまな項目ごとに、極めて詳細に算出している点がこの資料の特徴です。しかも推測した見積額ではなく、実際に起こった被害調査を分析したデータなので、その信憑性と信頼性は非常に高いと言えるでしょう。

• 「サイバーセキュリティ経営ガイドライン」経済産業省
  経済産業省がホームページで公開しているこの資料は、企業経営者がリーダーシップをとりながら、サイバーセキュリティ経営を実践する方法を紹介しています。全体の構成を分割することで、経営者、管理責任者、セキュリティ担当者のそれぞれが資料を活用できるようになっています。
  概論だけではなく、具体的なシステムの構築方法や、対策の実例と注意点などにも解説が及んでおり、この資料を手引きにして、新しいセキュリティ対策を構築することもできるでしょう。また、「サイバーセキュリティ経営チェックシート」も付属していて、自社のセキュリティレベルを確認することも可能です。

まとめ

現代のビジネスでは、ネットワーク環境を使いこなせないと、事業の発展は望めません。企業にとっての重要データも、オンラインでやりとりされるケースが多く、適切な安全対策を施さないと重大なトラブルになるリスクがあります。

今でもサイバー攻撃を行う側と、セキュリティ対策を行う側との間では、いわゆるイタチごっこが続いています。どれほど強固なセキュリティシステムを構築しても、それが破られないという保証はないのです。企業経営者としては、自身がセキュリティに対する知識を身につけることで、自分の会社は自分で守るという心構えが必要になるでしょう。