高まるサイバー脅威にどう立ち向かう? 経営層が陥りがちな方法論とは(1/2 ページ)
近年、企業を取り巻くリスクは多様化している。中でもサイバー攻撃の脅威は急激に増大している。
IPA(独立行政法人 情報処理推進機構)が発行している情報セキュリティ白書2023によると、世界のセキュリティインシデントの被害総額は初めて100億ドルを突破して過去最大になった。日本国内においても、2022年の情報セキュリティインシデントの報道件数は全体で795件となり、2021年比で3.4%増えた。特にランサムウェアによる被害は230件で、前年比57.5%増となっている。
実際、2024年を振り返るだけでも、6月にはKADOKAWAがランサムウェア攻撃を受け、同社の主力サービスであるニコニコ動画の配信が停止。同社の重要データ(契約書や従業員・顧客の個人情報など)も盗まれ、その一部が漏えいしていることが発覚した。ニコニコ動画の配信停止は1カ月以上続き、同社の他のビジネスも影響を受けている。 KADOKAWAでは警察や外部のサイバーセキュリティ専門家と協力し、システムの復旧に取り組んでいるものの、被害規模の全容は明らかにされていない。
JAXAも、サイバー攻撃により、一部の機密情報が漏えいしたことが明らかになっている。技術データや研究成果の一部が流出した可能性も指摘されている。さらに、1855年創業の情報処理会社イセトーは、サイバー攻撃により、同社に委託していた行政機関や民間企業の大量の個人情報が漏えいし、同社の信頼は失墜した。NHKによれば、被害者の数は150万件にのぼるようだ。
自然災害リスクだけを重視するBCP担当者 今すぐ取り掛かるべきこと
こうした背景からか、企業のサイバーリスクへの関心は急激に高まっている。
デロイトトーマツが上場企業を対象に毎年実施している「企業のリスクマネジメントおよびクライシスマネジメント実態調査2023年版」によれば、国内において優先して着手が必要と思われるリスクは、1位「人材流出・人材不足」、2位「原材料ならびに原油価格の高騰」に続き、3位にサイバー攻撃・ウイルス感染などによる情報漏えいがランクインした。
帝国データバンクが全国2万7104社を対象に実施した、事業継続計画(BCP)に対する企業の意識調査2024年(※有効回答企業数1万1410社)によれば、事業の継続が困難になると想定しているリスクの1位は自然災害(地震、風水害、噴火など)で、2位にサイバー攻撃など情報セキュリティリスクが続いた。3位に感染症、4位にインフラの寸断、5位は設備の故障となっている。
一方、内閣府が隔年で実施している「企業の事業継続及び防災の取組に関する実態調査」は、やや趣が異なる。同調査でも、企業が重視しているリスクを聞いているが、1位は地震が91.4%と突出して高く、2位は感染症で66.9%、3位が火災・爆発で53.6%、4位が通信の途絶(インターネット・電話)で48.1%、5位が洪水で46.5%と、自然災害が圧倒的に上位を占めている。地震が9割以上でトップという傾向は、この調査が始まった2007年以降変わっていない。
内閣府が地震対策としてBCPの普及啓発に努めてきた背景があるのかもしれないが、企業も重視するリスクとして地震だけを取り立てて高くするのは、若干違和感がある。ちなみに、内閣府調査では、情報セキュリティやサイバー攻撃などITに関するリスクには触れられてもいない。
企業として重視すべきリスク 共通認識とされていない課題
なぜ内閣府の調査結果が自然災害に偏るのか。ここに日本企業の課題が隠されているように感じる。
邪推ではあるが、内閣府のアンケートは、長年、主に自然災害対策を担当するBCP担当者に送られているのではないか。企業の経営者としては、おそらく情報セキュリティやその他のリスクへの関心は高まっているが、組織全体として統一した見解には至っていない。担当部門としては、自分が対象とするリスクこそ、企業として重視するリスクと考えているため、自然災害リスクばかりがクローズアップされてしまう。
もちろん、自然災害を軽視しているわけではない。今年も能登半島の地震や豪雨による被災など、自然災害の脅威は増している。南海トラフ地震や首都直下地震、さらには富士山の噴火など、国難を招く巨大災害への備えも決して怠ることはできない。ただし、組織としてリスクへの対応方針が統一されていない状況で、特定のリスクに偏重することは危険だ。
KPMGのサイバーセキュリティサーベイ2023によれば、過去1年間に発生したサイバーインシデント被害の特徴としては「自社の業務やシステムが著しく遅延・中断した」が40%(前回調査28.7%)で最多となっている。まさにBCP対象案件であるが、サイバーインシデントの対応手順などの整備状況を見ると「数日間遮断した場合の事業の継続・縮退のための手段の確保」は「十分対策ができている」「ある程度対策ができている」を合わせても19.8%にとどまる。「数日間遮断した場合の、事業上の影響範囲や損害額の把握」も18%に満たない。
つまり、自然災害に対しては事業継続の具体的な手法の検討は進んでいる一方、サイバーインシデントについては、ウイルスに感染しないためのセキュリティ対策や感染時もせいぜい遮断するまでのプロセスまでしか考えておらず、事業継続のフェーズの検討がされていないのではないか。
関連記事
策定しても“機能しないBCP”の実態 能登半島地震で証明された継続的活動の意義
能登半島地震で明らかになったのは「策定しても“機能しないBCP”」の実態だ。本当に機能させるためには何が必要なのか?
「南海トラフ臨時情報」への対応を検証せよ 経営層が備えるべきBCP「4つの視点」
BCPという観点から、企業は南海トラフ臨時情報への対応を振り返る必要がある。欧米を中心に取り入れられているAfter Action Reviewの方法を紹介しよう。
サイバー、AI、気候変動……経営層は「予期せぬリスク」に、どう対応するか?
これまで認識していなかった、あるいは経験していなかったリスクや、既存の知識が通用しない新しいリスクを「エマージングリスク」と呼ぶ。経営層は、従来にはなかった「新興リスク」にどう対処していけばいいのか?
日本オラクル社長が明かす「災害時バックアップの課題」 24年は“復旧力”が試される
日本オラクルは24年を「エンタープライズの生成AI元年」としている。同社の三澤智光社長にインタビューすると、災害時のバックアップなどセキュリティ分野での日本企業の課題を語った。
富士通の時田社長「日本語の生成AI開発は重要」 改良を続けることに「ゴールはない」
富士通の時田隆仁社長に、2024年の展望を聞いた。生成AI、社員の行動変容、社会課題の解決に向けた新事業「Fujitsu Uvance」。同社はどこへ向かっていくのか――。
松尾豊東大教授が明かす 日本企業が「ChatGPTでDX」すべき理由
松尾豊東大教授が「生成AIの現状と活用可能性」「国内外の動きと日本のAI戦略」について講演した。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。