積水化学の“本気すぎる”セキュリティ対策 リテラシー教育から情報管理体制構築まで(1/2 ページ)

積水化学工業は役員や一般従業員といった非IT従事者に向けて徹底したサイバー演習やリテラシー教育を実施し、強固なリスクマネジメント体制を整えている。同社の事例を紹介しよう。

» 2023年08月16日 07時00分 公開
[指田昌夫ITmedia]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 ガートナー ジャパン(以下、ガートナー)が主催する「ガートナー セキュリティ&リスク・マネジメント サミット」(2023年7月26日〜28日)に積水化学工業の原 和哉氏(デジタル変革推進部 情報システムグループ長)が登壇した。同氏は「積水化学グループのサイバーセキュリティマネジメント」と題し、同社のリテラシー教育やリスクマネジメントに関する取り組みを語った。

72時間で1億円の損失? ランサムウェア被害を自分ごとにする演習とは

 積水化学工業は1947年創業の住宅、樹脂加工品メーカーだ。ポリバケツなどのプラスチック製品から始まり、パイプなどの産業用部材の製造にビジネスを拡大すると、その後は現在の主力事業である「セキスイハイム」ブランドの住宅部門や、検査薬や原薬などのヘルスケア部門にも取り組んでいる。2023年3月期の売上高は約1兆2400億円、従業員数は約2万6000人になり、海外売上比率も現在は約30%に上る。

 原氏が率いる同社のIT部門は、全社の情報システムを企画や開発、運営している。現状のシステムを維持管理する業務に加え、グローバルスタンダードに合わせたチェンジマネジメントを推進し、先進ITにチャレンジするミッションを掲げている。

 同社のIT部門はセキュリティ強化にも力を入れている。その取り組みの一つが、ランサムウェア感染時の対処を体験する役員向けシナリオ演習だ。同講演では、社内で実施した演習プログラムを基に、外部の講演用にアレンジした約110分コースの概要が説明された。

 演習はインシデント発生から2日目の朝、役員が集まる対策会議で社内のCSIRT(Computer Security Incident Response Team)に説明を受けるシーンから始まる。これによると、社内の一部端末がランサムウェアに感染しており、業務システムとバックアップにアクセスできない状態であることを確認したという。サイバー攻撃者は72時間以内にビットコインで10万ドルを支払うことを要求している。

 この演習において業務停止による損失は、24時間で1000万円、48時間で5000万円、72時間で1億円に設定されている。以降1日停止が続くごとに1億円の損失が積み重なる。演習では、すでに48時間が経過しており、さらに24時間以上、合計72時間以上業務が停止する見込みという条件を設定した。

 ある程度のセキュリティ対策を講じている企業では、インシデント発生と同時にこうした対策会議が発足し、詳細な状況報告が実施される。問題はこのとき経営がどのように意志決定するかである。演習はここから始まる。

積水化学工業の原 和哉氏

 「このとき『身代金を支払いますか』という問いに対して、ほとんどの経営者は『払わない』を選択する」と原氏は言う。「『反社会勢力に屈した会社とみられたくない』『払っても再度要求される』などが払わない理由だ。逆に『払う』と答える人は、合理的に考えて復旧までにかかるコストと、身代金のプラスマイナスを計算して判断しているが、こちらを選択する人はごくわずかだ」(原氏)。

 原氏によると実はこの時点で、身代金を払うかどうかの判断とともに、経営者が社内に指示しなければいけないことがある。緊急対応や関係者への連絡、交渉人や弁護士、保険などの確認、国内外を含めた法規制への対応、情報公開の準備などだ。

 さて、演習は次の段階に進む。最初の段階で身代金を払わないと選択したとき、さらに事態が進んだ状況を設定する。

 昨今のランサムウェアは「二重脅迫型」であることが多い。身代金を払わない企業に対して、「払わなければ盗み出した情報を外部にリークする」と追加の脅迫文を送りつけるのだ。今回の演習では被害企業もこの二重脅迫を受けたと想定している。演習ではここで再び、身代金を支払うかどうかを問う。

 原氏は「一部の役員から『個人情報や機密情報を公開されるのはまずい』という意見は出てくるが、どのような状況でも反社には屈しないという理由で、決定が覆ることはあまりない」と話す。

 しかし社内調査が進むと、実際にデータが盗まれた痕跡が出てくる。そうなると、少しずつ支払いに傾く役員が増えていく。そして大きく流れを変えるのが、「身代金の減額」だ。「犯人と交渉し、身代金を10万ドルから1万ドルに減額させることに成功しました」という情報が役員会に入ってくる。そうなると、一気に「支払い」に流れが傾くのだという。

 「こうした場合に備えて経営部門とIT部門の間で、自社としてどう対処するか、事前に話し合ってポリシーを決めておくことが重要だ」と原氏は言う。

 同社の専務はこの演習の後で、「初動で実施すべきことは多く、セキュリティ対策だけでなく、事業継続のための備えが重要だということも分かった」と感想を話したという。

 インシデント時の経営判断の基準はまず顧客、次に自社の利益、そして最後にシステムだと原氏は話す。経営者にこの認識を持ってもらうことが重要だ。

       1|2 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.