今年5月、身代金要求型ウイルス（ランサムウエア）「WannaCry（ワナクライ）」が世界中に拡散されて大きなニュースになった。国内でも大手メーカーが感染し、工場の生産ラインが一時停止を余儀なくされた。

もはやサイバー攻撃はあらゆる企業のリスクとなり、その危険度は年々増している。NECで顧客企業のセキュリティ対策に従事する栗林利充氏も警鐘を鳴らす。

NEC
コンサルティング事業部
シニアエキスパート
栗林 利充

「サイバー攻撃と言えば、かつては愉快犯的なものが中心でした。しかし最近では、企業活動を妨害したり金銭を要求したりするなど悪質化が進んでいます。さらにその手口も巧妙化の一途をたどっています」

WannaCryのような「バラマキ型攻撃」だけでなく、特定の企業に巧みなメールを送付し、添付したファイルやリンク先を開くと感染する「標的型攻撃」も増えている。これらの恐ろしさは、ひとたび感染するとビジネスが停止にまで追い込まれる可能性もあることだ。仮に会社のどこか一つのサーバがやられ、その結果ITシステムが停止する事態となれば、グループ全体への影響も避けられない。

社内のITシステム停止がビジネスに与える影響

「さらに懸念されるのは、投資家や消費者などから『この企業はセキュリティ対策ができていなかった』とイメージを持たれてしまうことです」（栗林氏）。それに伴い、株価が下落したり企業ブランド価値を損なったり、さらには経営陣の責任問題にもなりかねない。

たとえば、サイバー攻撃に遭い、社内のITシステムが数日間停止したとしよう。経営層のあなたは、それが自社のビジネスにどの程度の影響を与えるのか把握できているか。あるいは、サイバー攻撃で被害を受けた後、できるだけ早くステークホルダーに攻撃の内容や被害の詳細、復旧の見通しを説明できるか。

これらの把握・対応こそが、被害からの復旧を早め、株価下落や企業ブランド価値の毀損から会社を守ることになる。言い換えれば、サイバー攻撃に「事業継続」を脅かされないための、極めて有効な一手になるのだ。

NECは“Futureproof Security 安心の先へ。”をコンセプトに長年にわたり、日本を代表する大手企業や官公庁のセキュリティ対策を支援してきた。また、同社自身がグローバルな製造業として狙われ続けた会社でもあり、セキュリティ対策を実践してきた経験を持つ。その知見をもとに、「5つのポイント」としてセキュリティ対策の要諦をまとめている。

その中でも重要なのは、サイバー攻撃を受けることを視野に入れて体制を構築し、PDCAとOODA*を回して継続的なレベルアップを図ることだという。そして、忘れてはいけないのが、経営者自らがセキュリティ対策を経営課題として「自分事」化すること――。さらに詳しい内容は以下の無料PDFで確認してほしい。

*OODA＝Observe（観察）→Orient（状況判断）→Decide（意志決定）→Act（改善）