｢サイバーリスク｣に備えた契約書上の重要項目 事業継続を脅かす最上位の経営リスクが潜む

しかもランサムウェア攻撃では、ドキュメントファイルだけでなく電子ファイル全体が暗号化されるリスクがあります。パソコンのOSやアプリケーション、基幹系や情報系、制御系などのシステムはすべて電子ファイルで構成されていますので、DX化でビジネスの基盤となったITインフラ全体が止まり、事業継続が脅かされます。この点でいえば、もはやサイバー攻撃は最上位の経営リスクといえるのです。

｢経営者の認識の甘さ｣が対策不足に直結している

――山岡さんはサイバーセキュリティに特化した企業支援をされていますが、経営者はサイバーリスクの増大に気づいているのでしょうか。

サイバーリスクについての認識については、残念ながら、まだ過渡期だと思います。企業の役員研修で「サイバーリスクといえば何が思い浮かびますか？」と聞くと、「個人情報の漏洩」という回答が多数を占めます。

おそらく、約10年前に大手企業が数千万件の個人情報漏洩事件を起こした印象が強いのでしょう。サイバーリスクが個人情報の漏洩に留まるならば事業継続に直接影響するわけではありません。その意味で、現状サイバーリスクは過小評価されています。サイバー攻撃で企業が傾くかもしれないという認識はまだ十分に浸透していない状況だと思います。

東洋経済Tech×サイバーセキュリティのトップページはこちら

サイバーリスクを過小評価している企業は、セキュリティへの投資について消極的です。十分に人材を確保していなかったり、予算を充てていなかったり。それでは防げるものも防げません。事業継続を脅かすほどのリスクなのに、経営者の認識が十分ではないことに起因して、適切な体制・予算が整えられていない企業が、規模や業種を問わずまだ多い印象です。

例えば、警察庁の公表データによると、ランサムウェア被害の7割以上がVPN機器からの侵入です。

これを見ると、ランサムウェア攻撃の対策としてはVPN機器の対策、具体的に言えば脆弱性の管理と他要素認証の導入が極めて重要になります。実は、これらは追加コストをかけずに比較的容易に導入できます。それにもかかわらず、ランサムウェア攻撃による被害が後を絶ちません。やはり、サイバーリスク対策が後回しになっているのでしょう。