｢炎上で二重の打撃｣会社が失うものはお金だけじゃない！どの企業でも起きる“サイバー攻撃”被害を最小限に抑えるには

2024年、総務省はLINEヤフーに対して行政指導を行った（出所：総務省ホームページ）

サイバー攻撃が「炎上」に発展するケースを詳細に分析すると、いくつかの典型的なパターンが浮かび上がってきます。とくに、インシデント発生後の企業の対応が不適切だったことで批判が増幅するケースが目立ちます。

炎上を加速させる要因として注目すべきは、情報開示の遅れや不透明さです。2017年、米国の信用情報会社であるEquifaxは、既知の脆弱性の修正パッチを適用していなかったことが原因で、約1億4200万人以上もの個人情報が流出する事態に陥りました。

同社は侵害発覚から公表まで40日以上もかかったうえ、初期対応のWebサイトには被害者の訴訟権を放棄させようとする条項が含まれていました。また、事件発覚後から公表される前に同社幹部が株式を売却し、米司法省の捜査が行われたのです。これらの不適切な対応により、消費者からの激しい批判と不信感を招き、最終的にCEOを含む経営幹部が辞任する事態となりました。

一方、迅速かつ透明性の高い対応が評価された例もあります。2024年5月、JR東日本のモバイルSuicaやえきねっとが接続しにくくなる障害が発生した際、同社は速やかに「サイバー攻撃を受けた可能性がある」と発表し、必要な対応を講じました。結果として約4時間後にはサービスが復旧し、大規模な批判には発展しませんでした。

サイバー攻撃の事例を分析すると、サイバー攻撃を防ぐための対策と、たとえセキュリティインシデントが起きたとしても、炎上を防ぐための対応策の教訓が得られます。

炎上は広報対応だけで鎮火できるトラブルではなく、企業の存続を左右しかねない経営課題です。サイバー攻撃自体を防ぐ技術的対策と同時に、万が一の際の危機管理体制を整備しておくことが不可欠となっています。

多層防御で侵入を阻止する技術的対策を

サイバー攻撃による炎上リスクを軽減するためには、まず攻撃自体を防ぐ技術的対策が必須です。企業を取り巻く脅威は多様化し、同時に高度化しています。単一の対策では十分な防御ができなくなっているのです。

そのため、複数の異なる防御層を組み合わせる「多層防御」で、一つの層が突破されても別の層で攻撃を阻止することが重要になります。

第1の防御層として重要なのが、OSやソフトウェアの迅速なアップデートとパッチ適用、サポート切れシステムの利用停止、強力なパスワードポリシーの施行、多要素認証（MFA）の導入などの基本を適切に運用することです。Equifax社の事例では、Apache Strutsの既知の脆弱性に対するパッチを適用していなかったことが大規模な個人情報流出につながりました。

第2の防御層は、ネットワークセキュリティです。ファイアウォール、次世代ファイアウォール（NGFW）、侵入検知/防止システム（IDS/IPS）、WAF（Web Application Firewall）などを適切に設定し、不正なアクセスを遮断します。さらに、ネットワークをセグメント化することで、万が一侵入されても被害範囲を限定することができます。

とくにVPN装置は近年の攻撃標的になりやすいため、脆弱性対策と監視強化が必須です。例えば、2023年にJAXA（宇宙航空研究開発機構）がVPN機器の脆弱性を悪用された攻撃を受け、「Microsoft 365」のアカウント情報を窃取し、不正アクセスされました。