｢炎上で二重の打撃｣会社が失うものはお金だけじゃない！どの企業でも起きる“サイバー攻撃”被害を最小限に抑えるには

第3の防御層として、エンドポイントセキュリティの強化も不可欠です。最新のアンチウイルスソフトやEPP（Endpoint Protection Platform）、EDR（Endpoint Detection and Response）などを導入し、端末レベルでの防御を固める必要があります。

未知の脅威に対応できるAI搭載型のソリューションも有効です。近年はランサムウェア攻撃が増加しており、徳島県の半田病院では2021年にランサムウェア攻撃により電子カルテシステムが暗号化されて閲覧できなくなり、新規患者受け入れの停止など被害は長期間に渡りました。

第4の防御層は、アプリケーションとデータのセキュリティです。脆弱性診断を定期的に実施し、SQLインジェクションなどのWebアプリケーション脆弱性を修正することが重要です。

さらに、重要なデータは暗号化し、アクセス権限を最小化して適切に管理します。2024年、積水ハウスの事例ではSQLインジェクションによる攻撃で個人情報が漏洩しました。13年間も放置され、現在は運用していないフォトギャラリーのページに脆弱性があったため、サイバー攻撃を受けてしまったのです。

より高度な対策としては、ゼロトラストアーキテクチャの導入、脅威インテリジェンスの活用、セキュリティ情報イベント管理（SIEM）の導入、サンドボックス環境でのファイル検査などがあります。2022年、モバイルサービス「Uber」はハッキング被害を受けましたが、これは多要素認証を突破される高度な攻撃でした。従来の境界型防御では対応できない脅威に対しては、「誰も信頼せず、常に検証する」というゼロトラストの考え方が効果的です。

また、データの定期的なバックアップとオフラインかつ別拠点での保管も重要です。とくに、ランサムウェア攻撃からの復旧に不可欠です。コピーを複数保持し、一部はオフラインで保管することで、攻撃者からのアクセスを防ぎます。

近年は、バックアップは3つ取り、2種類の記録メディアを利用し、そのうちの1つは別拠点に保管する「3-2-1ルール」が標準となっています。

炎上を最小限に抑える組織的対策と危機管理

サイバー攻撃は「いつか必ず起こる」脅威であり、単なる技術的対策だけでは不十分です。効果的なリスク管理には、組織全体で包括的に取り組んでいかなければなりません。経営層のコミットメントとリーダーシップが重要で、サイバーセキュリティを経営リスクとして認識する必要があります。

経済産業省の「サイバーセキュリティ経営ガイドライン」でも、経営層の責任として「サイバーセキュリティリスクの認識と組織全体の対応方針策定」が第1に挙げられています。

KADOKAWAの事例では、サイバー攻撃後の対応で取締役がメッセージを発信したものの、記者会見での説明不足が批判を招きました。経営層が前面に立つことが信頼回復の第一歩となります。

次に重要なのは従業員教育と意識向上です。サイバーインシデントの多くに人的要因が関与しています。フィッシング詐欺対策や標的型攻撃への警戒、適切なパスワード管理など、定期的な教育・訓練が欠かせません。

また、サプライチェーンリスク管理も重要性を増しており、2024年には大手保険会社の業務委託先がランサムウェア攻撃を受け、顧客情報約6万件が漏洩した可能性が報告されています。委託先・取引先のセキュリティ対策状況確認や、内部不正対策としてのアクセス権管理強化が求められます。

インシデント発生時の対応は炎上防止のカギを握ります。迅速かつ誠実な情報公開や被害者への真摯な対応、透明性の確保、SNSモニタリングが欠かせません。2023年にランサムウェア攻撃を受けたコクヨは、迅速で透明性の高い情報公開により炎上を回避できました。

サイバーレジリエンスの考え方に基づき、攻撃を受けても迅速に復旧し事業を継続する能力を高めることが、デジタル時代を生き抜く企業の条件となります。テクノロジーとプロセス、人材の三位一体でレジリエンスを構築し、サイバーセキュリティへの投資を戦略的取り組みとして位置づけましょう。

東洋経済Tech×サイバーセキュリティでは、サイバー攻撃、セキュリティーの最新動向、事業継続を可能にするために必要な情報をお届けしています。

著者フォローすると、柳谷 智宣さんの最新記事をメールでお知らせします。