サイバー攻撃その瞬間 社長の決定
サイバー攻撃が多発しています。 2025年の1年だけでも、アサヒビールやアスクルに対するランサムウェア被害だけでなく、IIJや駿河屋に対する不正アクセスなど、ニュースを日々騒がせています。
しかし、サイバー攻撃を受けた企業の中で実際にどのようなことが起きているのかを知ることは、なかなかできません。攻撃側に情報を与えてしまうリスクがあることは事実ですが、一方で自分が攻撃を受けた側だと考えてみてください。「こんな対策すらしていなかったのか」と暴露されることを恐れる、という内部事情もあると思われます。 そんな中、本書『サイバー攻撃 その瞬間』は、サイバー攻撃を受けた企業「関通(かんつう)」の社長が、攻撃を受けてから毎日(土日も含めて)どのような対応をしたのか、その時どう思ったのかを記述し、公開した貴重な一冊です。 前半は、毎日どのような対応を行っていたのか、その時の思いが時系列で書かれています。誰もが知りたい、でも考えたくはない「サイバー攻撃の被害を受けた際に何が起こるのか」「何をすればよいのか」という情報を学ぶことができます。後半は、その経験から得た教訓について書かれています。
まず何度も書きますが、今やサイバーセキュリティは経営課題です。私の取引先の某大企業は、サイバーセキュリティの部門が経営室の配下にあります。うらやましい……(笑)。
しかし「サイバー攻撃は他人事ではない」「サイバーセキュリティは経営課題」という意識を、どれくらいの経営者が持っているのでしょうか。この本を書いた社長も、被害を受けるまでは「サイバー攻撃というキーワードは頭の中になかった」と言っていますが、それは2024年の話。2025年は冒頭にも書いたように、そうは言っていられないでしょう。しかしそんな筆者だからこそ、平易な言葉で書かれている “サイバー攻撃が起きた瞬間” の解説にはリアリティがありました。 システムのデータが消去され、業務ができなくなる。既存のネットワークやPCは安心して利用できないことから、必然的にDR(Disaster Recovery)環境で対応しなければなりませんが、準備ができていなかったため、どう対応すればよいのかを全員で考えながら苦難を乗り越えていきます。
“詳細は語れません” と記者会見している会社や、Webサイトでプレスリリースを出している会社でも、この本に書かれているような事象が起きているのかもしれません。これまで「何が起こっているのかいまいちはっきりしないなぁ」と感じていた記者会見も、この本のおかげで、その裏側で実際に何が起こっているのかがイメージしやすくなりました。
前半を読んでいて特に印象に残ったのが、社内ネットワークが信用できないため、個人のテザリングや、SIMを新たに購入してインターネットに繋げて業務を行ったという話です。セキュリティ的には全然安全ではないのですが……背に腹は代えられません。 近年、オンプレミスを持たず、オフィスソフトもGoogle WorkspaceやMicrosoft 365のクラウド利用という組織であれば、インターネットは文字通り生命線であり、止まれば全く仕事ができなくなります。業務システムもクラウド上で稼働しているのであれば、出荷業務もストップします。アスクルや無印良品もこのような状況だったのかもしれません。自分たちの会社がインターネットを使えなくなったら業務をどう回すのか、思わず想像してしまいました。
使えなくなるのはインターネットだけではありません。攻撃を受けたインフラは軒並み信用できないことから、パソコンは新規で調達したものを利用し、データセンターに置いてあるサーバは廃棄するなど、追加の出費が甚大です。 「サイバー攻撃=情報漏洩の対応」というイメージが強かった私ですが、BCP(事業継続計画)にかかるコストや、一時的環境による業務効率悪化に伴う収入減など、あらゆる分野に悪影響が出てしまうことを痛感しました。
アサヒグループの記者会見でCEOも言っていましたが、復旧のための社員の時間外労働が問題になるようです。先ほど触れたように、サイバー攻撃から通常業務に戻すまでの間、アナログな業務で対応せざるを得なくなります。非効率な労働は利益を生み出しませんし、現場は疲弊してしまいます。 サイバー攻撃が他人事ではなく、誰がいつ攻撃をくらってもおかしくないのであれば、私たちもBCPの観点から「いつもと違うツールを利用して業務が回るか」を従業員たちとリハーサル、せめて机上訓練を行ってもよいかもしれません。備えあれば憂いなし、と言いますし。 哀しいことに、これまで二人三脚で仕事をしてきた取引先からは訴訟をちらつかされて補償を要求されます。業務が止まるのですから相手の気持ちも分かりますし、精神がすり減りますよね。 他にも、保険会社がサイバー攻撃による被害について支払いをためらう(「お金を出したくない」という理由だけでなく、社内に前例がないため支払い対象か判断できない)など、経営者にとって頭が痛い、めまいがする話ばかり出てきます。経営者の方は、サイバー攻撃の恐ろしさとBCPの重要性を、肌身を持って認識できる内容だと思います。
後半は教訓について説明があります。この本は経営者目線で書かれているので内容は特に新鮮です。 まず、過去の東日本大震災の経験から、「借金してでも現金を手元に置いておくこと」の重要性が説かれます。社長は会社を維持しなければなりません。時系列の説明で保険会社の動きが鈍いことが散々強調されていたのも、お金が事業継続に必須だからなのでしょう。 今回は異常事態であり、管理職に対しても残業代を支払うこととしたそうです。また、従業員個人のスマホのテザリングで業務をお願いしているのですから、当然通信費も支払う必要があります。経営者として適切な支出への判断が必要で、そのためにもお金がたくさん必要になります。 また、トヨタイムズのサイバー攻撃の記事で「現場にカレーが振る舞われた」という話がありましたが、この本でも「お弁当の支給」「社員食堂の無料化」「コンビニ買い出しへの補助」などの話が出ていました。腹が減っては戦が出来ぬ。
その他の教訓として、以下の点が挙げられていました。
- 従業員に対する意識の啓発
- これはもう散々言われていることですが、せっかくルールがあっても現場が知らなくては意味がありません。この本には直接の原因は書かれていませんが、やはり入り口は従業員のフィッシングメールだったりするのでしょうか。セキュリティ担当だけでなく、全員のレベル向上を図る必要があります。
- バックアップの再考
- 重要なデータだけでなく、機密情報が入っていないとしても「ビジネスを継続するための基本的なデータ」についてバックアップできているか、もう一度考える必要があります。
- BCP・DRにおける「アナログ」の許容
- 読んでいて一番「これを考えなければ」と思った点です。あくまで緊急事態なので、アナログで対応する業務フローでよいのかもしれません。今にして思えばアサヒグループのCEOが「Excelを使った昭和の仕事」と言っていたのは示唆に富みます。最終的に元の便利なシステムに戻すのであれば、一時的な業務形態が仮に効率が悪くても、まずはちゃんと業務が回ることを重視して、Excelと電話で仕事をしてもよいのです。
この本は読み物としてエモーショナルに書かれている部分も多いです。「関通最高! 従業員最高!!」という記載が至る所にありますが、従業員としても社長が会社を卑下するよりは読んでいて気持ちが良いでしょう。実際のところ、社長以下部長、各従業員がみんなで力を合わせてこの危機を乗り切ったのだと思います。その絆を社長としてどうしても伝えたかったのでしょう。 その結果、私が本当に読みたかった「現場のネガティブな話」は鳴りを潜めていたのは若干残念です。
そして、転んでもただでは起きません。関通ではサイバー攻撃の脅威から企業を守るための実践型セキュリティ・プログラム「サイバーガバナンスラボ」始動というサービスを提供し始めています。
当社自身が実際にサイバー攻撃を受け、それを乗り越えた経験から誕生しました。単なるセキュリティ知識の提供にとどまらず、被害企業だからこそ語れる「リアルな教訓」と再発防止のための知恵を、あらゆる企業に届けることを目的としています。机上の空論ではなく、現場で使えるセキュリティの実学を提供する、日本で唯一のプログラムです。
たしかに、小難しい長文で書かれたベストプラクティスよりも、「現場は実際にはこうなっているんだから、こうやって対応するんだよ!」というプログラムのほうが役に立ちそうです。 本の中でも、あるセキュリティベンダーに対して「言っていることは正しいが、その調子ではいつまで経っても状況が改善されない」として契約を切った、というエピソードも紹介されていました。実体験に基づいた「実学」は強そうです。