会社がランサムウェア攻撃を受けたらどう対応する？「事業継続」に関わる重大リスクに、専門家2人が提言

BE PREPARED!

2024年12月25日（水）17時43分

構成・山田敏弘　写真・遠藤宏

newsweekjp20241224084508-aa2aec79a91c547faf8ce3298905f6654937fdec.jpg

山岡裕明（弁護士）　HIROSHI ENDO

中谷　サイバー攻撃は技術的なことなのでCISO（最高情報セキュリティー責任者）が対応すれば十分という考え方から、もはや経営の問題だと認識する人が増えています。サイバー攻撃は金銭目的や破壊目的もある地政学の問題であり、今後も被害が続くので対策についてはコンプライアンスとして扱うのではなく、事業継続の問題として経営陣が主体となって対応する必要があります。

ただし現状では、サイバー攻撃の被害はどうしても「不祥事」に見られるという意識があるため、企業はサイバー攻撃の被害を公表すると評判が下がったり、株主などからの訴訟が起きたりするのを恐れてきたように見えます。そうではなく、サイバー攻撃の本質は犯罪行為であり、（相応のサイバーセキュリティ対策を行なっている）企業は犯罪の被害者でもあるという認識を持つことで、被害をきちんと報告し、さらなる攻撃の対応につなげていくべきだと思います。

山岡：日本企業において、サイバーセキュリティは技術の問題から組織の問題へと移行しつつあるように感じます。すなわち、どういったセキュリティ対策をすべきかはある程度定まってきたため、次の課題はどれだけセキュリティ対策を組織として徹底できるかの問題になってきました。

次のページサイバーセキュリティと利便性は相反することが多い