会社がランサムウェア攻撃を受けたらどう対応する？「事業継続」に関わる重大リスクに、専門家2人が提言

BE PREPARED!

2024年12月25日（水）17時43分

構成・山田敏弘　写真・遠藤宏

newsweekjp20241224100007-e238cae8d84e16a22fc5a27bbe50b716d47437e8.jpg

URBAZON/ISTOCK

中谷　サイバー攻撃の被害を直接受けてきた金融業界のサイバーセキュリティー対策は相対的に進んでいると思います。現在の金融業は、オンラインで安全にサービスを提供できることを前提にしているので、まさに経営課題の１丁目１番地になっていると思います。他方、全体的には、まだまだ費用対効果が出ているのかわからないという企業や、サイバーセキュリティ対策に力を入れているが切りがないので困っているという企業の声も聞きます。Wise Spendingが重要なのはその通りですが、やはりこれは地政学的リスクやレピュテーションリスク等のリスクを判断軸にするのではなく、金額基準で考えてしまうからだと思います。

また、日本では企業がインテリジェンス（分析情報）をベースにリスクを議論して経営陣が判断していくプロセスがまだ確立されていないように思いますが、これから進んでいくように感じています。

山岡　サイバーセキュリティーにインセンティブと制裁とをひも付けることも一案です。例えば、セキュリティーレベルが高い企業はサイバー保険の保険料が安くなったり、逆にサイバーセキュリティー対策を十分にしていない企業は公共工事への入札やサプライチェーンへの参加ができなかったりと。

中谷　アメリカでは国防総省がサイバーセキュリティーの水準を調達案件の条件にしています。まさに、インセンティブとサンクションを紐付けています。決められたセキュリティーの水準を満たしていないと国防総省とはビジネスはできないとなるわけです。しかも直接の契約者だけでなく、そのサプライヤーにも同じ基準の遵守を求めていますので、サプライチェーン全体のサイバーセキュリティ強化に大きなプラス効果を生んでいると思います。

──日本は中小企業が圧倒的に多いが、そこまで対応できるのか。

山岡　中小企業で言えば、警察庁のデータで分かるサイバー攻撃の傾向を把握し、優先順位を付けて対策を進めることが有用でしょう。例えば警察庁のデータによると、ランサムウエア攻撃ではVPNが最大の侵入経路です。リモートワークの普及に伴って導入されたVPNが不正アクセスの侵入経路に使われる。そうであればVPN機器の管理を重点的に進めることが有用です。

次のページランサム（身代金）を払ってもよいのかどうか