企業は攻撃の犠牲になった後にのみサイバーセキュリティを真剣に受け止めている。
深刻なサイバー攻撃被害に遭った10の組織に対して英国政府DCMS(文化メディアスポーツ省)が調査し、8月に公開された報告書で述べている。*1
今回は、この報告書からいくつかのケースを読み解き、サイバーリスクについて考えていく上でのヒントを拾い集めていく。
フィッシングメールでの被害に遭った企業の事例。
被害に遭った企業の部長職にあった者は、被害に遭うまで自らの組織が無知でナイーブなものであったと述懐している。具体的には、IT責任者や上級管理職者はクラウド上に構築されたシステムに満足しており、むしろ自社のビジネスが少し先を行っていると考えていた。
また、火災などの物理的な災害に備えてクラウドへのバックアップは用意されていたが、サイバー攻撃には十分考慮しておらず、緊急時の対応手順も整備されていなかった。その結果、サイバー攻撃と被害の拡大を攻撃者に成功させることになってしまった。
ここでは敢えて社名を伏せるが、今年ランサムウェア攻撃の被害に遭い大きく報道された日本企業では、緊急時の対応手順が整備されていたからこそ事業中断を最小限に抑え込み業務再開に繋げることに成功している。
次に、DDoS攻撃の被害に遭った企業の事例を見てみよう。
被害に遭った企業のIT担当者は豊富な経験を有しており、組織も技術に十分精通していると考えていた。そして、業界内でも技術的に進んだ会社であると考えていた。
今回のサイバー攻撃被害に遭う前までも、なりすましメールやスパムメールを開いてしまったという問題は社内で発生していたものの、それらはIT部門のみで対応され、他部署との連携や情報共有は行われてこなかった。このDDoS攻撃に遭った際にも、IT部門から上級管理職者への直接の報告は行われておらず、公的機関への報告なども行っておらず、さらにデータの損失が確認されなかったことから顧客への報告なども行われていなかった。
これら二つの事例から見えてくることは、自社の状況に慢心しており、時としてその状況が過剰なまでの状況にあること。
そして、サイバーリスクがIT部門固有の問題と捉えられており、全社的な情報共有や連携が想定されていなかったことが垣間見える。
同じくDDoS攻撃の被害に遭った別の企業の事例では、取締役会に報告し、サイバーリスクに関する全ての責任を負うCSO(Chief Security Officer)が主導することで被害を最小限に抑え込んでいる。
この企業では、サイバー攻撃を仕掛けることが可能な外部に面したIT資産を常に特定し、それぞれを保護するための施策を行っていた。一見単純な話ではあるが、組織が大きくなるにつれて「忘れられたIT資産」が発生し易くなる傾向がある。そして、サイバー攻撃に遭ったことでその存在が思い出されるといった冗談のような本当の話は少なくない。
そこまでしていたからこそ、サイバー攻撃を受けていることに迅速に気付くことができている。しかし、そこまでできていても尚、原因の特定に時間を要し一時的なシステム中断が発生したため、£500,000(およそ8,000万円)もの機会損失が生じていると考えられている。当然、ここまでの取り組みが無かったのだとすれば、損失は更に拡大する。
また、IT資産を特定し、そこにある脆弱性も認識していた別の企業での事例。
脆弱性は認識していたものの、他の業務が優先されたことで対処しておらず、ランサムウェア被害からの復旧に2週間を要し、その間のシステム停止。更に、複数のファイルへの不正アクセスを許してしまった。
この企業ではサイバーに関連したポリシーの策定と、業務プロセスの整備も行われていた。そして、IT責任者は外部のコンサルタントや追加の技術導入への投資も行っている。更に、信頼できるサードパーティーのベンダーもいた。
ところが、ポリシーやプロセスはしっかり守られておらず、サイバー攻撃が発生してからIT責任者に報告があったのは実に2時間後。既に多数のファイルに不正アクセスが行われ、ネットワークの多くが中断しファイルへのアクセスができなくなっていた。
その後の調査の結果、このサイバー攻撃を行った者は18ヶ月もの間システムに潜伏しており、特定のセキュリティ機能が無効化されて外部からの不正アクセスが可能な状態になっていたことが分かっている。
これらのサイバー攻撃被害から見えてくることは、備えていたとしてもやられるし、その備えに実効性が無ければ意味がないということだ。
ここでいくつかの事例を紹介してきたが、ほぼ全ての事例で共通していることは、サイバー攻撃被害にあった後にサイバーリスクについて真剣に受け止め、サイバーセキュリティ投資を増やしたこと。具体的には、MFA(多要素認証)の導入や、サイバーリスクの分析、定期的なセキュリティテストを実施している。これらは多くのガイドラインや標準規格などで推奨されていることでもある。
そして、大きな変化はサイバーリスクが取締役会レベルの重要なビジネス課題として位置付けられたことだ。
前述したDDoS攻撃被害に遭った企業での事例のようにIT部門固有の問題として捉えられている場合、その知見は社内に共有されないため従業員一人一人の行動の変革に繋がらず、迅速な対応を阻害する要因となってしまっている。
自社を装った偽ウェブサイトを顧客に送信された企業のCISO(Chief Information Security Officer)は、サイバーリスクが財務リスク、運用リスク、戦略リスクでありビジネス上の問題であると述べているが、サイバーリスクは企業の事業継続に深刻な影響をもたらしてしまうものである。
既に多くの企業ではサイバーセキュリティに関する規定類などのポリシーが整備されているが、定期的に見直していくことで実態に即した実効性のあるものにしていかなくてはならない。サイバーリスクが高まっていることは、今回の調査に参加したサイバー攻撃被害に遭ったことのある企業のほぼ全員が認めている。
そしてビジネスリーダーは、サイバーリスクにも意識を向け、より大きな損失をもたらすセキュリティ侵害が発生する前に積極的に関与していくことが望ましい。データが持ち出された時だけ損失が発生するわけではないのだから。
残念ながら、サイバー攻撃被害に遭った後にのみ、サイバーセキュリティを真剣に受け止めている事例ばかりだ。
英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。
