ログイン
無料会員登録
ログアウト
マイページ
他人事では済まされない! サプライチェーン全体に及ぶランサムウェアの被害
近年、ビジネスの世界では、企業・業種の垣根を越えたシステム・サービスの連携やサプライチェーンの複雑化が進んでいる。これに伴って、局所的なサイバー攻撃がサプライチェーン全体の混乱・停止や、深刻な情報漏洩につながるリスクも増大し続けている。サイバー攻撃に備える対策強化は、いまや企業単体の問題ではない。
ランサムウェア(身代金要求ウイルス)の感染が、業界内に甚大な被害をもたらした例でいえば、2023年に発生した港湾での出来事が記憶に新しい。港内のコンテナターミナルを一元管理するシステムがランサムウェアに感染し、システムを構成する仮想サーバーとその物理基盤すべてが暗号化され、システムが使用できなくなった。この影響で、船舶の荷役スケジュールに最大24時間程度の遅延が発生。最終的には、1万本を超えるコンテナ搬出入に影響が及んだと推計されている。扇氏は、この事案の問題点と影響の大きさについて、次のように語る。
「この事例では、港湾システムを利用している企業用のVPN(ネット上の専用回線)を経由して、ウイルスが送り込まれた可能性が高いことがわかっています。このVPNは、ID/パスワードが一致しさえすればアクセスが可能な認証設定になっていたようです。また、以前から不正アクセスに対する脆弱性が指摘されていたにもかかわらず対策も講じられていなかった。おそらく、VPNの設計・メンテナンスがシステム会社に任せきりになっていたことが問題点といえるでしょう。この件は、『物流』という日本の重要インフラに影響を及ぼしたサイバー攻撃として、重く見るべき事案です」
サイバーセキュリティはビジネスの「常識」となる
港湾システムへのサイバー攻撃は、日本政府の国家安全保障政策にも影響を与えたと扇氏は解説する。
2023年は、2022年5月11日に成立した『経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律』(以降、『経済安全保障推進法』)における重要分野について、国が取り組みを策定している最中でした。国が企業に対し、サイバー攻撃対策などを適切に講じているかを審査する『基幹インフラ』の対象として14分野が指定されていましたが、その時点で港湾は含まれていませんでした。この事案をきっかけに、事前審査の対象業種として『港湾運送』を追加する改正法が公布されたのです。つまり、国の法律を変えるほどインパクトが大きい事案だったということです」
経済安全保障推進法における基幹インフラとは、社会の基盤を支える重要な役割を果たす設備等のことで、サイバー攻撃などによって機能が停止、もしくは低下した場合に「国家及び国民の安全を損なう」とされる分野のこと。15分野の中には、鉄道、貨物自動車輸送、外航貨物、航空、空港など物流分野が数多く含まれている。原料の調達から製造、在庫管理、配送、販売までをつないでいる物流は、いわば産業の血管ともいうべき存在だ。だからこそ、物流分野のセキュリティ対策は重要だと扇氏は言う。
「今、物流業界ではDXが急速に進んでいます。その一方で、特に中小事業者においては、サイバーセキュリティの重要性に対する意識が低いように感じます。サプライチェーンがデジタルでつながっている昨今、自社のセキュリティレベルが、サプライチェーン全体のセキュリティレベルを決定するといっても過言ではありません。実際に、経済安全保障推進法では、企業のリスク管理措置に関するチェック項目が定められていて、それに則っているかどうかが調達条件になってきています。セキュリティリスクに対する適切な対応が実施されていない企業は、今後、サプライチェーンから排除され、ビジネス機会を失ってしまう可能性があるのです」
組織体制で高める、「サイバーレジリエンス」の力
デジタルにおけるセキュリティレベル向上が企業に求められる中、扇氏がサイバー攻撃への対応として称賛する事例がある。2022年、某自動車メーカーの取引先の部品会社がランサムウェアによる攻撃を受け、国内10カ所以上の工場の稼働がストップした事例だ。扇氏は、評価のポイントを次のように解説する。
「まず、部品メーカーの初動対応が非常にスピーディーでした。インシデント発生が土曜の夜だったにもかかわらず、日曜日の朝までにはネットワークを遮断しています。この素早い対応があったからこそ、『工場停止』という重い判断を速やかに行い、サプライチェーンへの影響を最小限にとどめることができた。実に素晴らしい対応だと思います。これほど迅速かつ的確な対応は、日頃から訓練していないとできることではありません。『サイバーレジリエンスの力』が備わっていると感じます」
「サイバーレジリエンス」とは、サイバー攻撃を受けることを前提として、被害を低減しつつシステムを早急に復旧することで、事業継続性を高める企業の能力をさしている。
では、企業がサイバーレジリエンスを高めるためには、何が必要なのだろうか?
「まず、経営トップがサイバーセキュリティの重要性を認識すること。その上で、トップ直轄のセキュリティ対策推進室が、各事業部のセキュリティ対策を指導・推進していくというツリー構造の組織体制が理想です。ここで大切なのは、事業部ごとにセキュリティ対策を理解できる人材を配置することです」
とはいえ、サイバーセキュリティに精通する人材を自社で育成し、すべての事業部に配置することは容易ではない。しかし扇氏は、自社のセキュリティ人材はアウトソースが難しい場合もあると語る。
「セキュリティ分野の知識には専門用語も多いため、現場の仕事に即した形で伝えることが難しい。現場の状況を熟知した上で必要な知識を取捨選択し、翻訳して伝えることのできる人材が不可欠なのです。当社がお客様から相談を受けた際にも『教材のベースとなるものはご用意できますが、つくるのはお客様です』と話しています」
その一方で、サイバーレジリエンスの力を高めた企業は、大きなビジネスチャンスをつかむ可能性が高まると指摘する。
「経済産業省は、企業のサイバー攻撃対応力を5段階で評価する制度を2025年度に導入する方針を発表しました。この新制度は、企業が行うセキュリティ対策の質を可視化し、取引先やビジネスパートナーの選定において重要な指標となることを目指しています。今後、こうした認証の取得は、政府や自治体の取引要件にも入ってくるでしょう」
企業の社会的信用が高まれば投資家からの関心も集まり、企業価値が向上することで優秀な人材の採用へとつながる……こうした好循環が生まれることで、ビジネスはさらに推進力を増していくに違いない。
