気になるのは「パスワードの脆弱性をつかれた」部分…アサヒのサイバー攻撃被害に学ぶ企業のリスク管理 [マネジメント] All About

サイバー攻撃による被害を受けたアサヒグループHD。同社商品が一時品薄になるなど、その被害は私たち消費者にも影響を及ぼしました ※画像：Shutterstock.com（画像はイメージ）

大企業をターゲットとした、サイバーテロ攻撃の脅威が増しています。昨年のKADOKAWA・ニコニコ動画への攻撃によるサービス停止は記憶に新しいですが、今年も飲料メーカー大手のアサヒグループHD（以下、アサヒ）、ネット通販大手アスクルなどへの攻撃が続発しています。

企業はサイバー攻撃にどう対処するべきか

被害が甚大なアサヒのケースは、ロシア系ハッカーグループと思われる「Qilin（キリン）」によるランサムウェア攻撃でした。発注システムが機能不全となり、同社は急きょ、電話、FAXなどを駆使したアナログ対応での業務継続を余儀なくされました。

被害総額は約30億円ともいわれ、個人情報191万件が流出した可能性も懸念されています。企業は明らかな犯罪行為であるサイバー攻撃に、いかにして対処するべきなのでしょうか。

アサヒのサイバー攻撃被害から得る大きな教訓

アサヒは攻撃発覚から約2カ月を経て、トップによる記者会見を行いました。それによると、同社のセキュリティーレベルについては、「米政府機関NISTが策定したサイバーセキュリティー対策基準に基づいて対策を講じ、ホワイトハッカーによる模擬攻撃を実施するなど、必要十分な対策をとっていたと認識していた」（勝木敦志社長）とのことで、考え得るセキュリティーレベルに瑕疵（かし）はなかったとの見解を示しました。

その上で今回の攻撃について、「私どもの認識を超えるような高度かつ巧妙な攻撃だった」と無念さをにじませました。確かにハッカーのハッキング技術は、日々高度化しているのは確実で、企業サイドのセキュリティー強化とはいたちごっこの感を拭えません。

ただ気になるのは、会見の中でそのハッカーの侵入を許した原因として、「パスワードの脆弱性をつかれた」という言葉で語られた部分です。細かい説明はありませんでしたが、言ってみれば、「推測されやすいパスワード」「複数個所での同じパスワードの使いまわし」「長期間同じパスワードでの放置」などが、その中身であると推測されます。

すなわち、どれだけ強固なセキュリティーを構築しようとも、現場での意識の甘さがあった場合、それは容易に打ち破られてしまうリスクをはらんでいると言えるのです。この点は、今回のケースからの大きな教訓の1つであると考えます。

そのあたりを強化するためには、社内管理体制の整備も重要になってくるでしょう。リスク管理部門は上場企業であれば、基本的に設置されているはずですが、企業によってはITセキュリティーの専門担当者の設置がなく、IT部門との兼務でむしろリスク管理については副業的な扱いになっているケースも散見されます。

アサヒで見られた情報セキュリティーを統括する担当役員が置かれていないなどのケースも含め、サイバー領域におけるリスク管理に対する認識の甘さがあるならば、今回の件を他山の石としてしっかり強化する必要があるでしょう。

万が一に備えた「BCP」の策定

ランサムウェアによる攻撃を受けた場合、その復旧は容易ではなく、基本はほとんど1からの再構築になるといいます。今回のアサヒの件で現時点での復旧見通しは、来年2月とのこと。約5カ月間もシステム不備のまま業務を続けなくてはいけないという状況は、企業業績だけでなく、現場にとってもあまりに影響が大きいと言わざるを得ないでしょう。

昨年のニコニコ動画のケースでは、攻撃被害発生から約2カ月でサービス提供が本格的に復旧しています。アサヒのケースとはシステム規模の違いはありますが、ニコニコの場合はたまたま開発中の次期システムが公開に向け控えていたために、それを前倒しすることで、復旧を早めることができたといいます。

このケースは偶然のなせる業ではあったわけですが、本来は万が一に備えてのBCP（Business Continuity Plan＝事業継続計画）を事前策定し、有事の際に影響を最小限に抑える代替手段や、オフラインで予備システムをスタンバイさせるなど準備をしておく必要があるでしょう。この点は、他社が最も教訓とすべき部分であるように思われます。

リスクに備えるために必要なこと

アサヒの勝木社長はハッカーグループとの接触について、「接触はしていない。身代金も支払っていない」とキッパリ否定しました。その理由として、「身代金を払ったとしても、完全に復旧できるとは限らない。支払ったことが明らかになれば、他の攻撃者からも狙われるリスクが出る。そして、反社会勢力とも言える者にお金を支払うことは、当然避けなければならない」と、反社会的勢力と対峙（たいじ）する毅然たる姿勢を示しました。この点に関しては勝木社長の発言は正論であり、どの企業においても、仮にハッカーからの具体的な身代金要求があろうとも、それに応えるべきでないことは言うまでもありません。

なお、同社の会見実施が事態発覚から2カ月後と遅れた理由については、社内外への被害拡大防止を最優先して、復旧作業と調査を行っていたため、とのこと。不確定要因が多い段階での情報開示は、ハッカーグループに余計な攻撃材料を与えかねないものであり、この点でも同社の判断は賢明であったと言えるでしょう。

IT化、DX化が伸展した現在のビジネスモデルにおいては、サイバー攻撃によるシステム不全は業務管理、取引管理、情報管理など、さまざまな領域にまたがる膨大なリスクをはらんでいます。各企業はこの機会に、自社内におけるサイバーリスクのリスク管理上の優先度合いおよびヒトとカネの配分の見直しと、BCPの再点検が不可欠ではないでしょうか。

＞次ページ：情報漏えいの発生、またはそのおそれがある個人情報の詳細