億単位の損害?｢大規模マルウェア感染｣の深刻度 システム1ヵ月停止で売り上げ何％減か想定を

ここでのカギは、攻撃の被害によって「事業の継続性」にどの程度影響が出ているか、「直接・間接」双方の観点で考えることだ。

例えば、ランサムウェア（マルウェアの一種で、復旧と引き換えに「身代金」を要求するもの）に感染してファイル群が暗号化されて読み込めず、事業に必要なシステムが一部停止に追い込まれた場合、この状態が1カ月続けば○○％の売り上げ減が見込まれる、といった具合だ。

実際の現場において、初動対応でここまで情報を整理するのは難しいかもしれないが、そのための状況把握や、最終的な経営判断の材料となり得る事実関係は押さえておくべきだ。

サイバー攻撃を「事業継続」の切り口で捉えると、企業・組織の対応の分岐点はBCP（事業継続計画）を発動するかどうかにある。

BCPとは「自然災害・大火災・テロ攻撃などの緊急事態に遭遇した場合において、事業資産の損害を最小限にとどめつつ、中核となる事業の継続あるいは早期復旧を可能とするために、平常時に行うべき活動や緊急時における事業継続のための方法、手段などを取り決めておく計画のこと」（中小企業庁「中小企業BCP策定運用指針」）だ。

昨今のサイバー攻撃は事業継続を困難にする威力を持つため、BCPを発動する事象の1つとして想定しておかなくてはならない。サイバー攻撃がIT部門・情報セキュリティ部門・技術部門の対応だけでは収まらないという主張のゆえんがここにある。現場が収集した情報を集約し、BCP発動から対応方針の決定に至る判断をするのは、経営層が主導して行うべき事項だ。

南海トラフ地震発生のBCPが功を奏した病院

ここで、1つ具体例を出してみよう。2021年11月にランサムウェア被害に遭った徳島県つるぎ町立半田病院。ランサムウェアLockBitにより電子カルテシステムなどが暗号化され、診療業務を著しく制限する事態に追い込まれた。

災害拠点指定病院であった半田病院は、もともと南海トラフ地震発生を想定したBCPを策定していたが、当時のランサムウェア攻撃を受けてこのBCPを発動したと聞いている。

平時から、大規模停電を想定して医療事業継続訓練を実施していたことが功を奏したのか、約2カ月で復旧に漕ぎ着けた。もちろん、対応期間中の組織内の混乱・苦労・努力は想像を絶するものがあっただろう。

とはいえ、こうした対応をすべての組織が内製化するのは無理がある。専門知識を持つ人材の確保や育成には、時間と費用の両面でコスト高となる場合がほとんどだ。必ずしも内製化を否定するものではないが、迅速な初動対応のために普段から攻撃の兆候を監視するには外部の専門企業を活用するのが現実的だ。