KADOKAWA｢サイバー攻撃｣が示した経営リスク セキュリティの難題に日本企業はどう向き合うか

1つは、夏野社長の冒頭のコメントにもある、侵入を防ぐ難しさだ。

KADOKAWAが社外のセキュリティ専門企業と行った調査によると、今回の事件の原因は、フィッシングなどの攻撃によって従業員のアカウント情報が窃取され、社内ネットワークへ侵入されたこととされている。

カギを握る侵入後の初動対応

システムの脆弱性を管理し、社内に向けてセキュリティ意識向上に向けた啓蒙を行ったとしても、侵入から完全に守り切ることは難しい。日本ハッカー協会代表理事の杉浦隆幸氏は「インターネットにつながっていればすべて狙われる。侵入されたものの、その先に行けずに何も起こらなかっただけという事例もたくさんある」と話す。

そこで重要になるのが、侵入された後の初動対応だ。

KADOKAWAの場合、サーバーを封鎖する事態に追い込まれたため、データセンターを共有している他のサービスにまで影響が拡大した。結果として、システムの復旧やデータの復元に時間がかかってしまった。

初動対応を迅速に行うには、社内の体制整備が不可欠だ。杉浦氏は「上場企業や、従業員が1000～2000人規模の会社なら、1人は常勤のセキュリティ担当者を置くべきだ。その人の判断と責任でシステムやネットワークを止められる権限を持たせることが重要で、そうすれば暗号化される前に止められるはずだ」と指摘する。

一方で、セキュリティの強化は業務の利便性を阻害する懸念もあり、多くの企業にとって悩ましい課題となっている。KADOKAWAの夏野社長は「セキュリティレベルの向上と効率性は、バランスの問題がある。今後も最大のセキュリティレベルを確保しながら、ユーザビリティもきちんと維持していく」と話した。

ウェブサービス事業を手がける会社の幹部は「権限のあるIDを窃取されるのは怖いが、侵入された後の被害拡大を防ぐために権限を制限しすぎると生産性が下がってしまう」と苦悩を語る。前出の杉浦氏によると、動かなくなるリスクを回避するために、重要なシステムほどソフトウェアをアップデートしない場合があるという。

被害団体の半数は監査を実施せず

利便性とのバランスを取りながら、どの程度までセキュリティ対策を強化すべきかを判断するには、サイバーセキュリティの専門家によるチェックも欠かせない。システムのエンジニアのみでは、企業全体に関わる意思決定ができない場合もあるからだ。

KADOKAWAでは、今回の事件を踏まえ、社外の大手セキュリティ専門会社による助言とチェックを基にした再発防止対策を推進するという。

警察庁の調査によると、2024年上半期にランサムウェア被害を受けた企業・団体で、適切な情報セキュリティ対策を講じているかを評価する外部・内部監査を実施していたのは回答のあった66件中11件にとどまり、約半数の34件は外部・内部を問わず監査を実施していなかった。

KADOKAWAのような他社の事例に学ぶことも対策の1つだろう。TMI総合法律事務所の大井哲也弁護士は「一般論として過去の事件の調査報告書は参考になる。攻撃手法や再発防止策の詳細はぼかされているが、攻撃シナリオを見て、自社に同様の攻撃があった場合に、どの対策で防げるのかについてシミュレーションをすることも有効だ」と指摘する。

サイバー攻撃による経営上のリスクを、多くの日本企業に知らしめた今回の事件。先例を教訓にして、危機感を持って備えを講じられるかが問われている。

田中 理瑛：東洋経済 記者