アスクルとアサヒ｢サイバー攻撃被害｣どこに隙？

サイバー攻撃において、攻撃者が最も重視するのは「見つからないこと」です。不正アクセスが発見されれば、企業側は即座に対策を取ります。そのため攻撃者は、まず自分たちの存在を隠し、気づかれないように行動します。日常的なログの監視や、不自然な挙動への気づきがなければ、この段階で攻撃を止めることは難しいのです。

バックアップがあっても復旧できるとは限らない

アスクルは復旧に時間がかかった理由として、バックアップファイルも暗号化されたことを挙げています。これは確かに大きな問題です。

ランサムウェア対策として、「バックアップは別に保管する」「攻撃者からアクセスできない形で保存する」といった注意喚起は、すでに数年前から繰り返されてきました。ランサムウェアに対する危機感があまりにも乏しく、杜撰であったと言えるでしょう。

しかし、ここで注意すべきなのは、「バックアップがあれば安心」という考え方そのものが危険だという点です。バックアップは復旧のための重要な要素ではありますが、それだけで事業が元どおりに動くわけではありません。システムの再構築、業務フローの再確認、外部との調整など、多くの作業が必要になります。

アサヒGHDでも、バックアップは存在していたものの、完全復旧には長い時間がかかりました。これは、バックアップが「復旧の目的」ではなく、「復旧のための一手段」にすぎないことを示しています。

アスクルも今後の対策として、BCP（事業継続計画）の強化を掲げています。しかし、BCPの「P」はプラン、つまり計画です。計画をいくら立派に作っても、実際に動かせなければ意味がありません。

ランサムウェア被害を前提に、「どのシステムが止まったら、誰が何をするのか」「代替手段は本当に使えるのか」を、平時から訓練しておく必要があります。紙の上の計画だけでは、いざというときに役に立たないのです。

形だけの対策から、実効性のある運用へ

アスクルは今後、NISTフレームワークに基づくセキュリティ強化など、教科書的とも言える対策を進めるとしています。これ自体は正しい方向性です。

しかし、アサヒGHDの事例が示すように、フレームワークに沿っていることと、実際に守れていることは別問題です。

アサヒGHDでは、NISTフレームワークに基づくセキュリティ対策を行ったとしているだけでなく、セキュリティベンダーの外部評価を受け、さらにペネトレーションテスト（外部からの第三者模擬侵入テスト）まで行っていたということを忘れてはなりません。形だけの対策にならないことを肝に銘じるべきです。

両社の事例から見えてくる共通点は明確です。

「対策は取っていたが、運用が伴っていなかった」
「ランサムウェア被害を本気で想定していなかった」

この2点に尽きます。

サイバー攻撃を完全に防ぐことは難しいでしょう。しかし、早期に侵入を発見し、被害を最小限に抑え、事業を立て直す力は備えることができます。アスクルとアサヒGHDの事例は、その現実を私たちに突きつけています。

ランサムウェア対策とは、最新のツールを導入することではありません。日々の運用と、「最悪を想定する覚悟」こそが、本当の対策なのです。

（森井 昌克：神戸大学 名誉教授）