経営にとってのサイバー対応

サイバー攻撃による被害はなぜ拡大するのか

過去を振り返れば、80年代にはすでにコンピューターウィルスによるサイバー攻撃が報告されています。当時はフロッピーディスクなどの外部メディアを媒介とするもので、あくまでも個別のPCなどが被害に遭うという内容のものがほとんどでした。その後、90年代以降のインターネットの普及と企業活動におけるITテクノロジーの導入といった情報化の進展により、サイバー攻撃は徐々に経営リスクを誘発するものと認識されるようになりました。

セキュリティ技術の進歩や、管理手法の確立、サイバー保険といった、サイバー攻撃による経営リスクを低減・移転させるための取り組みも行われてきましたが、サイバーインシデントによる被害は拡大する一方です。事案そのものの件数が増えていることもさることながら、昨今では、その被害規模が拡大しています。

サイバーセキュリティは、それ自体はIT部門の取り組みの中で実施されていきますが、いざサイバーインシデントが発生すると、派生的に他の経営機能に影響していきます。情報漏洩や、サプライチェーンの停止、決算業務の中断など、ITの枠を超えて連鎖的に重大な経営影響を及ぼす事案が増えています。業務効率化やAIの活用など、企業をより成長させるためにはITへの積極的な取り組みが不可欠ですが、その取り組み自体がサイバーリスクを拡大させていることも事実です。ITと経営が融合を深めるにつれ、サイバーインシデントは経営危機そのものに限りなく近づいていきます。サイバーインシデント対応への理解は現代の経営にとって必要不可欠なものとなっています。

経営課題としてサイバーインシデントを認識するということは、当然のことながら、経営には正しいリスク評価が求められます。一方、サイバーインシデントは時には広範な経営リスクを誘発するため、リスク項目の洗い出しや評価の手法などにおいて、通常のリスク評価よりも高度な内容が求められてきます。

サイバーインシデントは、本質的には事前の予測がほとんど不可能です。サイバー攻撃は不明の第三者によって行われることであり、実際にどういった技術を用いて、何に対して、どのくらいの規模で……といった事前の想定は極めて難しいといえます。にもかかわらず、経営はリスク評価を行っていかねばなりません。サイバーインシデントにおける被害拡大の多くは、攻撃者からの攻撃そのものよりも、会社側の判断ミスや、適切な意思決定の欠如から起こっています。
 

サイバーインシデント発生時の経営リスク

① リソースマネジメント

たいていの経営課題がそうであるように、多くの失敗はリソースマネジメントから起きます。サイバーインシデントにおいては、まず状況を把握するための適切な調査が必要不可欠ですが、調査設計や調査メンバーのスキルセットなどを適切に評価する必要があります。被害範囲の見誤りによる二次攻撃、三次攻撃の誘発や、ログやマルウェア検体といった重要情報の消失による原因究明の失敗など、人的リソースや外部協力者の見極め不足に起因する失敗が相次いでいます。
 

② 情報公開

自社がサイバーインシデントに見舞われた場合、当然のことながら、取引先や顧客はその内容について情報提供を求めてきます。一方、情報セキュリティはそれ自体が機密情報であり、不用意な開示はかえってセキュリティリスクを高めることになります。また、ハッキング行為を行う人間もそういった開示情報を参考にしているとみるべきです。サイバーインシデントにおける情報公開は、ニーズとリスクが時にはトレードオフの関係になることを念頭に置きながら、その範囲を定めていく必要があります。
 

③ 決算対応、内部統制

ITシステムは企業にとっての基幹インフラであり、特に会計システムや内部統制の依拠するシステムにおいては万全の態勢で管理されなければなりません。一方、ハッカーが狙いを定めるのは、まさにそういった重要なシステムです。システムが停止してしまうことは確かに重要な問題であり、早期の復旧が求められますが、インシデントからの復旧におけるデータの正確性、完全性の担保や、サービス停止期間における暫定プロセスについての内部統制上の適合性など、会社としてのあるべき姿に合致する形での復旧作業を怠った場合、決算延期や会計監査対応の大幅な増大など、本来は避けうる二次被害を引き起こします。経営として、単にスケジュールだけでなく、ガバナンスに合致した形で行われているかという観点でも各施策を評価せねばなりません。
 

④ 法令対応

サイバー攻撃に派生するのが情報漏洩です。情報漏洩はそれ自体が経営として大きなダメージですが、漏洩した情報の中身や、許認可等にともなう漏洩時の責務など、法令対応で多くの検討を必要とします。個人情報のように、当局や漏洩被害者への通知を義務付けられる場合もあれば、他社から預かっている営業秘密などはそれぞれの契約上の定めに沿って対応する必要があります。サイバー攻撃に対して、多くの企業はあくまでも被害者ではありますが、こういった法令対応をおろそかにすることは、自社にコンプライアンス違反を生むことになります。
 

⑤ レピュテーションリスク

サイバーインシデントは、インターネットなどを通じて顧客、取引先などにもサイバーリスクを発生させてしまう可能性があります。また、株主、監督官庁、各種メディアなど、状況報告を求めるステークホルダーが存在します。それぞれのステークホルダーの立場に応じて、どこまでの内容を、どういった形で、いつ提供するべきかは重要な論点です。レピュテーションリスクは数値評価が難しく、高度な経営判断が求められる分野です。
 

デロイト トーマツのサイバーインシデント支援体制

デロイト トーマツは、企業の危機管理分野において、常に業界をリードする存在であり、これまで会計不正、品質不正、贈収賄、コンプライアンス違反、災害といった幅広い分野で多数の実績があります。サイバーインシデントにおいても包括的な支援体制を整備しており、ランサムウェアによる巨額の身代金要求事案や、サプライチェーンを含む大規模な業務停止に至るサイバーインシデントなど、事業継続性を揺るがす規模のインシデントにもワンストップでご支援してきました。

デロイト トーマツはサイバーインシデントにおいても、経験豊富な各分野の専門家を取り揃えています。危機管理広報専門家や法務専門家による助言だけでなく、エンジニアによる現場での復旧・調査、公認会計士による決算・監査対応、緊急コールセンターの提供など、オペレーション面において支援するサービスも用意しています。

企業がサイバーインシデントに直面した際には、経営課題としての分析と方針策定が必要不可欠であり、経営影響極小化のためには、包括的なリスク評価を可能とする体制をいかに構築できるかが焦点となります。

デロイト トーマツはサイバーインシデント分野においても、より支援体制の強化に向けて取り組んでいきます。
 

サイバーリスクサービスのお問い合わせ

サービス内容、並びに、取材・広報・講演依頼に関するお問い合わせは、下記フォームにて受付いたします。お気軽にお問い合わせください。 

>> オンラインフォームよりお問い合わせを行う <<