大規模ランサム型サイバー攻撃を受けた際のクライシスマネジメント ～業務復旧、ステークスホルダー対応、決算開示・内部統制対応を中心に～

I. ランサム型攻撃の特徴とトレンドについて

ランサムとは人質を意味し、ランサム型攻撃とは、攻撃対象の企業や組織のネットワークに侵入し、データやシステム領域のファイルを暗号化し利用不可能にするものが典型である。その上で、メールやFAXなどで攻撃した企業にコンタクトし、暗号化したファイルを復号化するキーと引き換えに仮想通貨等による金銭の支払いを要求する手口が一般的である。また、近年では身代金を払わなかった場合には窃取したデータをダークウェブで公開する二重恐喝型と呼ばれる攻撃が主流となってきている。

こうした攻撃は近年増加の一途をたどっており、2020年にはコロナ禍以前の水準より約3倍近くの攻撃が検知されている。（警視庁「令和３年上半期におけるサイバー空間をめぐる脅威の情勢等について」より）

当社が最近発行した「企業の不正リスク調査白書　Japan Fraud Survey　2022-2024」でも、470社余りの国内上場企業や大企業を中心とした回答企業のうち約17％が実際にサイバー攻撃被害を受けたと回答しており、特に海外子会社、関係会社での被害が突出している。「日本企業は海外子会社ガバナンスが弱い」と言われて久しいが、内部統制やコンプライアンス、コーポレートガバナンスといった領域だけでなく、ITガバナンスも脆弱であることを示唆している。

コロナ禍以降、サイバー攻撃によって業務や決算の継続が困難な規模の被害に遭ったとの相談が当社に寄せられることが増えた。ランサム型攻撃による被害がBCP想定を超える範囲に及び、バックアップデータを利用したリカバリが困難となったり、システムの再構築に一定の時間を要したりするなどで、決算や出荷オペレーション等の業務が手作業による人海戦術を強いられることとなった企業もある。こうした事態が示唆するのは、サイバーセキュリティが単なる「IT部門マター」ではなく、企業横断でBCPを備えるべき、ということだ。以下でより詳しく見てみよう。

例えば、図表2で示す事例では、製造業系業務の要となる受注や入出庫を管理する基幹業務システムが利用できなくなったことから、顧客からの注文や倉庫におけるピッキング・出荷といった入出庫作業を手作業で対応することになった。こうした事業継続には営業や物流、購買といった部門が連携して対処することになる。

また、決算に必要な財務会計システムやデータも失われたことから、紙で残された帳票やDVDなどオフラインで残されていたデータをもとに決算をやり直すこととなり、四半期報告書の遅延開示に伴い、監査人や財務局への対応も必要となった。こうした業務には経理部門が対処することになる。

さらに、バックアップやファイルサーバに残されたデータを利用した業務復旧も困難となっただけでなく、これらのデータの情報漏洩の可能性についても検討が必要となった。これらについては情報システム部門と法務部門が対処することとなる。

その他にも一般的に図表3のような対処すべきステークホルダーとテーマが想定され、まさに全社を挙げての総力戦で対処することとなる。期限が明確に決まっている製造・納品、支払・入金管理、個人情報保護委員会への報告、決算・監査への対応などを、業務を復旧させながら並行対応する必要があるため、全社横断の対策本部という形でPMOの立ち上げが必須となる。いわゆるCSIRT（Computer Security Incident Response Teamの略称であり、企業横断のセキュリティ有事対応体制を指す）の組成が必要となるが、具体的な復旧へのロードマップは図表4に示した通り「縮退期」、「暫定復旧期」、「完全復旧期」の3つのフェーズを辿る場合が多く、「縮退期」をいかに短く抑える初動対応ができるかがカギとなる。こうした大規模なサイバー攻撃を受けた際には、侵害調査を実施するセキュリティベンダーだけでなく、こうしたクライシスへの対処に長けた弁護士やコンサルタントの起用が望ましい。

III. サイバー攻撃による決算や開示への影響について

昨今深刻なサイバー攻撃を受けた場合には、これについて図表5に示した通りKAM（Key Audit Matter、監査上の主要な検討事項）に記載する例も出てきている。KAMとは監査人が監査を実施する上で特に重要と判断した事項を指し、サイバー攻撃を監査人が重視する場合も出てきていることを意味している。

図表5の例においては、業務運営やシステム復旧の過程に合わせて内部統制が整備されているかどうかといった内容となっている。また、システム障害の原因調査やバックアップデータの正当性、業務復旧の進捗に合わせた内部統制の整備・運用状況の評価、全社統制上のサイバーセキュリティ施策の十分性等を監査する旨が記載されている。

つまり、有報提出会社は、サイバー攻撃への対応・復旧において、業務プロセスレベルからシステム統制、IT戦略等の全社統制まで非常に幅広い対応が必要となり、そのコストも多額になる可能性がある。

従来は、会計不正やコンプライアンス上の重要な問題など財務諸表に重要な影響がある場合に開示されることがほとんどであったが、サイバー攻撃によって有価証券報告書や四半期報告書の提出が遅延した場合にも、「開示すべき重要な不備」を記載する例も出てきており、サイバーセキュリティへの備えの不足が企業レピュテーションを毀損するリスクも高まっているといえよう。
かかる状況を受け、金融庁が2022年12月に公表したいわゆる内部統制基準と実施基準改訂の公開草案では、「ITへの対応」の項目でサイバーリスクの高まりによるセキュリティの確保にまで言及されているほか、上述のように内部統制報告書に不備があったとして訂正報告を実施する際にはその経緯について十分かつ具体的に開示することも明文化された。このようにサイバー攻撃が決算に及ぼす影響が内部統制上の不備として検討される方針が明確化されようとしている点は引き続き注視すべきである。（金融庁「財務報告に係る内部統制の評価及び監査の基準並びに財務報告に係る内部統制の評価及び監査に関する実施基準の改訂について（公開草案）」 より）

IV. 大規模なサイバー攻撃を受けた会社に共通するITガバナンスの課題

こうしたサイバー攻撃の封じ込めや調査を終え、暫定的な復旧を迎えた後にはITガバナンスの強化が必要となるが、中小企業から大企業まで、改善すべき課題は概ね以下のように集約される。

1. IT戦略やサイバーセキュリティを統括するCIO・CISOといった取締役に充てるべき経験を積んだ人材が社内におらず、実質的には機能していないため、ITガバナンスやセキュリティリスクが経営課題として認識されず、予算措置がなされない。

2. 予算措置がなくCIO・CISOも積極的に指揮を執らないため、セキュリティリスク評価やITポリシーの強化、セキュリティ人材の確保等が行われない。

3. 適切な知識を有するセキュリティ担当者によるリスク評価やITポリシー整備が適切に行われないため、攻撃の技術的要因となり得るリスクに対する手当がなされない。特に、システマティックなIT資産管理や脆弱性管理、脆弱性検出時の対処フローが適切に定められていない。

4. 有事における対応方針が定められていないため、ネットワークログ等の調査に必要な情報が不足し侵害調査に時間を要する。また、バックアップについても取得方式や保存方法が災害BCPを想定した東日本大震災時点の内容からアップデートされておらず、復旧に時間を要する。

5. M&Aや業容拡大によって、海外を含む各拠点や子会社のシステム運用やネットワーク管理を本社で把握できなくなっている。また、明確なITポリシーが存在しないにもかかわらず、各拠点や子会社における自主的な管理に任せた結果、IT環境や運用体制がブラックボックス化している。
 

ただし、Ⅰ.で述べた通り、国内企業においては、従来「ガバナンス」と呼ばれてきた内部統制やコンプライアンス、コーポレートガバナンスといった領域に比して、サイバーセキュリティが経営課題であるという認識がそもそも薄いため、一時的な技術的要因の改善のみをもって満足するケースも多い。しかし、本稿の説明でわかるように、全社横断的な経営課題としてITガバナンスに取り組むべきである。