会社がランサムウェア攻撃を受けたらどう対応する？「事業継続」に関わる重大リスクに、専門家2人が提言

BE PREPARED!

2024年12月25日（水）17時43分

構成・山田敏弘　写真・遠藤宏

組織の内部統制システムの構築や運用のために、グローバルスタンダードとしても確立されている実効的な手段として「3線ディフェンス」といわれるものがあります。第1線の事業部門、第2線の専門性を備えた管理部門、そして第3線の内部監査部門で構成されます。これをサイバーセキュリティにも応用されつつあります。セキュリティ部門がまさに第2線で、セキュリティのアーキテクチャを作りルールを作る、そしてそのルールに基づき第１線が職務を執行し、それを第３線が監視するという仕組みです。

ここで一つ問題が生じます。そもそもサイバーセキュリティと利便性は相反することが多い。そこで、第１線事業部門は第2線が構築したセキュリティ対策をやりたがらず、組織としてセキュリティ対策の徹底が進まない。例えば、多要素認証（認証の3要素である「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせたもの）は非常に重要で、サイバーリスクを大幅に減らせると考えています。しかしながら、入力が面倒だということやりたがらない人が多い。その結果、組織レベルでのセキュリティ対策が進まないことになります。

そこで重要となってくるのは、サイバーセキュリティについての第一線による理解と協力、そして組織にサイバーセキュリティを浸透させるための経営層の働き掛けだと感じています。

――企業の方から、認証の強化などユーザーが逃げるじゃないか、とセキュリティ部門が怒られるという話もある。最近の企業の意識は変わっているか。

山岡　以前はほとんどの企業が、利益を生まないサイバーセキュリティーが事業の足を引っ張るとは何事か、という見方でしたが、最近はサイバーセキュリティーの重要性が根付いてきて、事業継続の観点からは業務がやや不便になってもセキュリティー対策はやむを得ないと受け入れる企業も増えている。特に金融機関などはそうした傾向が顕著です。

次のページ中小企業に求められる対応は？