top of page
検索

情報セキュリティリスクを考える

ree


「情報セキュリティリスク」の立ち位置


BCP(事業継続計画)は自然災害への備えを起点に始めることが多いためか、地震や水害などの「自然災害」を主な対象リスクとして策定しがちです。相対的に低く見られているリスクが「情報セキュリティ」です。


大手信用調査会社によるBCP策定企業の意識調査でも、事業継続が困難になるリスクと考えられているのは、圧倒的に「自然災害」が多く全体の7割強、「情報セキュリティ上のリスク」は2番手につけてはいるものの約46%と、圧倒的に低くなっています(1)

また、東京商工会議所の会員企業向けのアンケートにおいても、BCP策定済みの企業の80.3%が情報セキュリティについて「備えが必要」だと感じつつも、実際に情報セキュリティリスクをBCPで想定している企業は44.1%に留まっています(2)


・会社が傾くほどのリスクとはあまり思われていない

・一方で、BCPには組み入れたいという思いはある

・しかし、自然災害よりも優先度が低く見積もられ、実際にはあまり組み入れられていない


そんな微妙な立ち位置のリスクが、情報セキュリティといえると思います。



ランサムウェア被害によって倒産するケースも


昨今の情報セキュリティリスクの代表格といえば、ランサムウェアでしょう。

ランサムウェアは不正プログラムの一種で、PCなどに保存されているデータを勝手に暗号化したうえで使用できなくしたうえで、復号する(=暗号化したデータを元に戻す)ための対価(金銭など)を要求するというものです。


警察庁によると2025年上半期だけで国内で116件のランサムウェア被害の報告があり、半期の件数として2022年下半期と並び最多となりました(3)


また、昨今報道されている飲料大手・アサヒグループホールディングス(今年9月)や事務用品大手のアスクル(同10月)がサイバー攻撃を受けた事例は、いずれもランサムウェアによる被害とされています。


これらの大手企業は被害を受けたあとも影響を受けつつ事業を再開していますが、日本ネットワークセキュリティ協会(JNSA)の報告では、ランサムウェア感染による被害によって事業が打撃を受け倒産してしまったケースも紹介されています(4)

ランサムウェア感染による業務停止は一時的なものであっても、信用の低下が契約の打ち切りにつながり、結果として資金繰りが悪化してしまったということです。

もし、適切な措置を講じたり、攻撃を受けたあとの対処がBCPに組み込まれていたら…。会社・経営者・従業員は違う未来を歩んでいたかもしれません。


サイバー攻撃に遭ってしまったら


とはいえ、BCPで想定しているか否かにかかわらず、どの企業もサイバー攻撃に遭うリスクはあります。


万が一サイバー攻撃に遭ってしまったときは、適切なガバナンス対応が求められる一方で、攻撃の被害を受け止めて、潜在化させないことも大切になってきます。

サイバー犯罪の被害にあったときも、最寄りの警察署や各サイバー事案の相談窓口に一報を入れることもご検討ください。警察の捜査に協力したからといって、サーバーを回収されたりすることはありません(5)。

 

また、犯人によって暗号化されてしまったデータも、ランサムウェアの種類にはよりますが復号(元に戻す)ツールによって取り戻すことが可能なケースもあります。


 警察庁Webサイト「サイバー事案に関する相談窓口」


インターネットなしでは業務が立ちゆかない仕事が多い時代だからこそ、その脅威を知り、立ち向かってまいりましょう。


参考


bottom of page