今企業に必要な「CISO 2.0」とは？価値あるセキュリティ人材を育てる“ポジティブ評価”の重要性

他人事ではない、セキュリティインシデント事例と教訓

　近年のサイバー攻撃は1社だけでなく、サプライチェーン全体へと被害が及ぶ大規模なものになっている。梶浦敏範氏は「もはや1社だけでサイバー攻撃を防ぐことは不可能だ」とし、ここ数年で大きな話題となった4つのサイバーセキュリティインシデントを紹介した。

　1つ目は、大手流通企業が手がけたペイメントサービスの破綻事例だ。高齢者をはじめとする利用者の使いやすさを優先して二要素認証をなくした結果、なりすましが横行し、数ヵ月でサービスが停止する事態に。被害金額は数千万円だったが、周知やコールセンターの設置にかかった計数百億円の費用の回収は不可能で、企業ブランドにも傷がついてしまった。

　2つ目は、動画サイトなどを運営する企業が受けたランサムウェア被害である。ランサムウェア攻撃で動画サービスなどが停止し、身代金を要求されただけでなく、CEOの個人情報などが公開される事態にまで発展した。結果、事件によってシステムの大部分を再構築することになっただけでなく、株価の大きな下落も招いてしまった。

　3つ目は、ある通信事業者で発生した技術情報漏えいだ。この事例では、技術部門の従業員がロシアのエージェントから接待を受け、情報を渡していたという。同社内で調査した結果、脅威の9割は企業内部に潜んでおり、特に従業員が退職申請をした段階でリスクが高まることが判明。この事件以降、退職申請をするとテレワークが禁止になり、引き継ぎ以外の業務ができなくなるといった厳重な管理体制が敷かれることになった。

　4つ目は、大手自動車メーカーのサプライチェーンを狙った攻撃である。攻撃を受けたのはメーカーではなく、Tier1（一次下請け）の企業だ。攻撃によって受発注システムが停止したことにより、その自動車メーカーの全工場が丸1日生産不能に陥ってしまった。システムをアナログ管理に戻すことで生産停止は1日で留められたものの、元のシステムへ完全に復帰させるまでには数ヵ月を要したという。

　DXを「デジタルデータを使ったビジネスモデル変革」と定義する梶浦氏。実際、デジタルデータの活用による大きな変革が今ビジネスに訪れている。しかし、DXは利益をもたらす一方で、リスクを増加させる側面もある。そのため、同氏は「“DX with Security”の意識が非常に重要になる」と強調した。