新着情報

サイバー攻撃事例から考える企業レジリエンス（2025年9月）

2025年9月、ある大手企業はランサムウェア（の可能性がある）による深刻なサイバー攻撃を受けた。この影響により、国内外の工場や物流の拠点で、注文の受付、商品の出荷、配送などの重要な業務が止まる事態となった。復旧の見通しが立たない状況が続く中で、企業の「レジリエンス（事業を止めずに続ける力）」について改めて考える必要がある。

 

今回の攻撃事例から見える課題

レジリエンスとは、地震や感染症、サイバー攻撃など、予測が難しい出来事に直面したときでも、業務を続け、すばやく元の状態に戻す力のことである。今回の事例では、会社の中心となるシステムが広い範囲で影響を受け、業務を代わりに行う方法が準備されていなかったことが明らかになった。一部では手作業に切り替える対応が試されたが、全国にある30以上の工場の多くが止まり、全体の流れ（サプライチェーン）にも大きな影響が出ている。

 

レジリエンスにおける具体的な課題

このような状況から、企業のレジリエンスに関するいくつかの問題点が見えてきた。まず、バックアップの仕組みが十分でなかったため、暗号化されたデータを元に戻すことが難しく、復旧には数カ月かかる可能性がある。次に、業務を別の方法で行う準備が足りなかったため、代わりのシステムや手作業での対応ができず、業務を続けることが困難になった。また、他の会社や流通の仕組みに強く依存していたため、ひとつの会社のトラブルが取引先や物流全体に広がり、社会的な影響も大きくなってしまった。

 

レジリエンス強化のための対策

こうした事態を防ぐためには、企業がレジリエンス（事業を止めない力）の強化に取り組むことが重要である。具体的には、外部からの侵入があることを前提にした「ゼロトラスト型」と呼ばれる考え方に基づいたセキュリティの仕組みと、複数の防御策を組み合わせた「多重の守り」を導入することが求められる。

また、サイバー攻撃だけでなく、地震や感染症などの災害も含めたさまざまなトラブルを想定し、業務を続けるための計画（BCP）を見直し、定期的に訓練を行うことが欠かせない。さらに、クラウドサービスや複数の場所に分けて管理するシステムを活用することで、トラブルが起きても一部の業務を止めずに続けられる柔軟な仕組みを整えることが重要である。

加えて、現場で素早く対応する力や、すばやく判断して行動できる体制を支える「人の力」を強化することも、レジリエンスを高めるために欠かせない要素である。

 

心理的・組織的備えの重要性

「備えあれば憂いなし」という言葉があるように、人は誰でも不安や恐怖を感じるものである。しかし、あらかじめ準備をしておくことで、その不安は大きく減らすことができる。備えることは、思いがけない出来事への対策であり、ふだんの落ち着いた時期にこそ行うべきものである。

不安や恐怖が強すぎると、日々の生活の質が下がってしまうことがある。だからこそ、しっかりと準備をしておくことで、心の安心につながり、落ち着いて行動できるようになるのである。

 

インシデント対応ルールの整備

企業においては、トラブルが起きたときの対応方法や、何を優先して行うかをあらかじめ決めておくことが大切である。たとえば、まずはネットワークを止めることや、ウイルスのような悪いソフトを取り除くことを最優先とし、情報が外に出た可能性がある場合には、大切な情報として慎重に調べて対応するなど、具体的なルールを事前に決めておくべきである。

また、緊急時に誰が指示を出すかをはっきりさせておき、休日でもすぐに連絡が取れるような体制を整えておくことも欠かせない。

 

外部委託業者との連携

さらに、外部の会社や業者との連携も大切である。外部にお願いしている仕事の内容をしっかりと把握し、それぞれの責任の範囲をはっきりさせておくことで、もしトラブルが起きたときにもすばやく対応することができる。

特に、クラウドサービスやシステムの管理を外部に任せている場合には、情報が外に漏れたり、内容が書き換えられたりするような事故が起きたときに、誰が責任を持つのかを事前に確認しておく必要がある。

データの守り方については、使っている企業側が責任を持つことが多いため、データのコピー（バックアップ）を取っておいたり、情報を暗号化して守ったりするなど、セキュリティをしっかり強化しておくことが求められる。

 

事後対応よりも事前準備を

残念ながら問題が起きてしまった以上、過去を悔やんでも意味はない。だからこそ、「何かが起きてから考える」という考え方は見直すべきである。あらかじめ準備しておくことや、前もって防ぐための工夫をする姿勢が、これからの企業の運営には欠かせないものである。

 

【レジリエンス強化のパートナーとして】

企業のレジリエンス（事業を止めない力）を高めるためには、専門的な知識と、実際に行動できる力が必要です。アスエイト・アドバイザリー株式会社では、サイバー攻撃への対応訓練や、事業継続計画（BCP）の作成、サプライチェーンのリスク管理などの分野で、実践的で役立つ支援を行っています。

私たちは、机の上の理論だけではなく、現場での対応力や、経営者の方との対話を通じた判断のサポートに強みを持っています。貴社が「止まらない企業」になるために、しっかりとお手伝いさせていただきます。

レジリエンスは、将来への大切な準備です。ぜひ一度、アスエイト・アドバイザリー株式会社にご相談ください。

 

熱海 徹（あつみ・とおる）　

アスエイト・アドバイザリー株式会社　上席情報セキュリティアドバイザー

　

長年にわたり、放送業界を中心に情報セキュリティの現場に携わってきました。CSIRTの立ち上げやSOCの運用、インシデント対応体制の構築など、現場の課題と向き合いながら、組織に根ざしたセキュリティのあり方を模索してきました。

「セキュリティは技術だけでは守れない。人と仕組みがあってこそ機能する」という考えのもと、現場の声に耳を傾け、経営層と現場の橋渡し役として活動しています。

現在は、企業や団体のセキュリティ体制強化を支援しながら、講演や執筆を通じて、実務に役立つ知見をわかりやすく伝えることにも力を入れています。 専門用語に頼らず、誰にでも伝わる言葉で、セキュリティの本質を届けることが自分の役割だと思っています。