「サイバー攻撃は経営問題そのものです。情報漏洩やシステム障害などの被害は業績に直結し、自社だけではなく取引先の事業までストップさせることもあります」と警鐘を鳴らすのは、日経BPの6媒体で編集長を務めた、KMCの中村 建助氏だ。
中村氏はサイバー攻撃で被害を受けた多くの企業の報道を見たり、IR資料を調査したりするうちに、あることに気付いたという。
「公開されている上場企業などのIR資料の中に、『情報セキュリティー対策費』や『システム障害対応費用』といった個別の科目で損失を計上している企業が存在していました。これらはサイバー攻撃関係で発生した損失や費用を計上したものだと気付いたのです」
中村氏は2020年1月以降の決算期を対象に公開されたIR資料を独自調査。2025年2月14日時点までに公開された有価証券報告書や決算短信などにある「情報セキュリティー対策費」「システム障害対応費用」などの支出を集計した。調査の時点で、公表が確認された企業は52社。累計損失額は118億円に達し、1社あたりの平均被害額は2億2000万円を超える。さらに2020年の決算では1社だけだったものが2024年には17社に増加したことが分かった。2025年1月以降の決算では前年を上回るペースで増えているという。
52社のうち最も多額の損失を計上した出版社はランサムウエア攻撃関連で、23億3800万円の特別損失を計上(2025年3月期の第3四半期決算)。さらに同時点で、通期の売上高で81億円、営業利益で49億5000万円のマイナス影響があると明らかにしている。2位となったメーカーは16億200万円、3位のスーパーは10億3900万円の特別損失を計上する。
52社の損失額合計の118億円は被害調査や業務復旧、損害賠償などにかかった直接的なコストにすぎない。出版社などが発表した逸失利益を加えれば被害額はさらに膨らむ。非上場など損失額を公表していない企業を含めれば実態ははるかに大きい。
「データからも分かるように1社で10億円以上の被害が出たケースが複数あります。近年の被害の深刻化の元凶ともいえるのはランサムウエアです。損失1億円超の22社のうち15社がランサムウエア攻撃によるものだと明らかにしています」(中村氏)
それでは企業はどのような対策を打てばよいのか。中村氏は「対策するしかありません」と話す。
「サイバー攻撃の被害を拡大させないためには普段から“穴”となる脆弱性をなくすこと、ランサムウエアに関してはデータを暗号化されても復旧できるよう適切なバックアップを取ることなども有効です。実際に被害に遭った企業への取材から、その後に取られた再発防止策としてモノ・仕組み・人という3つのポイントが見えてきました」
モノとはITツールやサービスの導入・見直しを指す。端末・ネットワーク対策としてはEDR(端末の異常検知)、SIEM(ログ監視)、IT資産管理ツール(脆弱性管理)、ASM(攻撃対象管理)などはその一例だ。バックアップの強化では、バックアップシステムの改善、多重化やイミュータブルバックアップの導入などが進められている。
次の仕組みとは組織・規程などの新規導入や見直しを意味する。社内CSIRTの設立、これまで後回しになりがちだった海外子会社のセキュリティー体制の再構築など、グループ全体を見据えた組織・体制の強化を図る。サイバー攻撃でビジネスが停止した際のBCP策定、セキュリティー関連コンサルティング会社など外部の専門家の利用も有効だ。
最後の人は経営者や社員のリテラシー向上、意識改革のことだ。「被害後はIT関係者だけではなく、経営者や社員全員がセキュリティー意識を高めることが重要だと再認識されています。eラーニングを使った教育・研修を改めて徹底するケースもあるようです」と中村氏は話す。
企業が成長する上でDXを避けることはできない。攻めだけのデジタル化だけでなく、セキュリティーの強化による守りも欠かせないと再認識する必要がある。