保険システムよもやまばなし(第84回)
それでも終わらない! アサヒ・アスクル事案が突きつける現実
前回の「よもやまばなし」では、アサヒグループホールディングス(以下アサヒHD)およびアスクルに対するランサムウェア被害を取り上げました。その後も両社の対応は続いていますが、12月下旬においても、事案は全面解決には至っていません。
むしろ時間の経過とともに、「被害の深さ」「復旧の難しさ」、そして「企業が直面する新たな責任論」がより明らかになってきました。今回は前回の続編として、現在何が起きているのか、そして何を教訓として学ぶべきかをお伝えしたいと思います。
■終わらない復旧が示した現実
アサヒHDでは、サイバー攻撃により受発注・物流システムが停止し、その長期化によって物流や生産にまで影響が及びました。12月に入り、システムによる受注は再開したものの、物流の完全な正常化にはなお時間を要する見通しです。
アスクルについても、法人向けサービスは段階的に再開されましたが、個人向けEC「LOHACO」の本格再開は年明けの見込みとされています。さらに同社の調査により、約74万件に及ぶ個人・取引先情報の流出が確認され、影響範囲の広さが改めて明らかになりました。
両社ともこれまでIT投資やBCP対応を進めてきた企業であり、バックアップからの復旧にここまで時間がかかるとは正直予想していませんでした。しかし現実には、システムが高度に複雑化し、サプライチェーンや外部ベンダーと密接に結びつく現在、単純に“戻す”ことが極めて難しいことが、今回の事案で改めて浮き彫りになりました。
なおアスクルについては、法人向けサービスの再開に続き、個人向け通販についても来月の再開を目指して新システムでの復旧を進めていることが公表されています。完全復旧までの道のりは続きますが、「止まり続けている」のではなく、「慎重に再構築しながら前に進んでいる」段階に入ったと言えそうです。
■犯行声明・データ公開という“第二幕”
さらに事態を深刻にしているのが、ランサムウェアグループによる犯行声明とデータ公開です。アサヒHDの事案では「Qilin(キリン)」が、アスクルの事案では「RansomHouse」が、それぞれ関与を名乗り、盗取したとされるデータの一部を公開したと報じられています。
これまでの「サイバー攻撃によるシステム停止・業務停止」という事態に加え、「情報流出・公開の脅しによる企業価値への長期的ダメージ」という、いわば“第二幕”が始まった状態です。攻撃は一度で終わらず、企業は長期間にわたり、説明責任・顧客対応・風評リスクへの対応を迫られることになります。
■解決金、そしてベンダー責任という新たな論点
最近の報道では、ランサムウェア被害に関連して、「解決金(身代金)支払いの是非」や、「システムベンダーの責任」を問う動きにも注目が集まっています。
・「どこまでが利用企業の責任で、どこからがベンダーの責任なのか」
・「過失割合をどう考えるべきなのか」
こうした議論は今後さらに増えていくと思われます。サイバー攻撃はもはや“不可抗力”の一言では片づけられず、契約・ガバナンス・責任が厳しく問われる時代に入っているようです。
■社長自ら語る!
こうした中で印象的だったのは、11月27日に行われたアサヒHDの社長会見でした。侵入経路や検知の難しさ、VPNの廃止、EDRによる検知の限界、そして被害拡大を防いだ「疎結合アーキテクチャ」の有用性など、技術的な内容が社長自身の言葉で語られました。社長を含め関係者の事前準備やご努力は大変だったと思いますが、サイバーセキュリティが、もはや「IT部門の専門領域」ではなく、経営そのものの言葉で語られるべきテーマになったことを改めて印象づける会見でした。
■産業界全体で取り組むべき課題
また、12月3日の朝日新聞の社説「サイバー被害 アサヒ教訓に対策急げ」は、今回の一連の事案を「一企業の問題」にとどめず、産業界全体の課題として捉えるべきだと強く訴えています。
特に印象的なのは、「中小企業も含めた問題」であると指摘している点です。サプライチェーンの一部を担う企業が攻撃を受ければ、被害は取引先へと連鎖します。規模の大小にかかわらず、「明日はわが身」という現実を突きつけているようです。
■「やられる前提」で考える
前回でも触れましたが、今回の事案を通じて改めて感じるのは、「やられないようにする」だけでは不十分だという現実です。重要なのは、以下の要素を前提とした設計です。
・侵入される前提
・暗号化される前提
・情報が抜かれる可能性がある前提
この前提に立ち、いかに事業を止めないか、止まってもどう立て直すかを準備しておくことが不可欠です。それはIT部門だけの課題ではなく、経営・法務・広報・調達部門などを含めた“全社の問題”であり、さらにはサプライチェーン全体の問題として捉えるべきことです。
■サイバー保険は「最後の砦」ではなく「備えの一部」
サイバー保険は、今回のような長期化する事案においても、調査費用、対応費用、賠償リスクなどを下支えする重要な役割を果たします。企業にとって重要な「経済的防波堤」の一つです。
一方で、保険だけですべてを解決できるわけではありません。多くのサイバー保険では身代金そのものは補償対象外とされていますし、何より、失われた信用やブランド価値は保険では取り戻せません。
■求められる企業のしなやかさと経営の胆力
アサヒHD、アスクルの事案は、決して「特別な事件」ではなく、どの企業でも起こり得る現実を分かりやすく示してくれました。サイバー攻撃は、発生した瞬間よりも、その後の対応の長さと重さが企業の真価を試します。
・説明責任をどう果たすのか
・復旧を急ぐのか、安全を優先するのか
・どこまでを許容し、どこで立ち止まるのか
そこに唯一の正解はありません。しかし今回の事案から学べるのは、レジリエンス(立ち直る力)は仕組みだけでなく、経営の胆力・判断、そして企業文化によって支えられるということです。今回の「終わらない事案」は、その重い現実を経営の現場に突きつけているのではないでしょうか。
K System Planning
島田洋之
