サイバー脅威は「対岸の火事」になっていませんか。頭ではわかっている“つもり”になりがちなサイバー脅威。企業・社会双方の目線で、その被害内容と影響の大きさを解説します。
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください
背景
近年、サイバーセキュリティ(以下、「サイバー」という)は、メディアでも注目されるホットトピックです。それにもかかわらず、業務推進に携わる方、さらには企業経営を担う方の中には、その重要性が「腹落ち」し切れていないシーンも散見されます。
ニュースや記事の中で、「不正アクセス」「情報漏洩」「損害発生」というキーワードが急速に増える中、それでも「対岸の火事」として、どこか他人事のような感覚で受け止めてしまうシーンも幾度となく目にしています。
では、サイバーを脅かす脅威とその被害は、本当に「対岸の火事」でしょうか。まずは、10秒間・・目を閉じて、具体的な被害をイメージしてみてください(テクニカルな攻撃手法ではなく、組織が受ける経営面でのダメージです)
さて、何を思い浮かべたでしょうか。複数の被害をイメージ出来た方もいれば、最重要なもの1つ、という方もいると思います。では、イメージしたものが自身の組織で起こった場合、どのような影響があるでしょうか。以降を読みながら、想像してみてください。
サイバー脅威とその被害
サイバー脅威とその被害、と一言で言っても、その種類は様々です。ここでは、被害視点から5つのケースに大別してみます(バリエーションという意味では、より多岐です)。
ケース1:法令違反による制裁
サイバー攻撃及びその他の事由も含め、組織が保有する情報の漏洩・改ざん・破壊という問題が発生した際、関連する法令への抵触による罰則として制裁金の支払いが必要となるケースです。
例えば、2018年に施行された、欧州における一般データ保護規則(GDPR)を見てみましょう。GDPR(General Data Protection Regulation)では、個人に関わるパーソナルデータの適切な管理と取扱いが法的に要求されます。そして、その違反には、制裁金の支払いが義務付けられます。なお、制裁金の上限には、違反の内容に応じて二つの類型があります。
①前事業年度の企業の全世界年間売上高の4%以下または2000万ユーロのいずれか高い方
②前事業年度の企業の全世界年間売上高の2%以下または1000万ユーロのいずれか高い方
ポイントは「全世界売上高」という点です。4%や2%という数字だけを見ると小規模にも見えますが、その前提となる母数が何を指すのか、留意が必要です。いずれにしろ、組織に与えるインパクトは甚大なものでしょう。
GDPRは一例となりますが、その他、強い罰則を伴う法令としては、EUが2022年9月に発表した、「欧州サイバーレジリエンス法案(CRA –Cyber Resilience Act)」も挙げられます。これは、EU市場での事業展開を実施している、あるいは、それを目指している幅広い企業に影響を与えうるもので、EU域内におけるデジタル製品の透明性の確保や安全性の保証が法的に義務付けられものとなります。本法令は、今後の施行となりますが、サイバー要件への遵守が、より厳格な条件として課される傾向にあります(詳細は図1参照)。
注目すべき要件は、悪用された脆弱性やインシデント発見後、24時間以内にENISA※1へ報告を行うことの義務化です。社会的な影響を軽減する意味で、報告時間の短縮は重要です。ただし、GDPRが求めている72時間以内という時間軸を鑑みた場合はどうでしょう。この違いとその難しさが“ピン”と来るかどうかは、大事なポイントです。自社の対応プロセスで実現できるのかどうか、今後の見極めがカギとなる重要テーマの1つとなります。
※1 欧州サイバーセキュリティ庁
(ENISA: European Network and Information Security Agency)
図1:CRA(Cyber Resilience Act)に関する基本理解 
出所:グロービング株式会社 作成資料
ケース2:販売認可却下
本ケースでは、自動車業界の取組みを紹介します。国連欧州経済委員会(United Nations Economic Commission for Europe)の自動車基準調和世界フォーラム(WP29)は、2021年1月、自動車のサイバーセキュリティ対応に関する国連標準「UNR155」を策定しました。
UNR155は、車両のサイバーセキュリティ及びCSMSと呼ばれるサイバーセキュリティ管理システム(Cyber Security Management System)を定めた国連の法規(WP29部会が策定)であり、58協定 ※2加盟国における型式認可の拠り所となる規格です。
※2 1958年に締結された国連欧州経済委員会(ECE)の多国間協定。車両等の型式認定相互承認のための協定で、自動車の各装置の安全・環境に関する基準の統一及び相互承認を図ることを目的とする。
これにより、自動車メーカーには製品ライフサイクル全般を通じたセキュリティプロセス構築とセキュリティ対策を講じることが義務付けられます。2022年7月以降に発売される新型車より、この認可を事前に取得する必要があります(以降、車種に応じて段階的に認可が適用)。つまり、認可の存在がビジネスに大きな影響を与えることになります。
日本国内では、UNR155に基づく道路運送車両法が改正され(図2参照)、国内の自動車メーカーはこの法令に準拠した自動車の型式認可の取得が求められます。そして、その結果は、ビジネスの成否において大きな影響を与えることとなります。
図2:道路運送車両法の改正
出所:グロービング株式会社 作成資料
ケース3:善管注意義務違反
組織がサイバー攻撃の被害を受けた際、その原因が自組織の体制不備だった場合、どうなるでしょう。状況によっては、自組織が損害を被るだけでなく、第三者に損害を与えたことによる違反として、善管注意義務違反に問われる可能性があります。
善管注意義務とは、「善良なる管理者の注意義務」の略であり、取締役に対して課される義務です。企業は取締役に、情報収集・調査・検討、そして判断等の様々な業務を委任します。これに対して、取締役は、良識と高度の注意を払い、業務にあたらなければならないと規定するものです。会社と取締役の関係は雇用ではなく、会社法330条の規定により、「委任」とされています。そのため、委任に関する民法644条(善管注意義務)の規定が適用されますが、サイバーセキュリティの管理態勢に関しても、状況に応じて、これが適用される可能性があります。経営に関わる人物にとって、サイバーセキュリティ対応は経営上の義務となるわけです。
なお、サイバー脅威の深刻化が強まる中、経営者にサイバーの主導者としての位置付けを求める機運は、以前より高まっています。
2014年にサイバーセキュリティ基本法が制定(2016年改正)、そして、2016年にはサイバーセキュリティ経営ガイドライン(図3参照)が制定され、国内企業は経営者の主導の下、組織的なサイバーセキュリティ対策を実践するための指針が提示されています(2023年Ver3.0に改定)。こうした一連の動向も、経営者によるサイバーセキュリティの適切な管理を求める機運に年々拍車をかけ、経営者の責任が重く見られる傾向が強まっています。
図3:サイバーセキュリティ経営ガイドライン紹介
出所:グロービング株式会社 作成資料
ケース4:ビジネス機能停止
サイバーセキュリティは自組織だけが強固であればよい、というわけではありません。サプライチェーン上に連なる多くの企業(業務委託先、サプライヤ等)も一丸となった管理が求められます。それは、なぜでしょう。例えば、そのチェーンの1カ所に穴があった場合はどうなるか、想像してみてください。
ある製品メーカーが、部品の一部の供給を依頼する取引先において、サイバー攻撃による被害が発生したとしましょう。取引先内の工場システムが被害を受けて、工場設備の稼働停止が決定したとします。さて、どうなるでしょうか。その部品が供給できないことで、製品の出荷が滞り、結果として製品メーカーの販売計画はもちろん、他の部品メーカーの生産計画にも影響をもたらすことになります。製品の種別、操業停止の期間によるかもしれませんが、サプライチェーンに連なる企業の数を鑑みると、大規模な経済損失に及ぶことは容易に想像できます。実際にこうした被害も近年発生しており、今後も被害の増加が懸念されています。
ケース5:株価の下落
昨今、サイバー攻撃の被害が甚大な場合、最大20%の株価下落という某メディア記事も。公開されています。これは1つの統計によるものですが、サイバー攻撃による株価への影響、さらには企業格付けへの影響は実際に散見される状況です。その理由は、サイバー攻撃による被害が企業経営にとってマイナスの影響を与えるという認知度が社会的に高まっていることの表れでもあります。なお、ある企業役員の方と会話した際に、
「株価下落は、ひとえにサイバー攻撃の影響だけとは言い切れない。被害を受けて発表、そしてその対応までの長い期間に他のビジネス的な要因が影響することも考えらえる。その切り分けを慎重にやらない限り、サイバー攻撃を理由にするのは勇み足だ」
という意見を耳にしたこともあります。確かに、それも一理あります。ただし、サイバー攻撃といっても様々な種類があります。例えば、DoS(Denial of Service)攻撃という手法を見てみましょう。この攻撃は、企業のシステムやネットワークに対して、大量のアクセスを仕掛けて負荷をかけ、その結果としてシャットダウンを引き起こすものです。手法にもよりますが、従来からある多くの被害は、短時間でのアクセスで瞬発的に引き起こされます。その結果として、ビジネスが停止し経営に損害を与えることになります。
こうした短時間での攻撃に伴う経営被害の場合、明らかにその直接的な原因は、サイバー攻撃が該当すると考えられます。程度の差はあれ、サイバー攻撃を受けるということと株価を始めとする財務面での企業価値、及び社外からの信用の低下との関係は、否定できません。
さて、ここまでで5つのケースを解説してきましたが、冒頭の質問に戻ります。
「目を閉じて、具体的な被害をイメージしてみてください。
さて、何を思い浮かべたでしょうか。?」
上記のケース1~5を全て明確にイメージ出来ていたでしょうか。そうした方もいるでしょう。ただし、多くはその一部、またはぼんやりした程度に留まる方が大半ではないでしょうか。「聞けば/読めばわかる」という方は多いと思います。ただし、大切なのは、“自分ゴト”として「パッとイメージできる」ことです。ある局面で即座にイメージできるか、それとも後日それを思い出すのかでは、迅速な対応が求められるサイバーの被害対応においては、大きな差となります。その点は、強く意識いただきたいと考えています。
こうした被害が発生することで、顧客離れ、売上低迷、投資家の信用低下、さらには社会というエコシステムからの失墜等、組織に与える影響は計り知れません。それを強く認識した上で、上記の解説を再度、“自分ゴト”としてご覧になっていただければと思います。
今後のサイバー被害の展望
上述の内容は、「企業目線」で見た被害となります。それでは、今後はこの目線がどのように変わってくるでしょうか。企業の目線はもちろん重要です。ただし、これからは、もう1つの目線が求められるでしょう。それは、以下の通りです。
「社会目線 ⇒ 自組織の被害が社会に対して与える影響」
図4をご覧ください。これまでは、自組織の保有する情報資産が「洩れない」「書き換えられない」「壊れない」に主眼を置いた予防、さらには被害発生時の迅速な収束が求められていました。ただし、今後、その被害は広がりを見せるでしょう。
図4:セキュリティ被害の変化(企業目線から社会目線へ)
出所:グロービング株式会社 作成資料
サイバー攻撃の被害を受け、自衛のために取った初動対応(例:ネットワーク、システムの停止)が社会のエコシステムに悪影響を与える、または、重要インフラの停止・誤作動に伴う自然環境の汚染・破壊、そして社会インフラを混乱に招き人命に影響を与えるという、一組織に閉じない影響の大きな「ハレーション」が危惧されます。
コネクテッド化が進むことで、つながった先の環境及びシステムに影響を与える、または、これまでは攻撃を受けにくかった機器や装置が外部とつながることで、連鎖的に攻撃を受ける危険性が高まっている、と改めて認識することが重要です。「ハレーション」という言葉の通り、自組織の被害がどのように社会に伝播するか、または、単に組織内の「特定の情報」に閉じた話なのかを常に意識すべきです。
このような大きな視座でサイバーと向き合いつつも、まずは冷静に“足元”の管理をしっかりと固めることが重要です。今後の連載では、こうした世界観も念頭に置きつつ、サイバーに関するコンサルティングの現場及び実務ならではの得られる示唆と気づきを基に、より実践的な考察を展開します。どうか、引き続き、本連載をご愛読よろしくお願いいたします。
執筆者
高橋 宏之
ディレクター
セキュリティに関わる中期計画策定、ガバナンス構築、法令対応、規定類整備、リスク評価・監査等、より全社目線での上位アジェンダを多数経験(システム開発の経験も保有し、アプリケーション/インフラ設計、プログラミング等、IT技術面にも習熟)
※本記事について、ご質問及びご相談がある方は、こちらまでご連絡ください