工場の製品検査システムに障害が発生した。システムのデータが暗号化されており、管理端末の画面には身代金を要求する犯罪者のメッセージが表示されている。バックアップのデータも暗号化され、システム復旧のめどが立たない。

 このままでは当面、手作業での検査を余儀なくされる。検査が滞れば生産の遅れは確実で、1カ月当たり数億円の損失が出る。事業の損失を防ぐために身代金を支払うべきか、やはり拒否すべきか。取引先や他の事業部門には、どこまで被害を公開すべきか――。

IT部門作成の演習で経営陣が方針を議論

 ランサムウエア(身代金要求型ウイルス)の被害に遭うと、こんな状況に直面する。IT部門の管轄外に影響が及ぶため、対処する際は経営陣や事業部門との連携が欠かせない。ランサムウエアのリスクについて、経営陣などの利害関係者と認識を合わせる機会を平時から設けたい。

 経営陣とIT部門とのリスクコミュニケーションに力を入れるのが積水化学工業だ。同社のデジタル変革推進部情報システムグループの原和哉グループ長らセキュリティー担当チームは2021年10月、生産現場がランサムウエアの被害に遭ったシナリオを作成して経営陣向けの机上研修を開催した。そのシナリオでは身代金を支払うべきかなど、会社としての方針を経営陣に問うた。

 同社の経営陣は身代金を支払うべきではないと当然分かっている。とはいえ、支払いを拒否すればシステムの復旧が長引く恐れがある。取引先への影響や損失の拡大を抑えるには、一部の欧米企業などのように身代金の支払いも検討すべきではないかと考える幹部もいた。経営陣は悩みながら議論を重ね、会社としての対応を1つずつ決めていったという。

 リアリティーに富むシナリオを織り込んだ演習に対する経営陣の反応は良好で、「四半期ごとに開けないか」という要望も出たほどだった。原グループ長は「独自のシナリオを練る手間が大きいのでその要望は難しいかも」と苦笑するものの、ランサムウエアのリスク対応について経営陣と認識を合わせられたと手応えを感じている。

暗号化されてからの復旧時間をどこまで許容できるか

 積水化学のほかにも、IT部門と経営陣・関係部署とがランサムウエアのリスクについて話し合う機会を設ける企業は増えつつある。PwCコンサルティングにはランサムウエア発生時の対処などを検討する机上演習の依頼が絶えずやってきているという。

 同社の上杉謙二ディレクターは、IT部門が経営陣などの関係者と、ランサムウエア対策の観点で取っておきたいリスクコミュニケーションの内容を10項目に整理している。例えば経営陣に対しては、経営会議などの場でランサムウエアの影響について議論する機会を設けるよう働きかけるべきだとする。

表 セキュリティー部門が平時から実施したいリスクコミュニケーション
表 セキュリティー部門が平時から実施したいリスクコミュニケーション
[画像のクリックで拡大表示]

 議論する機会を設けたら、基幹システムが暗号化されたときに必要な復旧時間の見込みを共有し、その時間を会社として許容できるかを確認しておく。経営陣が許容できないときは、追加のセキュリティー対策を講じるために必要な人員や予算といった経営資源について、IT部門から経営陣に説明しておきたい。

この先は日経クロステック Active会員の登録が必要です

日経クロステック Activeは、IT/製造/建設各分野にかかわる企業向け製品・サービスについて、選択や導入を支援する情報サイトです。製品・サービス情報、導入事例などのコンテンツを多数掲載しています。初めてご覧になる際には、会員登録(無料)をお願いいたします。