先日、日本経済新聞にアサヒグループホールディングスがサイバー攻撃を受け、システム障害が長期化しているという記事が掲載されました。
9月29日にシステム障害の発生を公表してから1カ月以上経過した今も全面復旧のめどが立っていないとのこと。
アスクルや無印良品なども同様の被害に遭っており、年末商戦を控えた企業にとっては極めて深刻な事態です。
人事教育コンサルタントとして、デジタル技術と人間の関わり方について日々考えている私にとって、この事態は他人事とは思えませんでした。
関係者の方々の心中を察すると、本当に胸が痛む思いです。
記事によると、今回使われたのは「ランサムウエア」と呼ばれる身代金要求型のウイルスです。
感染したコンピューターのデータを次々と暗号化し、システム障害を発生させ、復旧と引き換えに金銭を要求する手口だそうです。
「Qilin(キリン)」を名乗るグループが犯行声明を出したそうですが、なんとも皮肉な名前だと思わざるを得ません。
こうしたサイバー攻撃について考えるとき、複雑な心境になります。
ハッカーがシステム上の脆弱性を指摘してくれるという意味では、ある意味ありがたいことかもしれません。
しかし、身代金を要求するのは許しがたいことです。
これはもうテロと同じではないでしょうか。
お金を払ってしまっては相手の思うつぼですが、一方で、このまま事業が停止し続ける損害を考えると、さっさと払って問題解決をしたいという気持ちもわからなくもありません。
企業としては本当に苦しい判断を迫られているのだろうと思います。
アサヒグループでは当初、ビールなど製品の出荷ができなくなり、工場の稼働も一時停止したそうです。
その後、主力の「スーパードライ」などの生産は再開したものの、電話やファクスを使った出荷など手作業を余儀なくされているとのこと。
復旧には数カ月かかり、億単位の費用がかかるとの専門家の見方もあるそうです。
警察庁によると、2025年上半期だけでランサムウエアの被害報告が116件に達し、半年間の件数として過去最高水準だそうです。
しかも被害の3分の2は中小企業だということ。
大企業だけの問題ではなく、どんな組織も標的になり得る時代なのです。
もう少し、一人ひとりがセキュリティの意識を高めないといけないのかもしれません。
興味深かったのは、復旧の難しさについての記事の指摘です。
「バックアップがあれば大丈夫」と思いがちですが、警察庁の統計によると回答を寄せた被害組織の85%が復元できなかったと答えたそうです。
バックアップそのものも暗号化されたり、日頃の運用に不備があったりするとのこと。
ネットにつながないテープ媒体への物理的なバックアップや復元テストなど、日ごろの備えが肝心だということでしょう。
つまり、技術的な対策だけでは不十分で、日常の地道な備えこそが重要ということです。
被害が深刻化した背景の一つが、業務システム同士がつながり合う企業のデジタル化だと記事は指摘していました。
ランサムウエアは感染したコンピューターのデータを次々と暗号化し、システム障害を発生させます。
異常事態を把握してもシステムにアクセスできず、調査に必要なデータも読み取れない。
被害の広がりがわからないため、システム同士の接続を遮断せざるを得ず、結果的に企業活動全体が停止に追い込まれるのです。
この状況について、記事では「巨大地震に見舞われてインフラが途絶した『災害』と捉えるとイメージしやすい」と述べていました。
まさにその通りだと思います。
かつて被害を受けた企業や病院では、地震対策のため策定した「事業継続計画(BCP)」を活用し、システムが全て止まっても動ける体制で混乱を乗り切ったそうです。
日経新聞の社説にこんな一節がありました。
「被害を減らすには、まずあらゆる組織が標的になるという認識を持つことが重要」「どれだけ対策を強化しても被害に遭う可能性をゼロにするのは難しい」。
これは私の考えとまさに合致します。
DX推進はこういったリスクと背中合わせなのです。
これは企業だけの話ではありません。
私たち個人も同じです。AI技術を学ぶことも大事ですが、こういうリスク管理も並行して学ぶ必要があると思います。
DX(デジタルトランスフォーメーション)を推進し、新しい技術を取り入れることは確かに大切です。
しかし、それと同時に、便利さの裏には必ずリスクが潜んでいることを忘れてはいけません。
私たち一人ひとりができることは何でしょうか。
まず、セキュリティに対する意識をもう少し高める必要があるでしょう。
会社だけでなく個人も同じです。
パスワードの使い回しをしていませんか。
不審なメールの添付ファイルを安易に開いていませんか。
使っていないSNSアカウントを放置していませんか。
ソフトウェアのアップデートを後回しにしていませんか。
こうした基本的なことを、もっとマメに、もっと慎重に管理すべきだと思います。
「自分は狙われない」という根拠のない安心感が一番危険です。
記事によると、サイバー保険に加入している企業は4.8%(2023年、日本損害保険協会調べ)と低いそうです。
「狙われないから大丈夫」と考える経営者が多いと言えそうだと記事は指摘していましたが、これは個人にも当てはまるのではないでしょうか。
記事では、デジタル化が進んで業務システムが肥大化し、サーバーのIDとパスワードを使い回すなどの「隙」が生じていると指摘していました。
リモートワークの普及で会社のパソコンを自宅で使うようになり、管理が行き届かないケースも散見されるとのこと。
サイバー攻撃への備えはサイバーセキュリティー対策の強化だけでは限界があり、被害が起きることを前提とした組織の体制づくりが必要だと述べていました。
今回のアサヒの事例を見て改めて感じるのは、デジタル化が進めば進むほど、一つの障害が全体に波及するリスクが高まるということです。
業務システムが複雑につながり合っているからこそ、一カ所の感染が企業活動全体を停止させてしまうのです。
だからこそ、何事も「自己責任」「当事者意識」が大事だと思うのです。
会社任せ、システム任せではなく、自分自身がリスクの一部を担っているという認識を持つこと。
それが、これからのオンライン時代を生き抜く上で欠かせない姿勢ではないでしょうか。
便利さを享受するなら、そのリスクにも向き合う。
当たり前のことですが、今一度、自分のデジタル環境を見直し、基本的なセキュリティ対策を徹底していく必要があると感じる今日この頃です。
