日本型組織へのランサムウェア攻撃 対処へ4つの課題
【事例3】印刷・ITソリューション企業での適切対応と課題 2024年5月に発生した印刷・ITソリューション企業のランサムウェア攻撃事例は、日本企業のサイバーセキュリティー対応における進歩と残された課題を浮き彫りにしている。この企業は日本の印刷業界では名うての存在で、特に金融機関や公共機関向けの帳票類や印刷物の製造、発送業務に強みを持ち、近年ではITソリューションや顧客企業の業務の一部を請け負うBPO(ビジネス・プロセス・アウトソーシング)サービスも提供している。 この事例で特筆すべきは、攻撃発生から3日目に公表を行い、その後も定期的に状況をアップデートしていた点である。これは、セキュリティーに敏感な金融機関や公共機関を主要顧客とする企業として、情報開示の重要性を十分に認識していたことの表れである。しかし同時に、個人情報漏えいの可能性について、初期の段階では「確認されていない」としながらも、その後の調査で「可能性が否定できない」と発表を修正せざるを得なかった点は、初期段階での情報収集と分析の難しさを示している。 欧米の同様のサービスを提供する企業、特にセキュリティーが重要な業務を金融機関や公共機関向けに行う企業では、インシデント(事故、事象)発生時の初期段階で迅速かつ正確な情報収集と分析を行うために、専任のセキュリティーチームと高度な分析ツールの導入が進んでいる。これにより、個人情報や機密データの漏えいリスクを素早く把握し、適切な対応を可能としている。このような体制により、企業は顧客との信頼関係を維持しつつ、業界標準に基づいた速やかな情報公開を行う努力を続けている。
日本型組織の特性がもたらす課題
これらの事例分析から、日本型組織特有の以下の課題、「4つの壁」が浮き彫りになる。
【稟議の壁】意思決定の遅さが招く危機
稟議(りんぎ)制度に代表される日本の伝統的な意思決定プロセスは、平時の慎重な経営には適しているが、サイバー攻撃のような緊急事態では致命的な弱点となる。ある製造業では、マルウェア(悪意のあるプログラム)対策ソフトの緊急導入に2週間もの承認期間を要し、その間に被害が発生した事例がある。