WannaCryランサムウェア危機で得た教訓

2017年5月12日金曜日（米国時間）、ランサムウェア「WannaCry」による被害は150カ国以上で数十万件に上りました。感染すると、「人質」に取られたファイルとデータのロック解除、あるいはコンピューターへのアクセスの回復と引き換えに、300米ドル以上の支払いを要求されます。

このランサムウェアは、パッチが適用されていない、古いWindowsオペレーティング・システムを使っているマシンの脆弱性を悪用したものでした。企業、通信プロバイダー、政府機関、さらには緊急サービス機関も、このランサムウェアの被害を受けたと報じられています。

再び起こり得るサイバー危機への対策に目が向けられる中、明らかになった教訓があります。技術インフラは、これまで考えられていたよりも脆弱であるということです。つまり、企業がサイバーインシデントによる事業中断リスクの増大を考慮する必要があることを意味します。

ITネットワーク間の相互接続が進み、複雑性が高まると、そのような事業中断が波及するリスクも高くなります。たとえ自社が直接攻撃を免れたとしても、サプライヤーや他のビジネスパートナーが犠牲になった場合、そのような波及的影響を受ける可能性があります。今日の世界では、ITと通信の機能停止は、多くの企業にとってサプライチェーンの寸断の主因とみなされており、重大な損失に繋がりかねません。

重要なポイント

1.   サイバーは、IT部門だけの問題ではありません。組織の全員が対処すべきリスク問題です。

2.   どれほど優れたセキュリティ対策を講じてもサイバーインシデントを完全に防ぐことはできません。セキュリティ対策を補完するためのレジリエンスの強化と危機対応計画に取り組むことが重要です。

3.   サイバー攻撃を100％防ぐことはできません。その最たる例が、今回のWannaCry危機です。そもそもの発端は、米国防総省の軍事情報機関である国家安全保障局（NSA）のネットワークの侵害でした。NSAのシステムを担当していたのはトップレベルのITエンジニアたちと考えて間違いないでしょう。それでも侵害を許してしまったのです。

4.   最も一般的なサイバー侵害の原因は、人為ミス／不注意です。システムが侵害された場合、必ずしもIT部門の責任というわけではありません。

5.   IT機能を外部委託しても、顧客、ビジネスパートナー、従業員、規制当局に対する責任の所在を外部に求めることはできません。

6.   様々な調査から、世界中の多くの人々がモバイル機器を失うと生活が成り立たなくなると考えていることが分かっています。企業にとっても、データやネットワーク機能を失うことは、同じような壊滅的な影響をもたらします。利益を上げていたにもかかわらず、サイバーインシデントが原因で破綻した企業の例もあります。

7.   サイバー攻撃で問題になるのは、データの喪失だけではありません。顧客の個人データが危険に晒されたことによって一晩のうちに企業の評判が失墜することもあります。信頼や業務上の信用が企業と顧客との関係に不可欠な場合は、特にその危険があります。データの喪失の規模と比例して、評判と取引の喪失の規模が決まるわけではありません。たとえば、銀行で10人の顧客データが失われ、彼らの個人情報が不正に流出したとします。これによる直接的な財務上の影響は被害にあった10人の顧客に生じた損害の補償であり、被害者の苦痛は甚大であるものの、銀行側で対処できるかもしれません。しかし、いったんこのニュースがメディアで報道されると、銀行の評判が落ち、他の多くの顧客が取引先銀行を変えるかもしれません。結果的に、この信用失墜によってもたらされる副次的な財務上の影響は、はるかに大きなものとなります。