攻撃を止めるのは、情報システム部門だけではない
攻撃の引き金は、意外なほど日常の中に潜んでいる。VPN設定の不備、フィッシングメール、放置された脆弱性、取引先を経由した侵入。いずれも特別なことではない。
筆者は前職で、総合物流会社の倉庫現場で事務管理を担っていた。そこでは月1回のパッチ更新やクラウドへのバックアップ、怪しいメールへの注意喚起など、ITに不慣れな社員も含めて徹底していた。また、情報システム部門では、オンプレミスで運用してきた独自システムを、基幹部分を残しつつアプリケーション側のみクラウド化した。
技術面の刷新だけでなく、現場の実務や体制作りと並行して進める必要があると実感する取り組みである。正直なところ、実務の中では「面倒だ」という声も上がりがちだった。それでも、こうした地道な体制作りと現場の意識付けが、組織の防御力を支える土台になっていたことを今は痛感する。
一方、セキュリティレベルが高いであろう大手企業もサイバー攻撃を受けている現状から、攻撃を完全に防ぐのは難しいのではないか。
その点、サイバー攻撃後の対応については、関通CEO達城久裕氏の著書『サイバー攻撃 その瞬間 社長の決定』で当時の緊迫した状況や決断が描かれている。
システム設計再構築のあり方、損害保険会社とのサイバー保険適応範囲に関する交渉、資金繰り、有事における社内の労働環境整備と優先順位の判断。これらのすべてが一刻を争うため、スピード感のある経営判断が求められた。
「サイバー攻撃を受けたことで、私はあらためて『リーダーとしての決断力』の重要性を教えられた。今後同じような危機が訪れたとしても、今回の経験を活かして、より迅速で正確な意思決定を行う『リーダーの覚悟』を発揮したい」と意思決定の重要性を示している。
狙われ続けないために必要なこと
サイバー攻撃への対策として、クラウド化や基幹刷新は重要だ。しかし、それだけでは足りない。技術の問題だけではなく、経営者と組織全体の姿勢を問う。
「自社は直接狙われない」「うちは小さいから大丈夫」という考え方は、通用しない。直接の標的でなくとも被害が波及し、取引先の被害が、自社の事業を止めることもある。
社会インフラは私たちの日常を支える背骨だ。それが折れれば、あらゆる領域が立っていられない。攻撃者は特定の業界ではなく、社会全体の脆弱性を試している。
経営層、情報システム部門、個人ができることは何か。それを問い、引き金をなくし、次の一手を講じる。それが、繰り返しの被害を防ぐ現実的な選択肢だ。
参考資料:
「不正アクセスを受けた」企業は約1割 課題は「従業員の意識改革・リテラシー向上」
『サイバー攻撃 その瞬間 社長の決定 』(達城久裕著、 関通サイバー攻撃対策室刊)
田中なお◎物流ライター。物流会社で事務職歴14年を経て、2022年にライターとして独立。現場経験から得た情報を土台に、「物流業界の今」の情報を旺盛に発信。企業オウンドメディアや物流ニュースサイトなどで執筆。
