サイバー攻撃による倒産リスクが高まっている。1度のシステム破壊や情報漏洩が数千万円から数億円単位の損失を生み、企業を倒産に追い込むケースが後を絶たない。那須慎二氏(株式会社CISO代表取締役)は、被害に遭った企業が「こんなにシステムに依存していた」「ネットが使えないと仕事が回らない」「データがなくなると事業が止まる」と初めて気づくが、時すでに遅しと指摘する。
倒産に至る典型的なシナリオ
ランサムウェア攻撃を受けた企業が倒産するまでの流れは以下の通りである。各段階で失われる経営資源を【】内に示す。
- システム(やデータ)が破壊される(攻撃者から情報を晒される)【情報】
- 社会的な信用を失う【情報】
- 取引先から契約見直しを迫られる(場合によっては契約解除)【人・モノ】
- 社会的な信用を失う、または大きく毀損する【情報】
- 社員が疲弊したり見限ったりして辞めてしまう【人】
- お金が足りなくなる【お金】
- 倒産する
企業規模や被害状況にもよるが、たった1度のサイバー攻撃で数千万円から数億円単位の資金が吹き飛ぶことは珍しくない。
内部留保が少なく、サイバー保険にも入っていない企業が危険
那須氏は、倒産する企業の特徴として、内部留保が少なくサイバー保険にも加入していない点を挙げる。攻撃を受けた際に実施すべき事項の1つが「デジタルフォレンジック調査」である。これは攻撃の原因(いつ、どのように行われ、何が起こったか)を明らかにする調査で、被害企業に情報を預けている取引先から「原因は何か」と問われた際に報告するために行う。
この調査は非常に高額で、PCやサーバ1台あたり150万円~200万円程度かかる。例えばサーバ5台が破壊された場合、フォレンジック調査費用だけで200万円×5台=1000万円が発生し、蓄積してきた利益が一瞬で吹き飛ぶ。さらに以下の費用が一気にキャッシュアウトとして発生する。
- ダークサイト調査(情報漏洩の有無確認)
- システム復旧・再構築費用
- 専門家(セキュリティ専門家、弁護士など)への依頼費用
- 取引先などへの損害賠償
- 疲弊した社員の残業代や深夜手当
- 再発防止のための組織立て直しやコンサルティング費用
これらのコストが内部留保を圧迫し、保険でカバーできなければ倒産リスクが急激に高まる。
生き残るための対策
那須氏は、経営者の「価値観」にメスを入れ、セキュリティ投資を後回しにしない姿勢が重要だと強調する。具体的には、定期的なバックアップ、従業員教育、サイバー保険への加入、そしてインシデント発生時の迅速な対応体制の構築が不可欠である。事前の備えが、倒産という最悪の結末を防ぐ鍵となる。
