1.サイバー攻撃は「空き巣」から「強盗」へ – 7年で国内1800件以上(*)
(*)日本ネットワークセキュリティ協会(JNSA)の「インシデント損害額調査レポート 別紙 2025年版」より
かつてはシステム侵入や情報漏えいといった「空き巣」的イメージが強かったサイバー攻撃は、今やランサムウェア(勝手にシステムデータを暗号化して使えなくし、復号するための身代金を要求)に代表される悪質な業務妨害の「強盗」へと変わってきています。
2025年9月29日、アサヒグループホールディングス(アサヒビール)は、ランサムウェア攻撃を受けて大規模なシステム障害が発生、受注・出荷システムや物流関連の機能が停止し、全国の工場・販売現場で大きな混乱が発生。商品の供給にも遅れが出ました。また、同年10月19日には、物流・通販大手のアスクルもランサムウェア攻撃を受けてオンラインによる注文受付や出荷業務が停止、物流サービスを提供していた無印良品やLOFTにも影響が及ぶなど、サイバー攻撃が全国的な物流にまで災害級の被害を及ぼすようになってきています。
2.もしサイバー攻撃を受けたら被害は?どのような対応が必要?
被害の内容と金額、対応などの実際事例について、上記JNSAが詳しい調査レポートを出しています。
●インシデント損害額調査レポート第2版
●インシデント損害調査レポート別紙「被害組織調査」
また、個人情報保護法や上場企業の適時開示義務などに基づく事故報告義務では原因、範囲、対応などの詳細が求められ、原因調査(フォレンジック)と対策には専門サービス(*)利用が必要となります。
3.自社の備えはどうなっているか?
自社の情報セキュリティの取り組み状況をチェックするには、次のような外部専門機関が作成したツールを使用することが有効です。
4.セキュリティ体制をどう整備し維持するか?
自社の情報セキュリティに不足や弱点がある場合、自社で取り組むほかに外部専門家に協力を求める方法もあります。
前出のJNSA(特定非営利活動法人日本ネットワークセキュリティ協会)やIPA(独立行政法人情報処理推進機構)はセキュリティ体制整備に有用な情報提供を行っています。
JNSA
●公開資料・報告書 ~ お立場に適した資料のご紹介~経営者
セキュリティ業務を担う人材の現状調査報告書、セキュリティ対応組織の教科書 ハンドブック、セキュリティ対応組織の教科書 成熟度セルフチェックシートなど
IPA
●中小企業の情報セキュリティ
中小企業向け情報セキュリティ対策、中小企業向けサイバーセキュリティ専門家リスト及び活用事例の紹介、中小企業のセキュリティ対策事例、SECURITY ACTION自己宣言など
5.リスクマネジメント
情報資産に鍵をかけ警備するのが情報セキュリティ対策ですが、それでもシステム被害や業務被害のリスクはゼロにはなりません。なおも残るサイバーリスクを把握し、自社でリスクを保持する、サイバー保険でカバーする、などの判断をあらかじめしておくことが重要です。
6.サイバー保険の検討
サイバー保険は、さまざまな賠償責任、費用損害、利益損害などを包括的にカバーします。
(JNSA インシデント損害額調査レポート第2版 の3ページより引用)
自社の場合の、サイバー攻撃による損害の規模、影響を想定し、経営への影響を一定範囲に抑えられるような保険への加入を検討して下さい。
サイバー保険には、すでに実施している情報セキュリティや取得済の情報セキュリティ認証(プライバシーマーク、ISMS/ISO27001など)があると保険料が割引になるものがあります。情報セキュリティとサイバー保険は相補的にシステムリスクをカバーしていると言えます。
合同保険事務所では、リスクマネジメントやサイバー保険についてのご相談を承っております。
