世界中でサイバーテロの被害が急増

ここ数年、世界中でサイバーテロの被害が急増しています。大企業や官公庁だけでなく、中小企業や自治体までもが標的になる時代です。

最近では、国内でも製造業や病院、自治体がランサムウェア（身代金ウイルス）に感染し、業務が数日間停止、メールや受発注システムが使えなくなるといった事例が相次いでいます。

◆例えば、KADOKAWA／ニコニコ動画。サプライチェーン的に言えば、出版社・映像配信という本体に加えて、関連子会社・取引先まで波及し、書籍出荷の遅延やサービス停止を招いています。
◆最も最近の例では、アサヒグループホールディングス。こちらも「自社だけでなく、取引先・流通チャネル・消費者影響まで広がった」典型的なサプライチェーンリスク事例です。
◆アスクル株式会社も被害を受け、アスクルの「ASKUL」「ソロエルアリーナ」「LOHACO」における顧客情報流出の可能性がある旨が発表されています。この余波はグループを超え、無印良品のネットストア及びアプリ経由の注文・出荷機能が停止まで引き起こしています。

「狙われる理由がない」と思っている企業ほど、セキュリティが手薄で被害を受けやすい――これが現実です。

しかも、相手は個人ではなく、国家や組織ぐるみで動くサイバー犯罪集団。

ですが、正直な話、中小企業が（例え大企業であっても！）このような相手を完全に防御することはほぼ不可能です。軍隊並みの火力を持つ攻撃に、民間企業が真っ向から立ち向かうようなものです。狙われたらおしまいです。

どうすればよいのか？

では、どうすればいいのか。

答えは明快です。「防ぎ切ること」よりも、“やられてもすぐに立ち直れる体制”を持つこと。その第一歩が、「バックアップの自動化」と「復元テスト」です。

「バックアップならもう取っている」という企業も多いですが、実際に復元してみると――

データが壊れていた
手順が複雑で時間がかかる
どのデータがどこにあるのか分からない
といった問題が頻発します。

つまり、「取っている」だけでは不十分。“（素早く・正しく）戻せるかどうか”を定期的に確認することこそが、本当の備えです。

■ 小規模企業でもすぐにできる３つの実践ポイント

① バックアップは「自動化」しておく

同じネットワーク上に保存すると、感染時に一緒に暗号化されてしまいます。クラウドやオフラインのストレージに保存しておくことで被害を分散できます。

② バックアップ先は「別の場所」に置く

③ 年に数回は「復元テスト」を行う

実際にデータを戻してみることで、復旧時間や手順の改善点、担当者のスキルを確認できます。「やってみる」だけで、復旧スピードは大きく変わります。避難訓練、防災訓練と同じです。

つまり、「予防策を取っている」だけでは不十分。“戻せるかどうか”を定期的に確認することこそが、本当の備えです。

■ サイバー攻撃への最大の防御は「再起動できる力」

いまの時代、どんなにセキュリティを強化しても「100％安全」はありえません。大切なのは、被害を最小限に抑え、すぐに立ち直る力＝復旧力（サイバーレジリエンス）を持つことです。

バックアップの自動化と復元テストは、中小企業でもすぐに始められ、長く効果を発揮する“地に足のついた対策”です。どんなセキュリティソフトよりも、まずはここから始めるのが良いと思っています。

まとめ

企業へのサイバー攻撃のリスクは今後も高まる一方、完全な防御は困難です。そのため、「万が一の時にどうリカバーするか」「復旧までの時間をいかに短縮するか」という準備・体制づくりが、今日の企業経営には欠かせません。

攻撃は防げなくても、会社を止めない仕組みは作れると思っています。

（おまけ）パスワードのセキュリティ豆知識

《パスワードのセキュリティ豆知識》
パスワードのセキュリティは複雑さより「長さ」が重要なんです。長さを増やすと組合せパターンが指数関数的に増大。総当たり攻撃(ブルートフォース)による突破が非常に困難になり、敵も嫌がります。例えば、8文字を9文字に増やすだけで解読時間が大幅に伸び、15文字にもなると天文学的な期間を要するため安全性が超向上します！