防げない時代、企業はどう備える？― 事業を止めないためのセキュリティとは

ランサムウェアをはじめとするサイバー攻撃が日常的に発生し、「完全に防ぐ」ことが難しい時代になりました。では、企業は何を前提に、どのような備えを進めていけばよいのでしょうか。本記事では、国立研究開発法人情報通信研究機構(NICT)ナショナルサイバートレーニングセンター長の園田道夫氏と当社社員による鼎談をもとに、サイバーリスクの現状や見落とされがちなネットワーク設計のポイント、事業継続を見据えたセキュリティ対策の考え方についてご紹介します。

サイバー攻撃が企業経営に与えるインパクト

ランサムウェアを中心としたサイバー攻撃が相次ぎ、企業にとってサイバーリスクは日常的な経営課題となりつつあります。被害は業種や規模を問わず、国内大手飲料メーカーや通販企業など、誰もが知る企業でも確認されています。ひとたびインシデントが起きれば、業務停止や情報漏えいを通じて、事業継続そのものを揺るがしかねません。こうした現実を踏まえたとき、自社の備えは十分だと言えるでしょうか？

背景にあるのが、攻撃の“ビジネス化”です。近年は RaaS (Ransomware as a Service) の拡大により、ランサムウェアの開発・運用・交渉が分業化され、専門知識がなくても高度な攻撃を実行できる環境が整いました。攻撃者は成功率を重視し、対策が不十分な企業へと次々に標的を移していきます。

このような状況下では、「侵入を防ぐ」ことだけに目を向けた対策には限界があります。重要システムを分離していても、業務や保守のために設けたVPN装置が侵入口となり、被害が拡大するケースは少なくありません。分離や閉域といった対策も、設計や運用が不十分であれば意味が無くなってしまいます。

侵入は防げない―それでも、事業は止めないために

そこで重要になるのが、侵入を前提に被害をどう抑え、どう復旧するかという視点です。ネットワーク全体を可視化し、異常を早期に検知する仕組みを整えると同時に、どの業務や情報が事業継続に直結するのかを整理し、優先順位を明確にする必要があります。こうした判断は現場任せではなく、経営層が関与すべきテーマでもあります。
では、いざ経営層を動かそうとするとき、どうアプローチすべきなのでしょうか？

その鍵になるのが、経営層が判断できる形でリスクを可視化することです。被害想定や過去のインシデント事例、財務への影響などを具体的に示すことで、対策の必要性はより現実的な議論になります。課題を認識するだけで終わらせず、実際の行動へとつなげられる体制づくりが求められています。

「防げない時代」を前提に、何を守り、どう立て直すのか。サイバーリスクへの向き合い方は、いまや技術の話にとどまらず、企業の意思決定そのものが問われています。

セキュリティ対策、最初の一歩はどこから？

リスク対策.com 掲載記事｜最大化するサイバーリスク　防げない時代の備えとは？～経営層を動かすためのアクションを起こせ～

こんな方におすすめの記事！

• サイバー攻撃を経営リスクとしてどう捉えるべきか考えたい方
• セキュリティ対策を進めたいが、何から着手すべきか整理できていない方
• ネットワークの分離やVPN運用など、既存対策に不安を感じている方
• IT-BCPの観点から、事業継続につながる備えを検討したい方

記事の注目ポイント！こんな内容が語られています

• サイバー攻撃が常態化する中で、「防げない時代」を前提にした考え方
• 分離・閉域といった対策でも生じやすい、ネットワーク設計・運用の落とし穴
• ガイドラインや事例をどう活用し、経営層の判断につなげていくかという視点

セキュリティ対策を見直したい方へ｜サイバー攻撃の最新動向と対策について学ぶオンラインセミナー【無料開催】

アライドテレシスでは、業種に特化したオンラインセミナーを随時開催しています。
「【IT-BCPに向けて：第2弾】事業継続を脅かすサイバー脅威にどう対処するか？」をテーマに開催された回では、最新の脅威動向と限られた人材やリソースの中でいかに備えを強化すべきか、組織として取るべき対策の方向性について、導入事例を交えて詳しく解説しています。

本オンラインセミナーシリーズは、ライブ配信後にアーカイブでもご視聴いただけます。ぜひご覧ください。

アライドテレシス

【IT-BCPに向けて：第2弾】事業継続を脅かすサイバー脅威にどう対処するか？ - アライドテレシス 基調講演 「サイバー脅威の最前線と日本企業が取るべき備え －加速する攻撃の高度化にどう立ち向かうか－」 国立研究開発法人情報通信研究機構（NICT） ナショナルサイバー...