【CSIJコラム38（2025,9,26）】
「有事の際にまず行うべきは」

​

エムオーテックス株式会社
プロフェッショナルサービス本部 エキスパート
小関 直樹

​

　あなたの組織がサイバー攻撃を受け、ランサムウェア被害など大規模な情報セキュリティインシデントが発生したとします。さて、インシデント対応のためにまず必要なものは何でしょうか？

 

　まず、「インシデント対応マニュアル」という答えがありそうです。マニュアルが整備されていれば、事態に対して迅速に、落ち着いて対応ができますね。
　また、「CSIRT」や「インシデントハンドラー」という答えも考えられます。経験豊富で有能なインシデントハンドラーがいれば、必ずしもマニュアルが整備されていなくても、事態に臨機応変に対処してくれそうです。
　あるいは、「バックアップデータ」が挙がるかもしれません。たしかに、いくらCSIRTやインシデントハンドラーが優秀であっても、バックアップデータが取得・保全されていなければ復旧作業は行えません。システムを復旧し、データを可能な限り直近の状態まで戻すためには、バックアップデータが不可欠です。

 

　この問いに唯一絶対の正解はありませんが、突然このようなことを書いたのは、先日CSIJのメンバーから勧められて読んだ本に印象的な一文があったからです。それは、
「有事の際に、まず行うべきは資金調達である。」
というものでした。

​

　その本とは、達城久裕氏の『サイバー攻撃 その瞬間 社長の決定』[1]です。物流大手の株式会社関通（本社：兵庫県尼崎市）の創業社長である著者は、2024年9月、大規模なサイバー攻撃（ランサムウェア感染）の被害に遭い、対応の陣頭指揮をとることになります。本書には、その過程で著者が経営者として何を優先し、どのような決断を行ったのかが記されています。

​

　その中にあったのが、上に挙げた資金調達に関する一文です。これは経営層ならではの視点だと感じました。
　そこでは、インシデント対応で必要となった費用として、被害にあった端末および情報システムの入替えや、顧客への損害賠償といった直接的なものだけでなく、社員が早朝・深夜から週末まで対応を強いられることによる残業手当の増加や、タクシー代やホテル代の負担、昼食代の補助など、間接的なものまでが挙げられています。また、「もし、資金ショートを起こし倒産すると、（加入していたサイバー保険の）損害保険金も受け取れなくなる」といった記述もあります。
　例えば、『サイバーセキュリティ経営ガイドライン』[2]を見れば、経営者が実施すべき重要10項目の1つとして、「サイバーセキュリティ対策のための資源（予算、人材等）確保」が挙げられています。また、同ガイドラインには、大規模なマルウェア感染による損害額として、「3億7,600万円」という試算も示されています。これらは、頭では分かっても、経営層でなければ実感が湧きにくいように思います。しかし、本書を読んだことで、特にインシデント対応での資源確保に関しては、これまでよりも解像度を上げてイメージできそうです。

​

　有事の際にまず行うべきことと言っても、経営層と現場では役割が違い、答えが違います。「資金調達」が経営層の視点だとすれば、「インシデント対応マニュアル」や「インシデントハンドラー」、「バックアップデータ」は現場の視点だと言えます。同列に論じることはやや乱暴かもしれませんが、こうした本などを通じて双方の視点や優先事項を理解することは、組織全体としてのレジリエンス（回復力、復元力）を高めることにつながるでしょう。
 

【参考文献】
[1] 達城久裕, 『サイバー攻撃 その瞬間 社長の決定』, 関通サイバー攻撃対策室, 2025年
[2] 経済産業省／独立行政法人 情報処理推進機構,

　　『サイバーセキュリティ経営ガイドライン Ver3.0』, 2023年
　　https://www.meti.go.jp/press/2022/03/20230324002/20230324002-1.pdf