2025年12月、所属する中小企業診断士の研究会で発表しましたので、その記録です。
一部ダイジェストでご紹介。(スライド全体は48ページありました)
事例ご紹介(6社)
ちょうど被害にあったばかりの、アサヒグループ、アスクルをはじめ、ニコニコ動画が2か月停止したKADOKAWA、トヨタ国内全工場の生産が止まった小島プレス工業、士業関係から社労夢のエムケイシステムと、東京海上の委託先だった税理士法人高野総合会計の6社の事例を紹介しました。下請け企業の被害がサプライチェーン全体に波及したり、取引先・業務委託先に提供していたアカウントから本体への侵入を許す事例が多いことが分かります。
ランサムウェアとは
一通りの説明や観戦時の画面をご紹介しつつ、2重恐喝やRaaSについて説明しました。
RaaSのような経済圏が確立されてしまっていることに驚きます。
中小企業も狙われている
全体の約7割は中小企業です。大企業が狙われていて、うちみたいな中小企業なんて狙うわけないと思っているあなた、危険ですよ。また、業種別にみて、製造業が圧倒的に多い。これは狙われているといっても過言ではなさそう。
被害時のコスト
あまり聞きなれない、「デジタル・フォレンジック」費用。どのように侵入されたのか、何が盗まれたのか、それを調べるための費用です。今後の対策や盗まれた個人情報の範囲などを特定するために避けて通れないコストなのですが、これがえぐい。合わせて、サイバー保険のお話もしました。
ランサムウェア対策
で、どうしたらいいの?ということで、以下の4点でお伝えしました。
①情報セキュリティ対策の基本
②感染原因別の対策(VPN、リモートデスクトップ、標的型攻撃メール)
③バックアップ
④ゼロトラスト
感染してしまったら
まずは、ネットワークの隔離と報告。場合によっては、個人情報保護委員会への報告も必要となります。
まとめ
さいごに、中小企業でも他人ごとではないことや、感染してしまうとフォレンジック費用だけでなく営業できないことによる損失や損害賠償など多大な費用が掛かることを踏まえて、対策をとるべきこと、システム担当だけでなく、トップから従業員まで、基本的な対策をしっかり理解し、怠らないこと、などをまとめて締めくくりました。
お聞きいただいた方からは、クラウドサービスを使っていたら感染のリスクはないのか、などの質問をいただきましたので、今後はそのようなことも含めてご案内できればと思っています。
今回私も調べてまとめてみて、あらためて怖いなと思ったし、自分も対策できていないことの再確認もできたので、良い機会となりました。少しでも中小企業の皆様の理解向上、セキュリティ強化につながることを祈っています。
