第3回では、M&Aに関連したサイバーセキュリティーについて考察しましたが、今回(最終回)は、より多くの日系企業が共通して抱える「海外子会社のサイバーリスク」について、事故例の紹介とリスク転嫁策としてのサイバー保険の重要性について解説します。

グローバルにビジネスを展開する企業にとっては、サイバーリスクに限らず、国内外の子会社を含めた包括的なリスクマネジメント体制の構築が必要であることは言うまでもありません。各子会社にもリスクマネジメントの担当部署、あるいは担当者を置いた上で、本社で作成した共通の規程やフレームワークを、現地の法規制や商習慣に適応した形に修正しつつ導入することが不可欠です。しかし現状では、IT・セキュリティーに関しては基本的に現地任せの対応となっており、システムベンダーが地域・国ごとに異なっていたり、脆弱性診断やセキュリティーテストの実施についても現地の判断で個別に行っていたりする企業が多く見られます。

サイバーリスクはゼロにすることができない

ここで留意すべき点は、国や会社ごとにいかにIT・セキュリティーのレジリエンスを高めていても、会社同士がネットワークでつながっている限り、1カ所から侵入したウイルスやマルウェアの感染は短時間で全世界の全拠点に広がる可能性があるということです。テクノロジーが進化した現在の社会で事業を運営する企業にとって、サイバーリスクをゼロにすることはできないという事実は、もはや共通認識になっています。ハッカーによる外部からの攻撃や悪意を持った従業員による内部犯罪など、セキュリティー侵害を完全に防御し、また永遠に防御し続けることは不可能と言えます。

第1回では、今年に入って日系企業のタイ工場がサイバー攻撃を受け、生産ラインの一部が3日間にわたり停止したという事例を簡単にご紹介しました。ハッカーが仮想通貨を不正取得するウイルスをパソコンに送り込む前段階として、IDやパスワードを盗むウイルスを侵入させたことにより、パソコン約100台が感染し、受注や生産を管理するソフトが使えなくなったものです。ウイルス感染自体はタイ国内に限定されたものの、影響はタイ国内に収まらず、本社での請求書発行システムの停止や在庫供給の遅れなど、損害が日本にも波及していたことが報じられています。さらに、ウイルスの種類やネットワークセキュリティの統合状況、脆弱性などの諸条件によっては、本社や他の国の子会社にまでウイルス自体の影響が拡大していた可能性も否めません。

同じく第1回では、さまざまな企業が2017年6月の一連のマルウェア攻撃によって損害を被ったことをご紹介しました。このうち、食品メーカーMondelez Internationalは、全世界60カ国の拠点にNotPetyaの感染が広がり、主に販売、配送、財務系のシステムが影響を受けて、サーバー1700台とパソコン2万4000台が停止しました。製品出荷・請求システムなどが4日間にわたって停止した国もあり、売上の減少で1億400万USドル、各種対応費用で8400万USドル、合計1億8800万USドルの損害が見込まれると発表しています。