メインコンテンツに移動する
Perspective:
Perspective
2025年10月22日
読了時間 5分

大規模ランサム型サイバー攻撃を受けた際の企業の対応

業務復旧、ステークホルダー対応、決算開示・内部統制対応を中心に

ランサム型サイバー攻撃の特徴とトレンドや事例を紹介するとともに、深刻な被害を防ぐために企業が備えておくべきことを解説する。

1. ランサム型攻撃の特徴とトレンドについて

ランサム型攻撃は、企業や組織のネットワークに侵入し、ファイルを暗号化して利用不能にしたうえ、復号キーと引き換えに仮想通貨などで金銭を要求する手口だ。近年は、身代金未払い時に窃取データをダークウェブで公開する二重恐喝型が主流になっている。デロイト トーマツの「企業の不正調査白書 Japan Fraud Survey 2022-2024」では、国内大企業などの約16%がサイバー攻撃被害を経験し、特に海外関係会社での被害が多いことが明らかになっており、子会社も含むITガバナンスの強化の必要性が示唆される。

2. 国内製造業におけるサイバー攻撃被害の事例

コロナ禍以降、国内製造業ではサイバー攻撃で業務や決算継続が困難となる被害が増加している。ある国内製造企業では、ランサムウェア攻撃で基幹システムやバックアップデータが利用できなくなり、システム再構築が完了するまで手作業での業務対応を余儀なくされた。営業・物流・購買部門など全社的に影響が生じ、お客様や取引先へ対応、決算対応や監査人対応も必要となった。また、情報漏洩リスクも発生し、個人情報保護委員会への報告なども行った。このような場合、決算・監査など多岐に渡る業務を全社横断で並行対応するため、PMOやCSIRTの立ち上げが必須である。復旧は「縮退期」「暫定復旧期」「完全復旧期」の3フェーズを辿り、適切な初動対応で縮退期できる限り短縮することが重要である。様々な課題を短期間で対処するため、セキュリティベンダーだけでなく、弁護士やコンサルタントの起用も推奨される。

出所:デロイト トーマツ ファイナンシャルアドバイザリー合同会社作成

3. サイバー攻撃による決算や開示への影響について

深刻なサイバー攻撃を受けた場合、KAM(監査上の主要な検討事項)として記載される例が増加している。KAMでは、業務運営やシステム復旧に伴う内部統制の整備、障害原因調査、バックアップの正当性、復旧状況に応じた内部統制評価、全社的なサイバーセキュリティ施策の十分性などが監査対象となる。従来は会計不正等が主な開示事項だったが、サイバー攻撃による報告書遅延時にも「開示すべき重要な不備」の記載が増え、セキュリティ対策不足による企業レピュテーションリスクが高まっていると言える。金融庁も2022年12月の内部統制基準改訂案でサイバーリスクへの対応を明記し、不備訂正時は経緯の具体的な開示を求める方針を示している。 

出所:デロイト トーマツ ファイナンシャルアドバイザリー合同会社作成

4. 大規模なサイバー攻撃を受けた企業に共通するITガバナンスの課題

ITガバナンス強化に課題を持つ企業の共通点は以下の通りである。自社に当てはまるものはないか、ぜひチェックしていただきたい。

  1.  CIO・CISOなど経験ある人材が社内におらずITガバナンスやセキュリティリスクが経営課題と認識されず、予算措置もされない
  2.  予算や指揮不足により、セキュリティリスク評価やITポリシー強化、人材確保が進まない
  3.  適切な知識を持つ担当者によるリスク評価やITポリシー整備が不十分で、IT資産・脆弱性管理や対処フローも未整備
  4. 有事対応方針が未整備なため、調査情報が不足し復旧に時間がかかる。バックアップもBCP基準が古く、復旧が遅延
  5. M&Aや拠点拡大で本社が各拠点のIT運用管理を把握できず、明確なITポリシーもなく運用がブラックボックス化

国内企業では、サイバーセキュリティが経営課題と認識されておらず、技術的な対策だけで満足しがちだが、全社的なITガバナンスが必要である。 

5. おわりに

サイバー攻撃による深刻な被害を防ぐため、企業は以下の備えが重要である。

① 自社の管理体制をリスクアセスメントすること

  • ISMSやCISといったフレームワークを用いて客観的に自社のリスクを評価しているか
  • 重要なシステムやネットワークに対しては脆弱性診断やペネトレーションテストを実施しているか
  • ITリスクアセスメントの結果を基に、攻撃を受けた場合の縮退対応・操業停止による損害や逸失利益を検討しているか

② サイバー攻撃にも備えた有事対応マニュアルやBCP計画を策定すること

  • 攻撃を受けた場合、封じ込めとフォレンジックのために最低でも数時間から数日サービスが停止することを理解しているか
  • サービス停止期間中に縮退対応できる業務の範囲と業務フロー、必要ツール等を整備し、訓練を実施しているか
  • 有事の際に対応すべきCSIRTに相当するチーム体制や人員・役割を選定しているか
  • バックアップ管理体制やシステム冗長化構成の状況を定期的にレビューしているか

③ ITガバナンスの強化を検討すること

  • 全社的なITポリシーと監査体制を整備し、運用業務の属人化や運用委託先のブラックボックス化を回避しているか
  • 海外子会社や新たに買収した企業に対してセキュリティ体制を把握しているか
  • IT資産管理や脆弱性管理、リスク情報のエスカレーションといった体制が整備・運用され、遅滞なく脆弱性に対処しているか

これら初歩的な対策でも未対応の企業が多いため、改めて確認・実施が必要である。

執筆者

デロイト トーマツ ファイナンシャルアドバイザリー合同会社
フォレンジック & クライシスマネジメント サービス
シニアマネジャー 飯野 紘介

このページはお役に立ちましたか?

ご協力ありがとうございました。

プロフェッショナル

清水 亮/Ryo Shimizu

清水 亮/Ryo Shimizu

合同会社デロイト トーマツ パートナー
三枝 大高/Hirotaka Mieda

三枝 大高/Hirotaka Mieda

合同会社デロイト トーマツ マネージングディレクター

Our Thinking

インシデント緊急相談窓口

当局対応、不正や不祥事対応、情報漏洩、サイバー攻撃等の様々なインシデント発生時に、デロイトトーマツ グループの専門家が24時間以内に対応する、緊急相談窓口サービスです。
Services
読了時間 4分

危機発生時におけるファーストステップガイド

危機に直面した企業は、その危機によって生じる被害を最小限に抑えるため、スピード感を持って事態の収拾に取り組み、ステークホルダーに対応することが求められます。ファーストステップガイドは、初動の危機対応として、企業が実施を検討すべき事項をまとめています。
サービス

企業の不正リスク調査白書 Japan Fraud Survey 2022-2024

上場・非上場企業を対象に、不正の実態および不正への取り組みに関するアンケート調査を実施し、714社から得た回答をもとに、各社のコンプライアンスおよびガバナンスに対する意識、取り組み状況を重点的に分析。これらの調査結果を「不正・不祥事の実態」「コンプライアンスリスクへの認識」「不祥事対応に向けたガバナンス」の3つに分類し、日本企業の不正・不祥事対応の最新傾向を解説します。
Research