大阪市の大阪急性期・総合医療センターがサイバー攻撃を受け、診療に大きな影響が出ていることが話題となっている。サイバー攻撃の対象はこうした病院のような公共機関だけでなく、小売店や製造工場などさまざまな分野にわたり、大企業だけでなく、中小企業も標的となりつつある。そこで各企業が注目しなければならないのは、攻撃を受けた後も事業を継続させる事業継続計画(BCP)という観点だ。
サイバーリスクとの関係が深まりつつあるBCP
BCPは、「Business Continuity Plan」の略で企業が災害や事故で被害を受けた場合、自社従業員の安否の確保に加え、取引先等の利害関係者との関係で、重要業務を中断させないなど事業を継続させるための計画である。仮に中断したとしても、可能な限り短い期間で再開することが重要となっている。
重要業務が長期にわたって中断すると、顧客の他社への流出、マーケットシェアの低下、企業評価の低下などを招くこととなる。こうした事態を可及的に防ぎ事業継続を確保するための計画がBCPだ。
これまで、BCPが想定していた典型的な被害として、地震、水害、テロ、戦争といったなど突発的に発生するものが想定されてきた。昨今では新型コロナウイルス に対して、経済産業省が「コロナ禍における事業継続に向けた取組の強化について(要請)」による感染症に対応したBCPの策定と実行、計画の充実を呼びかけるなど、感染症に代表される段階的かつ長期間に渡り被害が継続するものにも求められている。
このBCPの対象に「サイバー攻撃」という観点が重要となってきている。なぜなら、昨今サイバーリスクが質・量ともに変質しているからだ。
従来のサイバーリスクといえば、2014年に発生した大手通信教育事業者からの個人データの漏えい事件 や15年に発生した日本年金機構からの個人情報流出事件に代表されるような個人情報の流出事案であった。こうした個人情報の漏えい事案は、漏えいした個人情報の主体から精神的損害に係る損害賠償請求がなされたり、個人情報の管理体制についてレピュテーションが下がったりといたリスクはあるものの、事業継続を中断するほどのリスクではなかったと言える 。
ところが、昨今のサイバー攻撃は事業継続の中断を引き起こすほどのリスクにその質が変容している。
例えばランサムウェア攻撃においては、電子ファイルの暗号化を引き起こす結果、ドキュメントファイルのみならずシステム、ソフトウェア、アプリケーションまでもが暗号化被害の対象となる 。米国パロアルト社2021,8,10付“New eCh0raix Ransomware Variant Targets QNAP and Synology Network-Attached Storage Devices”によると、あるランサムウェアの解析の結果、42の拡張子を暗号化の対象であったことが発表されている 。工場制御システムを構成する電子ファイルが暗号化されると、当該システムが停止する結果、製造・販売の中断が余儀なくされる。