共通して浮かび上がる
「なぜ被害に遭ったか」の要点
以上のことを踏まえてアサヒグループHDとアスクルを比較すると、被害に至った根本的な理由として共通するものが見えてくる。
まず、「業務の中核がデジタルシステムに深く依存」している点。受注、出荷、物流、工場生産といったミッションクリティカルなプロセスがシステムによって制御されており、ここが止まると業務停止になってしまう。
次に、「侵入・拡散に対する防御・影響範囲の縮小(ネットワーク分断・隔離)が難しい構造」にあること。旧式システム、VPN・リモートアクセス機器、委託先・サプライチェーンとの接続点など、侵入起点・伝播経路が多く、被害を限定化しにくい。
さらに、「サプライチェーン/委託先依存・共通プラットフォーム」の存在が、被害時の影響を拡大させる土壌になっていた。委託先のシステムが被害を受けると、その上位企業もその影響を受けるという構図になっていた。
日本企業“だけ”が狙われているわけではない
もっとも、日本企業“だけ”が突出して狙われているわけではなく、世界中でランサムウェアの被害報告は多い。
アサヒグループHDやアスクルといった国内の有名企業の被害が相次いだこと、サプライチェーンが広範囲に及んでいたこと(アスクルの物流を利用していた企業など)、食品や日用品など我々が日常で目にするものに影響が出たことなどで、「日本企業がランサムウェアの被害に遭っている」というように見えた……というのが実際のところかもしれない。
デジタル社会におけるビジネスにおいて、ランサムウェアの攻撃の影響が拡大しやすくなっているインパクトが、今回、多くの場所で報道されている理由とも考えられる。
いずれにしても、ランサムウェアは、単なる技術的な問題ではなく、企業文化や組織構造、経営判断にも深く関わるリスクである。古いシステムの更新、アクセス管理の強化、取引先を含めたセキュリティ基準の統一、そして経営層を巻き込んだ全社的な意識改革が不可欠といえる。
