こちらの記事は、セキュリティ専門家の松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」の放送内容を文字に起こしご紹介しています。
株式会社エムケイシステムは2月5日、2023年6月6日に公表した同社サーバのランサムウェア感染被害による2024年3月期通期の連結業績予想の修正について発表した。(記事はこちら)
【お届けするニュースはサイバーセキュリティ専門ニュースサイト「ScanNetSecurity」の提供でお送りしています。】サイバー攻撃への対応費用がかかったことで、会社の業績に影響が発生したということです。自社のシステムを他社のインフラで利用する際に、セキュリティで気を付けるべきポイントについて説明します。
今回のインシデントは、サーバ上のデータが暗号化されたことで、当該データへのアクセスができなくなったためシステムが停止し、同社サービスの対象である約3,400ユーザーの大半に正常にサービスが提供できない状態となっていたというものです。原因として、データセンター上のサーバへのランサムウェアによる第三者からの不正アクセスが挙げられています。
対策として、関連するインターネット回線を切断し、外部専門家と合流の上で状況調査を行っています。再発防止策として、外部専門機関による調査に基づき、本件の発生原因なども踏まえ、外部専門機関と連携して今後の情報セキュリティ面の強化及び再発防止のための対策を講じるということです。
自社のシステムを他社のインフラで利用する際は、セキュリティへの取り組みについて、提供会社の公開する情報を確認したり、質問票などを使って確認したりする方法が挙げられます。
自社のシステムを他社のインフラで利用する際は、提供会社が自社と同様にセキュリティへ取り組んでいることを確認する必要があります。具体的には、企業のWebサイトなどで、セキュリティに関する取り組みを公開しているか、セキュリティポリシーなどを公開しているか、過去にインシデントが発生していないかなど、内容を確認することが必要です。
また、公開情報だけでは不十分な場合、質問票などを使って確認する方法が挙げられます。
企業に質問票を送付したり、インタビューを実施したりして、セキュリティ体制に関する詳細情報を収集して、具体的なセキュリティ対策の内容や運用状況について確認することが必要です。
セキュリティ対策には一定のコストがかかるものの、システムを提供する企業で発生するインシデントは、大規模な損害につながる可能性があることを認識する必要があります。
セキュリティ対策を事前に施す場合と、被害が発生してから対応する場合の費用差は、被害の種類や規模によって大きく異なりますが、一般的には事前対策の方が圧倒的に費用が低いと言われています。例えば、セキュリティ対策の導入にかかる費用は数十万円から数百万円程度であるのが一般的ですが、システム復旧や損害賠償にかかる費用は数百万円から数十億円とも言われています。2021年に発生した通信キャリアの大規模通信障害では、復旧費用や損害賠償など、通信キャリアは約350億円の損失を被ったということです。
今回のインシデントでも、固定資産除却損、システム障害対応費用などの特別損失を計上しています。また、通期連結業績予想及び年間配当予想を修正しており、経営責任を明確にするための役員報酬の減額等を決定しています。事前対策は、被害を防ぐだけでなく、被害発生時の対応費用を抑える効果も期待できますので、売上に対して一定のセキュリティ予算は確保することをお勧めします。
今日の10分セキュリティラジオにて毎週月・水・金にセキュリティの最新ニュースを取り上げ解説を行っています。隙間の時間の情報収集にぜひお役立てください!
お見積り・ご相談など、お気軽にご相談ください
サイトTOPへ