「サイバー攻撃」を受けた社長が語る「5つの教訓」

ウイルスソフトやバックアップでは不十分？
｢意思決定のスピード｣が復旧を左右する
危機を一緒に乗り越える｢専門家｣はどう選ぶ？
｢プランC｣の検討や取引先を対象とした勉強会も
サイバー被害を通じて得た｢5つの教訓｣

ウイルスソフトやバックアップでは不十分？, ｢意思決定のスピード｣が復旧を左右する, 危機を一緒に乗り越える｢専門家｣はどう選ぶ？, ｢プランC｣の検討や取引先を対象とした勉強会も, サイバー被害を通じて得た｢5つの教訓｣

2024年9月にランサムウェア被害に遭い、約50日間の事業停止に陥った関通。危機を乗り越えたトップが語る、サイバー攻撃の被害を通じて得た「教訓」とは？（写真：関通）

2025年はアスクルやアサヒグループホールディングスなど、大手企業のランサムウェア被害が相次いだ。サイバー攻撃はもはや「IT部門の事故」ではなく、サプライチェーン全体を巻き込む経営リスクとして顕在化している。

【写真】ランサム被害に遭った関通は現在、全社員を対象に週に1回、セキュリティ勉強会を実施。写真のような確認テストも行っている

経営者は今、どのようなセキュリティ対策に取り組めばよいのだろうか。実際にサイバー被害に遭い復活を遂げた経営者に、その経験から得た「教訓」について聞いた。

ウイルスソフトやバックアップでは不十分？

「最初は何が起きたのかわからず、3時間ほど右往左往するという感じで、時間が経つにつれて深刻さが増していきました。真っ暗闇に放り出されるような感覚でしたね」

こう振り返るのは、関通代表取締役社長の達城久裕氏だ。

EC・通販向け物流支援サービスや自社開発の倉庫管理システム（WMS）の提供を手がける同社は、24年9月にVPN機器の脆弱性を突かれ、ランサムウェア「Akira」の攻撃を受けた。サーバーが暗号化され、システムが停止して物流機能が麻痺。取引先からは問い合わせが殺到して大混乱に陥った。アナログでの棚卸作業も余儀なくされ、約50日間にわたり事業がストップ。最終的な損失額は約17億円に上った。

「セキュリティ対策は恒常的な経営課題。被害に遭うという前提で対策をしなければ、経営は守り切れない」と達城氏は言う。

サイバー被害への備えとして、ウイルスソフトの導入や、データのバックアップを実施している企業は多いだろう。しかし達城氏は、「私たちもそうした一般的な対策はしていましたが、それだけでは不十分。攻撃の影響を受けても早期復旧を実現する“プランB”、いわゆるBCP（事業継続計画）が必要です」と指摘する。

とくに重要なのは、バックアップの運用だという。

「形式的にバックアップを取っているだけでは、いざというときに機能しないことは多い。うちがまさにそうでした。自社で有事の際の『プランB』を作成して『インシデント対応マニュアル』も用意し、平時から訓練しておくことが重要です。サイバー攻撃を受けても、20分で業務が復旧できれば何ら問題ありません。『訓練』と『バックアップの復旧時間の短縮』こそが、攻撃の無力化を実現できる唯一無二の方法だと考えています」

そのため同社は被害後、確実な復旧を実現するための訓練を繰り返し実施している。実際にインシデント対応ができるような状態になるには、「10回以上の訓練が必要だろう」と達城氏は考える。

達城久裕（たつしろ・ひさひろ）／関通代表取締役社長。創業40年超、EC物流のパイオニアとして業界を牽引。「準備・実行・後始末」を座右の銘に、時代の変化を先取りする柔軟な経営でWMS開発やバックヤード運営など事業領域を拡大。2024年のサイバー攻撃という逆境に際しても、迅速な指揮で危機を克服。現在はその経験を糧に、自社のノウハウを業界全体へ還元する活動を実施（写真：関通）

｢意思決定のスピード｣が復旧を左右する

セキュリティ対策が不十分だったものの、この危機を乗り越えることができたのは、「意思決定のスピード」と「資金調達」にあると達城氏は言う。

有事には、連鎖的に判断が求められる。復旧方針の決定や顧客への説明、対外公表、法務対応――。トップの判断が遅れると、現場の手が止まり、被害の拡大と信頼の毀損が加速する。そのため達城氏は、一切「保留」はしなかったという。

「インシデントに対応しているとき、多い日は100項目以上の意思決定を行っていました。いろいろなことが同時多発的に起き、次々に判断を求められる中で『ちょっと待って』と言った瞬間、次の案件に追われて忘れてしまいますし、復旧にも影響しますので、どんどん決断を下していきました」

取引先に対しても、丁寧なコミュニケーションとともに、スピーディーな対応を重視した。コールセンターを設けて1社ごとに担当者を決めて各社の事情に応じた対策案を共有し、問い合わせにはその日のうちに一次回答。不明点は「社内確認して後日回答します」と伝えて放置しない方針を徹底した。その積み重ねが信頼維持につながり、物流受託サービスを契約する企業約150社のうち、解約はわずか2件にとどまったという。

とくに大きなカギとなったのは、既存システムを「捨てる」決断だ。大手セキュリティの専門家は「空き巣の侵入経路を調べずに、その家に住めますか」と調査の必要性を強調したが、達城氏は「住みません。全部建て直します」と答えたという。被害を受けたシステムの調査には数週間かかる可能性があったからだ。自社でシステム開発部門を持っていたこともあり、セキュリティを強化する形でゼロからシステムを再構築することにした。

この思い切った決断により、方向性が明確になったという。「この決断からスピード感も上がり、やるべきことが現場レベルまで一気に浸透しました」と達城氏は振り返る。

また達城氏は、インシデント発生直後、約1週間で金融機関から20億円の融資を確保した。資金がなければ必要な手が打てないからだ。最終的に損失は約17億円（顧客への賠償が約10億円、システムの刷新をはじめとするセキュリティ対策費用などの特別損失が約7億円）に達したが、事前に「20億円まではOK」と損失許容ラインを決めたことで、「必要な支出をためらわずに済んだ」と達城氏は話す。

「無借金経営が最高だと思っている人は多いと思います。でも、お金がなかったら会社は潰れます。潰れたら保険も受け取れない。絶対に潰してはいけないと思いました。それにランサムウェア対応は戦いですから、“軍資金”なしで勝とうなんて絶対に無理。緊急時にケチくさいことを言っていたら、動いてくれる社員なんかいませんよ」

被害発覚後、社内では「この会社は潰れるんじゃないか」という声が上がったが、すぐに達城氏はすべての現場を回り、「資金調達もして会社は危機と十分に戦える状態にある。どうか信じてほしい」と、直接伝えたという。

社員の労働環境も整えた。管理職を含め残業手当は支給し、役員にも一時金を支給。遅くなったときの帰りのタクシー代も全額負担し、ホテルを約1カ月間借り切って休憩・宿泊できる体制にした。全力で社員をサポートする環境を整えた結果、退職者は1人も出なかったという。「軍資金」があったからこそ、統率を図ることができたのだ。

危機を一緒に乗り越える｢専門家｣はどう選ぶ？

達城氏は、「プランB」や「インシデント対応マニュアルの作成」以外で、平時にできる対策としては、「専門家の選定」を挙げる。危機を一緒に乗り越えるパートナー選びも、復旧速度を大きく左右すると実感したからだ。

同社は、従来から接点のあったセキュリティ会社に加え、インシデント発生後に新たに探して依頼した企業も含め、計4社に相談した。

各社の対応を見てきた達城氏は、「残念ながら、今のセキュリティ専門家と言われる方は調査に重きを置く傾向が強く、復旧の専門家はなかなかいないのが現状」と指摘する。頼りにできたのは、一刻を争う状況の中、会社を立て直すためにスピード感を持ってセキュリティを強化しながら復旧作業を共に行ってくれる「伴走型」の専門家だったという。

インシデント発生後に慌てて探すと、判断を見誤る可能性がある。平時から信頼できる専門家を選定し、緊急時に何を依頼するかまで準備しておくことが大切だと達城氏は強調する。

また、「サイバー保険があるから大丈夫」という過信も危険だと達城氏は警鐘を鳴らす。関通は10億円を受け取れるサイバー保険に加入していたが、保険金の支払い合意に至るまで3カ月以上の交渉を要した。

「結果的には支払ってもらえましたが、保険会社の回答は『前例がないので本社に確認します』ばかりで、最も対応に苦慮しました。社長の私が自ら前面に立ち、顧問契約している複数の弁護士事務所と連携しながら粘り強く交渉を続けました」

何が補償対象で何が対象外か、契約内容を経営者自身がしっかり把握しておくことが重要だという。

｢プランC｣の検討や取引先を対象とした勉強会も

同社はインシデントを機に、最低月に1回、多いときには週に1回ほど役員会で自社のセキュリティレベルのあり方について議論を行っている。属人化していた体制を改めてセキュリティ対策の部門「情報システム管理部」も新設した。また、毎週1回、全従業員が参加必須の15分間のセキュリティ勉強会を実施し、勉強会後にはテストも行い理解度を確認している。フィッシングメールのテストもランダムに行っているという。