こんにちは、
株式会社Lean Stack代表の吹上由樹です。
【著者プロフィール】
吹上由樹(ふきあげ よしき)
株式会社Lean Stack 代表取締役
2021年4月 経済産業省へ入省
2023年7月 経済産業省を退職
2023年9月 株式会社Lean Stack設立
弊社HP:`https://www.leanstack-buzz.com/`
YouTubeチャンネル:DXできるくん
`https://youtube.com/channel/UC-f1ZI9MiME-GC0l1gwNf4w?si=WeyqGjBSvVXwSaDB`
はじめに
あなたの会社で、送り状が1枚も出せなくなったらどうしますか?
請求書が作れない。
在庫の場所が分からない。
取引先の連絡先すら見えない。
映画みたいに「ハッカー vs ハッカー」がキーボードを叩く世界ではありません。
現場が戦場になります。
ランサムウェア攻撃を受けた後、「ハッカーとの戦い」ではなく「業務を回す戦い」が始まるからです。
これは、まるで──火事が起きた後の消火活動。
まさに敗戦処理です。
1. なぜ「デジタルBCP」が必要なのか
DXが進むほど便利になる一方で、止まった時のダメージは大きくなります。
多くの会社は、地震や台風に備えたBCP(事業継続計画)は検討しています。
でも実は、デジタルへのBCPも同じくらい重要です。
なぜなら、今は「紙が燃える」より先に「データが使えない」が起きるからです。
ぶっちゃけ紙でデータを保管しておくメリットもあるといえば大いにあります。
まあ、話題のSDGsとかエコシステムとは程遠い形になりますが。
さらにさらに、復旧している間も、取引先は待ってくれません。
そして、もう1つ。
DXは、便利なものほど“集約”が進みます。
受注はこのシステム。
在庫はこの画面。
請求はこのソフト。
これが揃うと、現場は速くなります。
ただし裏返すと、1箇所やられるだけで、会社全体が傾く。
集約している場所が落ちるだけで、全部が暗くなります。
そして厄介なのが、サイバー攻撃は「気をつければ防げる事故」ではないことです。
攻撃側が圧倒的に有利で、防御側は“全部”を守り切らないといけない。
テストで言えば、毎回100点が必須。
99点を1回でも取ったら、そこが穴になります。
だから結論としては、侵入されない前提で組むのではなく、侵入される前提で備える。
この発想が、デジタルBCPの出発点です。
なんか悲しいですね、でもこれが現実。
受け入れるしかないんです。
もはや国がどうにか動かない事案だと思っています。
本当に世知辛いです。
想像してみてください。
取引先が数十社でも、現場は「最悪の文化祭」になります。
しかも最近は、AIの影響でフィッシングメールが自然になり、見分けづらくなっています。
たった1通のメールが、会社を狂わせてしまうわけです。
では、どうすればいいのか。
ポイントは「完璧に防ぐ」ではなく、止血して、復旧して、信頼を守ることです。
2. サイバー攻撃に備える具体的な活用法
ここでは、IT部門がなくても進めやすい“守りのDX”を6つ紹介します。
1. 「止まると死ぬ業務」を3つだけ決める
最初にやるのは、ツール選定ではありません。
業務の優先順位付けです。
所要時間は30分。
「止まると売上が止まる業務」を3つだけ、紙に書き出します。
例:受注、出荷(送り状)、請求。
この3つは、まるで──会社の血管です。
KPIは、3業務それぞれの代替手段(紙・Excel・外部サービス)を用意できたか。
2. 連絡と情報共有を「別回線」に分離する
攻撃直後は、社内の連絡が途切れます。
所要時間は60分。
「緊急連絡用のチャット」「役員・主要メンバーの電話リスト」「取引先への定型文」を、社内ネットワークと別に持ちます。
これは、まるで──避難場所の地図。
KPIは、1時間以内に全員へ連絡できる状態かです。
3. バックアップは「復元テスト」までがセット
バックアップは、取った瞬間に安心してはいけません。
戻せて初めて意味があります。
所要時間は初回90分。
「どこから」「どこまで」「何分で」戻すかを決めます。
RTO(復旧までの目標時間)とRPO(失ってよいデータの範囲)を、1行で書くだけでも十分です。
KPIは、月1回の復元テストを実施すること。
まずは小さなデータからでOKです。
4. 「例外」を放置しない
セキュリティは、穴が1つあれば崩れます。
所要時間は2時間。
古いPC、古いOS、古い共有フォルダ、例外運用を一覧にします。
「この取引先だけ古い仕組み」。
この例外が、まるで──鍵のかかっていない裏口になります。
KPIは、例外の数を毎月減らすこと。
ゼロに近づけるほど、守りは強くなります。
5. パスワードから「本人確認」へ
メールが乗っ取られると、被害が広がります。
だから最優先は、メールと管理者アカウントです。
所要時間は30〜60分。
MFA(多要素認証)を必須にして、共有IDをやめます。
これは、まるで──鍵を2本にすること。
1本盗まれても、扉は開きません。
KPIは、MFA適用率100%(まずはメールと経営層)です。
6. お金と契約の「非常口」を作る
緊急時に重要なのは、コスト削減ではなくスピードです。
復旧には、想像以上にお金が出ていきます。
「サイバー保険」「復旧支援会社の連絡先」「金融機関との与信枠」を、平時に整えます。
保険は大事です。
ただし、保険は「最後の砦」。
KPIは、“いざ”の時に24時間以内に支援へ着手できる状態かです。
ここまで本当に悲しい事実をつらつらと書いてきましたが、セキュリティをどれだけガチガチに固めてもすり抜けられる可能性は十分にあります。
たとえば、自社は問題なかったけど、委託先が感染して自社もウイルス感染してしまった…とかね。
そういう可能性も大いにあるし、実際に事例でも存在する話なので、会社単位の問題というよりは、もっと大掛かりな社会問題ではないかと個人的には警鐘を鳴らしたいですね。
AI導入/DX推進が必要な今の時代だからこそ、このセキュリティへの知見はぜひ身につけて行ってもらえたらと思います。
私も引き続き研鑽します。
それではまた次の記事で!
【著者プロフィール】
吹上由樹(ふきあげ よしき)
株式会社Lean Stack 代表取締役
2021年4月 経済産業省へ入省
2023年7月 経済産業省を退職
2023年9月 株式会社Lean Stack設立
弊社HP:`https://www.leanstack-buzz.com/`
YouTubeチャンネル:DXできるくん
`https://youtube.com/channel/UC-f1ZI9MiME-GC0l1gwNf4w?si=WeyqGjBSvVXwSaDB`
ご相談はこちらからどうぞ
↓
`https://lin.ee/I73KUiN`