Zenn
📚

読書メモ:サイバー攻撃事案から読み解く企業のセキュリティ課題

に公開
Security
読書ログ
サイバー攻撃その瞬間社長の決定
idea

読んだ本

  • サイバー攻撃 その瞬間 社長の決定 (書籍) 単行本(ソフトカバー)
  • 2025/6/20
  • 達城久裕 (著)
  • URL:https://amzn.asia/d/3dgi87O

ある日突然、あなたの会社が止まる──その時、本当に動けるリーダーは誰か。
サイバー攻撃の現実と、企業を守る決断のすべてがここにある。
2024年秋、物流大手・関通を襲ったランサムウェアによる大規模サイバー攻撃。
通信は遮断され、出荷業務は全面停止。個人情報保護が脅かされ、システムは停止、データは消え、社内外に混乱が広がった。
その瞬間、経営者として、何を優先し、誰に何を伝えるか?
「判断が1時間遅れていれば、会社の未来はなかったかもしれない」──著者・達城久裕はそう振り返る。
本書は、創業社長である著者が、自ら被害企業の当事者として体験したサイバーインシデントの全容を時系列で記録した、かつてないリアルドキュメントです。(Amazonより引用)

この本は、サイバー攻撃を受けた際の企業の対応が、時系列で「事象」「対応」「筆者の思い」に沿って描かれているため、当時の状況を追体験するように読むことができました。

本書から見えてくる根本課題:セキュリティ管理の形骸化

会社ウェブサイトの「ヒストリー|沿革」を確認したところ、本書で触れられているサイバー攻撃が発生する前から、プライバシーマーク(2007年4月取得)ISMS(ISO27001、2014年4月認証取得) を取得していることが分かりました。

著書の中では「経営課題であると認識していなかった」旨がありますが、、これらの認証を維持・運用していく過程で、経営層を含めたマネジメントレビューが実施されているはずです。この事実を踏まえると、単にルールが定められていなかったというよりも、むしろ既存のセキュリティ関連規定や管理体制が形骸化していたことが根本的な問題ではないかと強く感じました。

この「形骸化」の原因を深く読み解くことで、現場の担当者が何を意識すべきか、より具体的な示唆が得られるかもしれません。

考察

本書では社長の決断を中心に描かれていますが、情報システムやセキュリティを主管する責任者の動きはあまり詳しく触れられていません。そこで、以下の仮説を立てて深掘りしました。

社内の情報システム管理体制が脆弱だったのではないか(情報システム担当者の不在と優先度の低さ)

IR BANKの情報を参照すると、本書に登場する常務取締役の古川氏は、東京物流事業本部と情報システム本部の担当を兼任しており、物流事業本部長としての経験が長いことが伺えます。このことから、「情報システム」の管理・統制がこれまでの主要業務ではなかった可能性があります。

情報システム本部内に「システム導入部 部長」という役職はありますが、「導入」がメイン業務と推測され、既存システムの管理・統制は二次的な役割だったかもしれません。また、管理本部や経営企画本部にも情報システム管理の機能があった可能性はありますが、あくまで兼任であったため、専門的な責任者が不在で優先度が低かった可能性があります。

結果として、ISMSやPマークの運用が形骸化してしまったのではないでしょうか。

緊急時におけるリソース不足と権限集中が問題だったのではないか(常務取締役の多忙)

情報システム本部の担当であった常務取締役は、サイバー攻撃発生時には会社の売上と成長に直結する物流事業の復旧や顧客対応の陣頭指揮を執っていたと推測されます。

事業運営の中核である物流と、それを支える情報システムという間接部門を同じ人物が兼任することは、緊急時にリソースが不足するだけでなく、実行と管理の権限が集中しすぎるという悪循環を生む可能性があります。これは、組織体制として再考の余地があると言えるでしょう。

外部ベンダーコントロールが不十分だったのではないか(専任の責任者不在が招いた弊害)

情報システム本部担当の常務取締役が物流事業の対応で手一杯だったため、必然的に保険会社や外部ベンダーのコントロールに割けるリソースが限られていたと考えられます。

この結果、社長がフラストレーションを抱えたり、保険会社やベンダーの対応が遅れたり、うまく機能しなかったりといった事態につながったのではないでしょうか。情報システムやセキュリティを主管する部長・本部長クラスの専任担当者がいれば、もう少し適切にコントロールできた可能性があります。

まとめ:サイバー攻撃から得られる教訓

本書の後半で社長の視点から語られている教訓や具体的な取り組みの多くは、本来ISMSやPマークの取得・維持の過程で検討、確認、確立しておくべき内容が多く含まれています。そのことからも、ISMS/Pマークの形骸化が、今回のサイバー攻撃事案における根本的な問題であったのではないかと推測しています。

この本は、社長の視点からサイバー攻撃を受けた際に会社がどうなるのか、社長にどのような対応や判断が求められるのかを学ぶことができます。また、いちセキュリティ担当者の視点からは、「経営者から見たセキュリティへの意識」 を知る上で非常に有益です。資金調達の観点や、社員の体調・士気を下げないコミュニケーションなど、普段の業務では意識する機会が少ない部分にも触れられており、多角的な学びがありました。

最後に:スレッドをオープンしてます

本書に関するスレッドをオープンしてます。みなさんからのコメントもお待ちしてます!
https://zenn.dev/omugi/scraps/e1e674c27a0370

Discussion