2022年2月下旬、トヨタ自動車の工場が操業停止したことが大きなニュースになりました。原因はサイバー攻撃であったことが判明すると、「日本の企業は情報セキュリティ対策が甘い」という声がSNSで当たり前のことのように発信されていました。
まあいつものことですが、本当に日本の企業は外国の企業と比べて情報セキュリティが弱いから被害にあっているのでしょうか。日本の企業のほとんどは中小零細企業であり、その多くの企業で「情報セキュリティってうちには盗まれて困るような情報ないから」とか「そんな予算ない」とかで、まったく情報セキュリティなんてものは考えていないことは事実です。
大企業はどうか?と言われると、そんなのは企業によるので分からないということになりますが、日本の大企業が諸外国の企業より著しく劣っているとは一概には言えないと思います。
じゃあなんでトヨタが被害にあったのか?と言われれば、攻撃側が有利なので、完全に防ぐことはできないからということになります。
日本で報道されないだけで、アメリカの大企業もよく被害にあっています。そんなに大きな被害は出てないでしょ?という方にはコロニアル・パイプラインの事件を知らんのか?と言いたいです。
https://www.cloudgate.jp/security-news/colonial-pipeline-ransomware-attack-cause-and-why-it-paid-ransom.html
結局は、情報セキュリティの場合は、大規模に攻撃されたら一定の被害は出る、そこまでは仕方ない。それに対して素早く対応して、業務を復旧できる体制をとっているかどうかが問題になるのだと思います。日本の企業はそこに力を注いでいないとしたら、広義には情報セキュリティ対策が甘いということになりますが、もう一歩踏み込んで考えるとBCPの概念がない企業が多いということにつながります。国の政策でもこのあたりを充実させていきたいことがうかがえますが、実際にはまだまだ考えが普及していないですね。