物流とITオートメーション、セキュリティ事業を展開する関通ホールディングスは、2024年にランサムウェア攻撃を受け、17億円という巨額の被害を被った。そこから復旧した経験を生かし、当時同社の経理部長であった達城利元氏を中心に立ち上げたのが、サイバーセキュリティ専門企業であるCyber Governance Labだ。

5月14日~15日に開催された「TECH+フォーラム ODEX併催 セキュリティ 2026 May. 未来を守るセキュリティ戦略会議」に、Cyber Governance Lab 代表取締役社長を務める達城氏が登壇。復旧作業の中心にいた同氏が被害と復旧の実態、そして被害を防ぐために必要なことについて語った。

ランサムウェア攻撃で17億円の損失

関通がサイバー攻撃を受けたのは2024年9月12日の18時15分頃。従業員から打刻ができないという報告が相次ぎ、同社のWMSを利用する顧客からもシステムにアクセスできないという問い合わせが入った。システム開発担当役員がデータセンターのサーバにアクセスしたが中身は空で、ランサムノート(脅迫や身代金要求などの攻撃者からのメッセージ)だけが置かれていたため、ランサムウェア攻撃を受けたことが判明した。

「ログをたどってみると7月と8月にすでに侵入された形跡があり、その段階でどのようなデータがあるのかといったことを探られていたのではないかと思います」(達城氏)

当時のシステム環境は、物理サーバがバックアップを含め6台、仮想サーバは常時200台を稼働し、データセンターで集中管理を行っていた。20ほどある拠点は全てVPNで接続。ウイルス対策ソフトは導入済みで、毎年のIT統制監査のチェックも受けるなど、一定の対策は講じていたという。

「何も対策をしていなかったわけではありません。しかしVPNを突破されてしまうと、あとはもう内部でやりたい放題、という状態になっていたのです」(達城氏)

このランサムウェア攻撃の被害として同社が計上した損失額はおよそ17億円だ。これは当時のグループの年商150億円の1割以上にもなる金額だ。内訳は、顧客への賠償が約10億円、サーバなどシステムを全て新規に構築し直したことによる固定資産の除却損失が約3億円、そして復旧費用を含めたその他が約4億円だ。

事業が停止したことによる機会損失も大きかった。約50日でシステムの復旧はできたが、営業メンバーはその後も既存顧客のフォローに追われ、9月~12月までは新規の営業ができなかった。契約は先延ばしになり、予定していた売上もなくなるなど、会社の予算は完全に崩れることになった。

有事には資金調達を最優先

ランサムウェア攻撃が狙うのは、事業を停止させることだ。事業が停止すると財務インパクトが発生し、個人情報保護等の法的リスクもある。さらに復旧作業で社員は疲弊し、情報公開も必要になり、企業の信頼が下落することもある。「こうした5つのことが企業にとって致命傷になり得る」と達城氏は話した。

  • サイバー攻撃が企業に与える5つの致命傷

    サイバー攻撃が企業に与える5つの致命傷

ただ、事業の停止は直ちに倒産につながるわけではない。倒産するのは資金が枯渇したときだ。関通が攻撃を受けたとき、グループ全体での現預金は18億円あり、シミュレーションの結果持ちこたえられるのは3か月だと分かった。そこで達城氏はデッドラインを12月と設定し、社長(現:会長)に報告するとともに、それを念頭に置いて復旧や営業の再開、賠償などにあたるよう指示したそうだ。

現預金で耐え抜くだけでなく、新たなキャッシュフローをつくり資金を集める必要もある。システムが停止し、WMSが使えなくなった状態では顧客に対する請求額は算出できない。そこで、残っているデータを引っ張り出し、過去の明細データなどから計算ロジックを組み立て、顧客に納得してもらえるまで何度も計算をし直したという。

「新卒2年目の女子社員が、ご理解いただけないお客さまに電話で怒鳴られ、涙をこらえながら報告に来て、その後トイレにこもって泣いていたのも知っています。(ランサムウェア攻撃に遭うというのは)そのくらい従業員に負担をかけ、心理的ストレスも与えることなのです」(達城氏)

資金調達にも奔走した。取引のあった16の銀行に掛け合い、20億円の融資と当座貸し越しによる10億円、合計で30億円を集めた。結果的に融資された20億円は使い切っていたため、「もし現預金の18億円しかなければ2億円不足して倒産していただろう」と同氏は振り返った。

「会社にとってお金は大事です。経営者、経営幹部の方には、何か有事が起きたらまずは資金調達だということを覚えておいていただきたいのです」(達城氏)

全サーバを捨ててゼロから再構築

システムを復旧するにあたっては、全システムの完全入れ替えを決断した。当初は外部のセキュリティ専門会社からフォレンジック調査を勧められたが、コストの高さに加え、結果が出るまで1か月を要することが分かり、そこまで待てないと判断したためだ。全サーバ、全PC、全ネットワーク機器を入れ替え、サーバはクラウドに移行することにした。新システムはVPNを使わずゼロトラストを基本とし、エンドポイントにEDR(Endpoint Detection and Response。エンドポイント検知・対応)、ネットワークにおいてはUTM(Unified Threat Management、統合脅威管理)やWAF(Web Application Firewall)を、ID管理ではID基盤(IDaaS)を導入。CSIRTを構築し、外部専門家による24時間の監視を実施するなど、組織としての体制も強化した。さらに自社の情報が漏えいしていないかどうか、ダークウェブの常時監視も行っている。

復旧作業に当たる従業員のケアも重視し、そこにはコストをかけた。管理監督者へ残業代を支払うこと、個人負担の経費を全額精算することを決めたほか、昼夜を問わず作業し帰宅できないエンジニアなどのためにホテルを貸し切り、社員食堂は無料開放した。また、会社の存続が危ういのではないかという噂が広まることで退職者が出ることを防ぐため、社長自らが各所を回って給与の支払いを確約した。結果として、このサイバー攻撃による退職者は一人もいなかったという。

経営者に求められる「資金・誠実さ・決断」

達城氏は、経営者に必要な覚悟として、資金、誠実さ、決断の3つを挙げた。もっとも重要な資金については、現預金を把握しておくとともに、有事にすぐに資金調達をできるよう銀行との関係を構築しておくことが重要である。

「無借金経営は怖いと思います。借金をしておき、いつでも借りられる関係をつくっておくことは絶対に必要です」(達城氏)

誠実さとは、外部ステークホルダーに向けてありのまま、誠実に情報を公開することを指す。そして次々に起こる問題に対してスピードをもって決断する覚悟も求められる。

「ダメなのは保留にすること。“明日考えよう”は絶対にやめていただきたいのです」(達城氏)

「防ぐ」だけではなく「早く復旧する」時代へ

サイバー攻撃は以前とは異なるフェーズに来ていると言える。主な目的は企業の事業を停止させることになっており、ランサムウェアをシステムとして販売するRaaSがあるように、サイバー攻撃自体がビジネス化している。VPNを突破するための正規のIDやパスワードはダークウェブで売られており、今やAIでシステムの脆弱性を24時間探るのは当たり前になった。こうした状況の中では、サイバー攻撃を100%防ぐことはできないと考えるべきなのだ。

そこで重要になるのが、攻撃を受けたときにどれくらい早く復旧できるようにするかを考えることだ。関通では攻撃を受けた9月12日を記念日として、サーバをダウンさせた状態からどれだけ早く復旧できるかを試すサイバー訓練を実施しており、26分という短時間での復旧も成功させている。

「これだけ早く復旧できれば、お客さまには一言のお詫びで済むレベルだと思いますし、17億円も被害が出ることはありません」(達城氏)

Cyber Governance Labでは、復旧までをカバーする対策を構築するための実践的なプログラムを、レジリエンス・アズ・ア・サービス(RaaS)として提供している。この事業は“失敗を価値に変える”という考えの下でスタートしたものだ。組織のリスクレベルを可視化できる診断サービスもあり、「まずは実態を確認してほしい」と達城氏は話した。

「17億円の損失はありましたが、その危機が今の進化につながり、より強いシステム、より結束したチームワークを得ることができました。サイバーセキュリティはコストではなく必要な投資だと考え、企業競争力を上げる活動として取り組んでください」(達城氏)