世界中でサイバー攻撃は増加の一途をたどっており、日本国内でもランサムウェア攻撃などの巧妙なサイバー攻撃による被害の実例が繰り返し報道されている。一方で、被害に遭った企業がそのときどのように行動したのか、混乱の最中にどんな決断を下したのか、詳細が語られることは少ない。

2024年9月にランサムウェア感染によりデータ喪失被害を被った関通の代表取締役社長の達城久裕氏は数少ない存在であり、2025年6月に『サイバー攻撃 その瞬間 社長の決定 被害企業のリアルストーリー』という著書を上梓し、同社のサイバー攻撃への対応の詳細を明かしている。

そこで今回は、ネットワークとセキュリティの分野における世界的なリーダー企業の1社であるFortinetの日本法人であるフォーティネットジャパンの社長執行役員の与沢和紀氏が達城社長に「そのときに経営者として何を考えたのか」を聞いた。

  • 左から、フォーティネットジャパン 社長執行役員 与沢和紀氏、関通 代表取締役社長 達城久裕氏

    左から、フォーティネットジャパン 社長執行役員 与沢和紀氏、関通 代表取締役社長 達城久裕氏

サイバー攻撃を受けたとき、まず何を考えるべきか

与沢氏: まずは、改めて当時の状況からお聞かせください

達城氏: はい。電話が鳴り「ランサムウェアにサーバをブロックされました」と聞かされたのが、2024年9月12日の18時15分ごろのことです。正直、何言うてるかわからんし、これから何が起こんのかもわからんかった。

この日は木曜日で、翌週の月曜日は祝日だったので土日月と3連休やったんですね。そこで『この連休の間、対策打てばなんとかなるやろう』と思っていたら、この連休の間『あれもできへん』『これもできへん』『これもせなあかん』『あれもせなあかん』みたいな感じになり、連休明けには『やっぱりこれはもう倒産か』っていう気持ちが背中にのしかかってきていました。自分がこの先どう対応するのかによってこの会社が終わってしまうかもわからん、っていう思いもありましたね。

  • 関通 代表取締役社長 達城久裕氏

与沢氏: サイバー攻撃を経験された経営者の方に伺うと、やはり皆さん『頭が真っ白になる』っておっしゃいます。私自身も前職でSOCの運用責任者などを経験しましたが、その際にも金曜の晩の攻撃は多かったですね。土日、皆さんが働かない間に、攻撃者は侵入して機密データを盗み出したり、ランサムウェアで暗号化したりしてしまう。

経営者の皆さんから、「ビジネスについて考えなければいけない中でITシステムはホンの一部であるものの、それが影響を受けるとこんなにも大変なのか、自分の会社がこんなにもITに依存しており、それで動いているということを実感する」というお話もありました。

今は攻撃者が優位に立っていることも多いので、防御側が攻撃を100%防ぐのは非常に難しいところがあります。そうした中、攻撃を経験されたときに一番重要だったことは何だと思われますか?

  • フォーティネットジャパン 社長執行役員 与沢和紀氏

達城氏: やはり資金調達だと思いますね。戦うにもお金がいります。『必要やから借りる』ではなく、攻撃に遭った瞬間、まず資金調達が必要です。従業員がしっかり戦えるようにさまざまな支援をしましたので、そのためにも資金調達が重要でした。当時、感覚として『20億ありゃ足りるやろう』と思ったので20億円調達しました。

実は、風評被害っていうのは社内から起きるんですよ。現場から『もうこの会社つぶれる』といった声が出てきて、社外に伝わってしまうんです。これを止めるためにも戦う必要がありますので、状況を社員にわかりやすく伝えて、『20億円準備したから、1年仕事がなくても皆さんの給料を払えますよ』といった感じで伝えたら風評被害もピタッと止まりましたね。これを放置すると、SNSなどで拡散されてエラいことになるんかなと、勉強になりました。

お金の準備という部分を第一にわかりやすく社員に伝えたこと。その事実はお客様にも伝わっていきますので、それで『関通、しばらくは大丈夫やな』という雰囲気が醸成されました。

与沢氏: 対応にあたった社員の皆さんにもさまざまなフォローをされたとお聞きしましたが。

達城氏: 僕の気持ちの中で『逃げられても仕方がない』『辞められても仕方がない』という気持ちはもちろんありました。世間から見たら、われわれは被害者なんですけど、関西弁で言うところの『何やっとんねん』みたいな感じの会社に見られている面もあって、対応いかんによっては加害者の立場に変わってしまうこともあると思っていました。

与沢氏: 資金調達の重要性に関しては、経営者の立場だからこそ気がつくところだと思いますね。また、その時にまず社員の皆さんが頭に浮かぶところもやはり真の経営者だなと感じました。

サイバーセキュリティに平時からどのくらいコストをかけるべきかは、以前からよく聞かれるのですが、今は必要不可欠な対策と考える企業様が増えてきたようです。IT予算は企業の様態や事業で変わりますが、平均で大体3~5%、そのうち12~15%をサイバーセキュリティにかけるといわれていますので、企業の支出全体から見ると1%にも満たないのが平均といえます。これほどのコストをかけて対策しても、攻撃者は世界中に分散しており、日本の休日や深夜の時間帯を狙って専門知識を持った攻撃者が仕掛けてきますので、セキュリティ対応を自社だけで完璧にこなすのはかなり大変なことだと思います。

達城氏: 被害を経験した立場としては、セキュリティ対策にかかる金額は、経費ではなく会社の血液みたいな形で考えています。防御対策もそうですし、攻撃の無力化においてもお金をかけています。

与沢氏: そうしたご経験をご著書などを通じて他の経営者にお伝えになっているところも素晴らしいと思っております。

達城氏: やはりまだまだ他人事だと思われている企業が多いようで、どうやって大変な部分をお伝えすべきかと苦労しています。われわれ自身も9月12日を忘れないために、9月12日には仮想攻撃を仕掛けて復旧までの時間を測定すると言った取り組みも行っています。

  • 関通 代表取締役社長 達城久裕氏

復旧に向けての心構えとは

与沢氏: 著書で、御社のお客様が離れていかなかったと紹介されていますが、すごいことですね。

達城氏: 当時、お客様にお伝えするにあたり「一斉通達」という形はとりませんでした。お客様ごとに対策があり、お客様ごとに報告すべき内容が変わってくると思ったので、コールセンターに30名ぐらいを配置し、1社1社に担当を決めて連絡をしていくという方法にしました。最終的に、物流のお客様2社が離れた形になりますが、それも『自分のとこでやるわ』と言って持ち帰られました。

与沢氏: きめ細かな対応といっても実際に行うのは難しいもので、できれば逃げたい気持ちになってしまうでしょう。にもかかわらず、全社一斉ではなくお客様ごとに違うメッセージをお伝えしたっていうのは非常に素晴らしいと思います。やっぱり怖いんですよね。責められて離れていくんじゃないかという気持ちになってしまいますし。それでもお客様、パートナーさんに合わせて個別に対応した、なかなかできることではありません。

こうした場面で経営者の考え方が如実に表れるのだと思います。関通さんは達城社長が自ら立ち上げられた、自分の子供のような会社ですから。ちょっと言い方が悪いかもしれませんが、社内で順番に上がってきて就任した社長さんでしたら『なぜ、俺が社長のときに起きたんだ』なんて思いが湧いてきて逃げ腰になり、技術陣に丸投げにしてしまうような例も見かけます。

御社はやはり『自分の会社』『自分のお客様』という姿勢が見事に著書からにじみ出ていますね。さらに、本当なら『隠したい』『忘れたい』と思うようなこともしっかりお書きになっていて、それも勇気のいることだと思います。

達城氏: おっしゃるとおり、僕がオーナーで創業した関通という会社を上場させていただいてそろそろ引退かなと思っていたらガツンとやられて。『こんなんやられたらあかんわ』と思って、緊急対策室を50日やりました。大きな会社もサイバー攻撃を受けていますが、私はやはり社長が緊急対策本部のトップにならないとうまくいかないのではないかと思います。いろいろな決断をする必要がありましたが、すぐに動くことが重要だと思いましたので、最期は『自分が決断して、それでつぶれたとしてもしゃーない』と覚悟を決めていたところもあります。

  • フォーティネットジャパン 社長執行役員 与沢和紀氏

サイバー攻撃を前提とした対策を

達城氏: 現在はサイバー攻撃は『受けるもの』として、受けた後の行動の仕方を考えるようになりました。バックアップは取っていましたが、いざとなると使えなかったという経験をしましたので、復旧までの時間をKPIとして把握しておくことをお薦めします。われわれ自身は、1年後の2025年9月12日に復旧訓練を行い、24分で復旧することができました。

われわれは物流業なので、さらに別プランとして、もう1つオンプレサーバを置く、センターごとにオンプレサーバを置いて稼働させていくというプランもありではとも考えています。

通信障害もたまに起きるじゃないですか。例えば、2時間通信が止まるとざっと1日でおよそ1万個の荷物が出荷できなくなります。そういうことも考えると、災害対策としても、実はWebから外すことも考えていかないとあかんな、と。物流業としては、止まらない環境をお客様に提供するのが一番の責務だと考えています。問題が発生しても、何事もなかったように現場が仕事ができることが最も重要ではないかと思っています。

与沢氏: バックアップも分散し、かつネットワークからアクセスできない場所に保管しておかないと、ランサムウェア被害に遭う可能性があります。そこまで考えて備えないとバックアップは意味をなしません。

現在、オールクラウドというメッセージが目立ちますが、われわれもオールクラウドのリスクを踏まえて、お客様によってはオンプレミスで最低限のことができるように備えておくことを提案することもあります。通信に加えて、クラウド事業者に障害が起きることもあり得ますし、100点満点の解はないかもしれないと考えた上で次善の策を考えておくことは必要だと思いますし、そこに目を向けた提言をされておられるのが素晴らしいですね。

達城氏: 実効性のあるバックパックがしっかり取れていれば、何とかなるかと思います。それが一番ですが、それでもまだ何か起こる可能性はあると考えていますし、怖がっていますね。正しく怖がることも重要なのではないかと思っています。

  • 対談中のお写真

[PR]提供:フォーティネットジャパン