• 事務所概要
  • 企業の皆様へ
  • 個人の皆様
  • 弁護士費用
  • ご利用方法
  • 所属弁護士

弁護士コラム・論文・エッセイ

弁護士コラム・論文・エッセイ

イメージ
弁護士 重富 智雄

2024年11月13日

サイバー攻撃のリスク

(丸の内中央法律事務所報No.45, 2024.8.1)

              
 1.サイバー攻撃の脅威

   昨今、世界中でサイバー攻撃による被害が増加しております。
 日本でも、大企業はもちろん、中小企業や医療機関などもターゲットとされたサイバー攻撃が相次いでおり、事業活動に深刻な被害を与えております。
 国立研究開発法人情報通信研究機構(NICT)の調査によると、サイバー攻撃に使用された通信数(パケット)は増加傾向にあり、2015年と比較すると通信数は9.8倍となっており、さらに、2023年は過去最高の観測数を記録するなど、サイバー攻撃が活発化していることが分かります。

re_01.jpg

  引用:令和6年版情報通信白書(総務省)より
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a210.html

   

   主だった攻撃手段としては、IoT機器(Webカメラ、ルータ等)を狙った攻撃が多く観測されており、サイバー攻撃関連通信全体の約3割を占めております。
 これは、企業システムそのものについては十分なセキュリティ対策が施されていることが多いものの、企業システムと連携しているIoT機器(Webカメラ、ルーターなど)については、インターネットに接続されているにもかかわらず、パスワードが設定されていない、あるいは、初期設定のまま運用されていることが多いため、そういったセキュリティが十分ではないIoT機器が踏み台として狙われているためです。
 IoT機器が踏み台にされると、当該IoT機器からウイルスの感染が広がり、企業システムにも侵入される突破口となってしまいます。

   そして、実際にサイバー攻撃を受けてしまった場合、企業には以下のような深刻な被害を受けることになります。
◆機密情報を奪われる、機密情報を公開しないことに対して身代金を要求される。
◆システム内の情報が暗号化されて情報にアクセスできなくなる、暗号化を解除するための身代金を要求される。
◆顧客や取引先の信用を失う。
◆復旧や原因究明に膨大な費用が必要となる(警視庁の行った調査によると、令和5年度の被害のうち、復旧に1000万円以上を必要としたケースが30%以上あり、また、5000万円以上を必要としたケースも8%以上ある)。
◆完全に復旧するまでに多大な時間と費用がかかる。
◆一度感染したり、身代金を払うと再度狙われやすくなる。

    なお、トレンドマイクロ社が実施した調査によれば、日本では2021年度1年間で発生したセキュリティインシデントに起因した1組織あたりの年間平均被害額は約3億2850万円になると算出されております。

    参照:サーバーセキュリティに関する問題が引き起こす経済的損失(令和6年版情報通信白書(総務省))
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a220.html

 2.サイバーセキュリティ対策は重要な経営課題となっていること
(1)セキュリティ体制の構築義務について
 サイバー攻撃の対象は大企業に限らず、中小企業や小規模自治体、医療機関なども対象となってきていることから、企業規模にかかわらず、サイバー攻撃に備えるための対策をすることが、企業における重要な経営課題となっております。
こうした状況を踏まえ、取締役等としては、善管注意義務、忠実義務、または内部統制システム構築義務の一環として、サイバーセキュリティ体制の構築義務を負うとされております(会社法第330条、同法第355条、同法第362条4項6号等、会社法施行規則第98条1項2号、同規則第100条1項等)
 具体的にどの程度のセキュリティ体制を構築するかについては、当該会社ないし企業グループの事業内容や、規模、経営状態等を踏まえつつ、取締役がその裁量に基づいて判断すべき(ベネッセ事件:広島高裁令和元年10月18日付判決)とされていることから、自社の状況等を踏まえるなどしながら、適切なセキュリティ体制を構築する必要があります。
 セキュリティ体制の構築に関する指針等については、後述の「3.サイバーセキュリティ経営を実践するために」をご参照ください。
 

(2)有事の際の対応について
 実際にサイバー攻撃を受けてしまった場合は、関係機関や専門家との連携を密に行いつつ対応をする必要があります。
 具体的な技術的対応や、法律上の留意点については、以下の公表資料が参考になります。
 ◆サイバーセキュリティ関係法令Q&A ハンドブック Ver2.0
  https://security-portal.nisc.go.jp/guidance/pdf/law_handbook/law_handbook_2.pdf
 ◆侵入型ランサムウェア攻撃を受けたら読むFAQ
  https://www.jpcert.or.jp/magazine/security/ransom-faq.html

   また、身代金の支払要求については、次に掲げるような理由から、身代金の支払いをすべきではないと一般的にはされております。
 ①暗号化されたファイルが復元される保証や、窃取されたファイルが公開されないことの保証がないこと
 ②被害原因や侵害による他の被害は未解消のままであること
 ③支払いに応じてしまうと、更に別の攻撃や支払い要求を受ける恐れがあること
 ④国によっては、「身代金」の支払がテロ等の犯罪組織への資金提供であるとみなされ、金銭の支払いを行った企業に対して制裁が課される可能性もあること

   過去の調査では、16%の企業・組織が身代金の支払いに応じたことがあるとの結果も出ておりますが、身代金の支払いについては会社役員の会社に対する任務懈怠責任(会社法第423条)が株主から追及される可能性もある点に注意が必要です。
 総会屋に対して利益供与を行ったことが問題となったケース(最判平成18年4月10日民集60巻4号1273頁)では、「会社経営者としては、...(中略)...株主の地位を濫用した不要な要求がされた場合には、法令に従った適切な対応をすべき義務を有する」として、約300億円という巨額の金額を総会屋が経営する企業に対し交付することを提案・同意した役員の過失について、「やむをえなかったものとして過失を否定することは、できない」とされていることから、ランサムウェアによる「身代金」の支払い要求の場合についても、同様の考えがなされる可能性が高いものと考えられます。
 2020年に経済産業省サイバーセキュリティ課から提示された注意喚起(https://www.meti.go.jp/shingikai/mono_info_service/sangyo_cyber/wg_seido/wg_uchu_sangyo/pdf/001_07_00.pdf)でも、攻撃を助長しないためにも金銭の支払いは慎むべきものであると示されているほか、海外政府機関からも、身代金の支払いを推奨しないメッセージが示されていることに注意が必要です。

 3.サイバーセキュリティ経営を実践するために

   サイバーセキュリティ経営を実践するための具体的な取り組みについて、政府等は企業規模に応じて以下のようなガイドラインを設けていることから、こうしたガイドラインを参照しつつ、サイバーセキュリティ対策を講じることが必要です。

  ◆サイバーセキュリティ経営ガイドライン Ver3.0(経済産業省)

   https://www.meti.go.jp/policy/netsecurity/downloadfiles/guide_v3.0.pdf

  ◆中小企業の情報セキュリティ対策ガイドライン(独立行政法人情報処理推進機構)

   https://www.ipa.go.jp/security/guide/sme/about.html

  ◆小さな中小企業とNPO向け情報セキュリティハンドブック(内閣サイバーセキュリティセンター)

   https://security-portal.nisc.go.jp/guidance/blue_handbook.html

  ◆サイバー攻撃を受けた組織における対応事例集(内閣サイバーセキュリティセンター)

   https://www.nisc.go.jp/pdf/policy/inquiry/kokai_jireishu.pdf

ページトップ