数年前、あるリスクマネジメントの専門家と話していた際に、名言を聞いた。「世の中には2通りの企業しかありません。サーバーをハッキングされた企業と、それに気づいていない企業です」。私は笑うとともに、深刻さを認識した。
例えば、私たちは小規模な事業を営んでいるが、それでも毎日100件ほど海外から不正ログインがある。IPアドレスを分析してみると、ウクライナやロシアなどが多い。大企業であれば、異常なほどの数の不正アクセスに苦しんでいるに違いない。
ホンダは2020年6月8日に生じた社内ネットワーク障害が原因で、生産システムに支障が出たと発表した。北米やトルコ、インド、ブラジルなどの工場が生産停止に追い込まれ、社員間のメールでのやり取りも難しくなった。国内でも完成車検査システムに影響が出たもようだ。
この障害は、恐らく外部からの攻撃を受けたものだ。社内ネットワークにマルウエアが侵入し、そして打撃を受けた。もっとも、20年6月下旬である今は生産が再開しており、国内外の生産にどれほど影響があるかは今後を見守っていかなければならない。
不謹慎ながら、興味深いのは、今回の侵入を許すことになった原因として、テレワークが指摘されていることだ。企業は、社員の自宅などオフィス外での勤務を推進しているが、図らずもその脆弱性が明らかになってしまった。
新型コロナウイルスは、テレワークを加速させた。働き方改革や少子化、人材不足など様々な観点からテレワークの必要性が高まっており、政府もそれを推奨していた。今回は緊急対応としてやむを得ない側面があった。しかし、緊急であったが故に各社とも見切り発車せざるを得ず、セキュリティーについては万全の構えではなかったのだろう。
特に、今回のように生産までが停止した事例は、新たなリスクマネジメントの必要性を示唆している。つまり、新型コロナウイルスのような疫病のウイルスだけではなく、電子のウイルスにもサプライチェーンが影響を受けるということだ。
常に狙われるサプライチェーン部門
私は、テレワークによる情報漏洩は多いと感じている。私は年間100日ほどを出張に費やしている。その際、驚くほどの頻度で隣に座ったビジネスパーソンがPCで機密情報の作業をしている。カフェでも同様だ。「生産計画」「開発内容」「技術提案書」など、外部の私に見せてはいけないはずの資料を、ありがたくも“共有”してくれる。中には、提案先の企業名が大きく記載されたプレゼンテーション資料までを私に“見せて”くれる。受注できたらよいですね、と心の中で応援するものの、そういう話ではない。
特にサプライチェーン部門は、取引先や自社の生産計画・販売計画などの情報を扱う。大切な情報を扱うのはサプライチェーン部門だけではないものの、より注意が必要だろう。というのも、サプライチェーン部門は外部から頻繁に連絡がある。加えて、それまで全くコンタクトがなかった人たちからの連絡をよくもらう。その多くはメールでの売り込みや新製品の紹介である。さすがに無視するわけにはいかないし、放置するのも倫理的に問題がある。
私の経験からすると、頻度が高いのは次のようなものだ。
- 新しい設備や技術を開発したので、見てください(とURLやファイルが送られてくる)
- 会社情報を変更したので、登録を修正してください(とURLやファイルが送られてくる)
- 見積書や提案書をまとめたので、添付資料を見てください(とファイルが送られてくる)
さらにややこしいのが、冒頭に「坂口様」とでも書いてくれていれば良いものの、宛名を書かない文化の企業もある。「お世話になります」などの定型文章を書かないように推奨する企業もあるので、宛名や定型文章がないからといって直ちに疑うことはない。そして、添付資料を開いてしまうと……。惨事が起きる。
