「おたくのサービス利用者の個人情報リストを窃取した。これをダークウェブ(闇の取引市場)に流出させられたくなければ、10日以内に身代金を支払え」――。

サイバー攻撃者からのそんな連絡は、ある日突然やってくる。サイバーセキュリティにおける「インシデント」(事業継続に影響を与えかねない事件)は、今やどんな企業・組織にも起こりうる。コンピューターやネットワークと無縁の組織はもはや存在しないためだ。

加えてここ数年、マーケティングやサービス開発のために顧客情報を収集しビッグデータを構築する企業が増えている。泥棒たる攻撃者の側からすれば、「どの家に入っても、それなりの身代金が取れる“お宝”がある」という状態なのだ。

インシデント対応を誤れば、その企業への社会的信頼は失墜しかねない。だが現状、サイバー攻撃を想定した準備や訓練等を行っている日本企業はごくわずか。攻撃を受けてから慌てふためくケースがほとんどだ。

外部からの攻撃がわかったときの対応は社長以下の経営陣、法務・人事・広報などの管理部門、サービスの開発・運用を行う事業部門、さらに外部専門家までを巻き込む”総力戦”となる。

もしインシデントが発生すれば、企業はどんな苦難にさらされるのか。順を追ってみていこう。

隠蔽が招くさらなる地獄