サイバー攻撃が企業経営に及ぼす影響は幅広く、製造設備の停止のような直接的な影響に加え、機密情報の漏洩による競争力の低下や企業の信用失墜につながります。また、欧米では株価への影響もみられ、日本においても報道や企業対応により株価に波及することがあります(注1)。一方で、サイバー攻撃を受けながら、事前事後のサイバーセキュリティ対策により株価が上昇した企業もあります。
そこで今回は、サイバー攻撃が企業の命運を左右した事例について、実際の事例を紹介しながら解説します。
サイバー攻撃が企業の経営や競争力・株価にまで波及した事例は数多く、米大手ディスカウントストアのターゲット、海運大手A・P・モラー・マースク、製薬大手メルク・アンド・カンパニーなど枚挙にいとまがありません。今回はそのなかから、東芝の傘下、米原子力大手ウエスチングハウス(WH)とノルウェーのアルミニウム製造・エネルギー大手ノルスクハイドロの事例を紹介します。
■ 機密情報の漏洩による競争力の低下、経営破綻へ
東芝を経営危機に追い込んだ理由の一つは、傘下WHの経営破綻です。WHは中国政府から多数の原子力発電所の開発を受注し、うち4基の建設に着手していました。しかし、その裏で中国政府はWHに対してサイバー攻撃を行い、原子炉に関する機密情報を盗み出したと米国政府は主張しています。その後、中国政府は発電所に関する残りの契約を一方的に破棄します。WHはこの機密情報の漏洩や発電所建設計画の問題などが重なったために業績の悪化が加速し、2017年、経営破綻に追い込まれました。
■ 事前事後のサイバーセキュリティ対策で株価上昇
一方で、サイバー攻撃を受けた企業の株価が上昇した例もあります。その一つがノルスクハイドロです。同社の生産管理システムは19年3月18日にランサムウエアに感染し、システムでの操業ができなくなりました。
このサイバー攻撃による損害は、3.5億ノルウェークローネ(日本円で約45億円)に及びました。しかし同社の株価は図表のとおり、サイバー攻撃直後には約5%下落したものの、1カ月後には約6%上昇しました。これは同社のサイバーセキュリティ対策と事後対応を、社会や株主が好意的にとらえたためです。同社がサイバー攻撃の直後に手動操作に切り替えて操業を継続したことや、政府機関の協力のもとで迅速なインシデント対応を実施したこと、損害額の一部が加入していたサイバー保険(注2)により補塡される見込みであることなどが評価されたと考えられます。
■ 企業の命運を左右するサイバーセキュリティ対策
国家レベルのサイバー攻撃に巻き込まれてしまったWHの事例とランサムウエアによる被害を受けたノルスクハイドロの事例をそのまま比較することはできません。しかし事前事後のサイバーセキュリティ対策が、企業の命運を左右するのは間違いありません。
サイバーセキュリティの強化をはじめ、サイバー保険への加入やインシデント発生時の操業継続対策、インシデント体制の構築は、サイバー攻撃のリスクを最小限にとどめられるだけでなく、社会や株主へポジティブなメッセージを送ることにもつながります。
未来への投資として、積極的な対策を講じることをお勧めします。
(注1)田中秀幸・中野邦彦「サイバー・セキュリティ・インシデントが企業価値に与える影響」(2016)
(注2)サイバー保険=サイバー攻撃により企業に生じた第三者に対する「損害賠償責任」のほか、必要となる「費用」や自社の「喪失利益」を補償する保険。欧米で普及が加速している。