情シス担当がいない会社で起きた3つのインシデント事例
「うちにはIT担当がいないけど、これまで何も起きていないから大丈夫」
この言葉を、何度も聞いてきました。確かに、何も起きていない間は問題ないように見えます。しかし、ITの世界では「何も起きていない」のではなく「まだ起きていないだけ」というのが実情です。
本記事では、IT専任者がいない会社で実際に発生したインシデントを3件紹介します。いずれも、基本的なIT管理体制があれば防げたものばかりです。
事例1:ランサムウェア感染で業務が2週間停止
何が起きたか
従業員30名ほどの製造業の会社で、ある朝出社すると、ファイルサーバーのデータがすべて暗号化されていました。画面には英語で「ファイルを復元したければビットコインで支払え」というメッセージが表示されています。ランサムウェアへの感染です。
社内にIT担当者はおらず、総務部長がPCに詳しいという理由で兼任していました。しかし、ランサムウェアの対処方法は分からず、取引先のIT業者に連絡。業者が調査に来るまでに2日かかり、その間、全社員がPCを使えない状態が続きました。
被害の規模
バックアップは外付けHDDに取っていましたが、そのHDDもファイルサーバーに接続されたままだったため、一緒に暗号化されていました。結局、データの復旧は不可能と判断され、過去3年分の設計データや顧客情報を失いました。業務の完全復旧までに2週間、データの再作成を含めると数ヶ月の影響が続きました。
なぜ起きたのか
直接の原因は、社員がフィッシングメールの添付ファイルを開いたことでした。しかし根本的な原因は複数あります。ウイルス対策ソフトの定義ファイルが半年以上更新されていなかったこと、Windows Updateが適用されていないPCが複数台あったこと、バックアップがオフラインで保管されていなかったことです。
どうすれば防げたか
ウイルス対策ソフトの定期更新とWindows Updateの自動適用、これだけで感染リスクは大幅に下がります。加えて、バックアップをクラウド(OneDriveやAzure Backup)に取っていれば、たとえ感染してもデータの復元は可能でした。いずれも月額数千円程度のコストで実現できる対策です。
事例2:退職者アカウントから顧客データが流出
何が起きたか
従業員50名ほどのサービス業の会社で、退職した元営業社員が、退職後も自分のアカウントでクラウドCRMにアクセスし続けていたことが発覚しました。発覚のきっかけは、競合他社が自社の顧客に対してピンポイントで営業をかけてきたことで、不審に思った営業部長が調査を依頼したことでした。
被害の規模
元社員は退職後3ヶ月にわたって顧客リスト(約2,000社分の企業名・担当者名・連絡先・商談履歴)をダウンロードしていました。個人情報の漏えいとして顧客への通知と謝罪が必要になり、取引先との信頼関係にも影響が出ました。
なぜ起きたのか
退職時のアカウント削除フローが存在しなかったためです。退職手続きは総務が行い、PCの回収は行われましたが、クラウドサービスのアカウント削除は誰の担当にも割り当てられていませんでした。CRMサービスのアカウントは退職から3ヶ月間、有効なままでした。
どうすれば防げたか
退職日当日にすべてのクラウドサービスのアカウントを無効化するチェックリストを作成し、総務と情シスの共同作業として運用するだけで防げた事例です。Microsoft Entra IDのようなIdP(IDプロバイダー)を導入していれば、1つのアカウントを無効化するだけで、連携しているすべてのSaaSへのアクセスを一括で遮断できます。
事例3:ドメイン失効でメールもWebサイトも停止
何が起きたか
従業員20名ほどのコンサルティング会社で、ある月曜の朝、会社のメールが一切送受信できなくなりました。Webサイトも表示されません。調査の結果、会社のドメイン(example.co.jp)が期限切れで失効していたことが判明しました。
被害の規模
ドメインの復旧に5営業日かかりました。その間、メールの送受信が完全に停止し、Webサイトも表示されない状態が続きました。顧客からの問い合わせメールは送信者にエラーで返されるため、「この会社は倒産したのか?」と取引先に心配される事態になりました。
なぜ起きたのか
ドメインを10年前に登録した際、当時の担当者の個人メールアドレスで契約していました。その担当者はすでに退職しており、更新通知メールは誰も読んでいない状態でした。ドメイン管理サービスの自動更新も設定されておらず、期限切れとともにドメインが失効しました。
どうすれば防げたか
ドメインの管理情報(ログインID、パスワード、登録メールアドレス)を会社として管理し、連絡先を会社の代表メールに変更しておくだけで防げました。また、自動更新を有効にし、念のためドメインの有効期限をカレンダーに登録しておけば、二重の安全策になります。
3つの事例に共通する教訓
3つの事例に共通しているのは、いずれも高度な技術的対策が必要だったわけではないという点です。ウイルス対策ソフトの更新、退職時のアカウント削除、ドメインの管理情報の引き継ぎ。どれもIT専門家でなくても実施できる基本的な管理業務です。
しかし、IT専任者がいない会社では、これらの基本的な管理業務が「誰の責任でもない」状態になりがちです。総務が兼任している場合でも、ITの管理業務は後回しにされやすく、問題が顕在化するまで放置されてしまいます。
IT管理の「空白」を埋めるには
自社でIT専任者を採用するのが難しい場合は、外部の専門家にIT管理を委託するのが現実的な選択肢です。月額数万円の投資で、この記事で紹介したようなインシデントを未然に防ぐことができます。
情シス365のStart365(情シス立ち上げ・IT基盤整備)では、IT管理体制がゼロの状態から、基本的なセキュリティ対策、アカウント管理フロー、資産管理台帳の整備までをワンストップで支援しています。「まず何をすればいいか分からない」という段階からでもご相談いただけますので、お問い合わせからお気軽にどうぞ。