三井物産が警鐘を鳴らす日本企業のサイバー対策

不正プログラムでパソコンなどのデータを暗号化して使えなくしたり、情報を流出させると脅して身代金を要求したりするランサムウェアの被害は増加する一方だ。

大手出版社のKADOKAWAがハッカー集団の攻撃にさらされた事件では、11億円もの「身代金」が要求されていたことが報じられるなど、いまだに余波が続く。KADOKAWAは「ニコニコ動画」クリエイターへの補償などを含め、2025年3月期に36億円に上る特別損失を計上すると発表した。

コロナ禍を経て在宅勤務が増えたことで、外部ネットワークから社内システムに接続するためのVPN（仮想私設網）が普及した。そのセキュリティーの脆弱性を突いた被害も後を絶たない。

サイバーセキュリティーへの注目度が一段と高まる中、20年以上にわたってセキュリティー関連のコンサルティングや監視サービスのノウハウを蓄積してきた総合商社がある。三井物産だ。

子会社は国内屈指の専業事業者

三井物産がセキュリティー診断やネットワーク、システムを24時間監視するSOC（セキュリティー・オペレーション・センター）事業を独立させ、三井物産セキュアディレクション（当時はE3ネットワークス）を立ち上げたのは2001年のこと。

三井物産セキュアはその後、検知器などのツール販売を切り離してコンサルなどの高度サービスに専念。高度人材を300人以上抱える国内屈指のサイバーセキュリティーサービス専業事業者となった。

市場は急成長をみせている。日本ネットワークセキュリティ協会の推定によれば、セキュリティー対策のコンサルや診断といった「サービス」と検知器などの「ツール販売」を併せた国内市場規模は2024年度で約1.7兆円。10年前は8000億円を下回っていたので倍以上になっている。

「個人情報を大量に集積している企業はそれなりにセキュリティーに予算を割いていたが、ランサムウェア攻撃によりホンダで工場の生産が一時止まるなど2019年前後から製造業でも深刻な影響が出てきた。その辺からセキュリティー対策は一気に大きな経営課題になった」

三井物産セキュアの関原優執行役員はそう振り返る。

こうした状況は三井物産セキュアの追い風となり、同社の純利益もこの10年間で拡大した。2014年3月期の1.78億円から、2024年3月期の16.44億円へと大きく伸びた。

同社の調査では、2024年7月までの直近2年間でランサムウェアの攻撃による被害は国内だけで270件、世界では9107件に上る。アメリカの調査会社によると、2025年のサイバー犯罪による被害額は世界で10.5兆ドル（約1522兆円）になるとの推計もある。

問題がボーダーレスなだけに三井物産も海外展開を加速させている。

昨年4月に少額出資していたマレーシアの同業大手「LGMS」の株式を追加取得、出資比率を25％まで引き上げた。今年4月にはアメリカの新興セキュリティー企業「レッドポイントサイバーセキュリティ」に約15億円出資して49％の持ち分を取得した。

被害はアメリカで大きく発生

東南アジアや中国ではサイバーセキュリティーに対する意識が相対的に低いとされる。攻撃する側はそういう「セキュリティーが脆弱なところに侵入して効率を上げようとする」（関原氏）という。

一方、三井物産セキュアの調査では、毎月の被害が多い地域はアメリカで、全世界の被害のうち5割弱を占める。アメリカの株式市場に上場している日系企業はもちろんだが、現地法人を持ったりM&Aで現地企業を買収したりする日系企業もセキュリティー対策の強化が迫られている。

「サイバー攻撃を受けたアメリカ企業では、善管注意義務違反で刑事訴追された取締役もいる。日系企業も対応を間違えるとアメリカ子会社の社長が刑事罰を受けることになりかねない」。そう警鐘を鳴らすのは、三井物産のICT事業本部にあるサイバーセキュリティ事業室の増田隆室長だ。

「海外の規制強化のスピードは速く、現地の法務部がアンテナを張っていても、日本にいる経営者の認識が不足して対応が追いつかないケースもある」（増田氏）。そこがビジネスチャンスになるそうだ。

いざというときに現場ではかなりの緊張を強いられるようだ。

昨年、三井物産セキュアの顧客である日系企業の現地法人がランサムウェアの攻撃を受けて工場のシステムが止まった。三井物産セキュアは技術部隊を直ちにその現地法人へ派遣した。

時系列で経緯を洗い出して、システム復旧に着手。攻撃組織のリークサイトでの情報暴露にも備えた。作業は休日・祝日で完結させ、顧客企業の営業に支障が出ることはなかったが、「水面下での作業で現場は戦場のようだった」と関原氏は振り返る。

内部統制でも要求される項目に

情報開示においても企業は対策を迫られている。

中四国や九州でショッピングセンター「ゆめタウン」などを運営し、東証プライム市場に上場するイズミ（広島市）。今年2月、VPN経由でランサムウェアの攻撃を受けた。

顧客向けのサービスに支障が生じたほか、経理関連データでもアクセス障害が起こった。その影響で、4月初旬に予定していた2024年2月期決算の発表は6月末と大幅に遅れ、有価証券報告書の提出も7月末となった。

有報と同時に公表した「財務報告に係る内部統制の開示すべき重要な不備」では、「サイバーセキュリティーに関する全社的な内部統制について重要な不備があった」とし、「2024年2月末時点の当社の財務報告に関する内部統制は有効ではなく、開示すべき重要な不備が存在すると評価した」と記載した。

イズミ幹部は「東証基準に沿い、内部統制の問題は開示すべき重要な事項と判断した」と話す。

ところが、ランサムウェアの攻撃を受けて決算発表を遅延した企業をたどると、内部統制報告についてはいっさい言及がなく、「監査上の主要検討事項」にも記載がない企業が少なくない。「喉元過ぎれば熱さを忘れる経営者が一定数いる」（増田氏）というのが現状だ。

こうした対応は今後、許されなくなる可能性がある。日本の上場企業やそのグループ会社に、内部統制の整備・運用および評価結果の報告を求める「内部統制報告制度（J-SOX）」が昨年4月、15年ぶりに改訂された。今年4月以降に始まった事業年度から適用されている。

財務報告に不正や誤りが起こらないよう信頼性を確保するための制度だが、情報セキュリティーの重要性も強調されている。

実施基準に加わったのは、「クラウドやリモートアクセス等の様々な技術を活用するに当たっては、サイバーリスクの高まり等を踏まえ、情報システムに係るセキュリティーの確保が重要である」との記述だ。

アメリカでは4営業日以内の開示を義務づけ

またアメリカでは、2023年末発効の証券取引委員会（SEC）の新規制で、すべての上場企業に重要なサイバー被害について4営業日以内に開示することを義務づけた。個人情報流出の有無についても曖昧な開示は許されない。年次報告書でもセキュリティー対策の開示が義務づけられた。

増田氏は、「全社で網羅的にサイバー攻撃に対するリスクを分析して対策が講じられているかが問われている」と指摘する。そのうえで情報開示についても、「日本の規制当局は欧米の規制を見ながら、数年遅れで日本に導入する傾向がある。国内でも2～3年後には欧米並みの規制強化の波が来るのではないか」と予測する。

国内外でサイバーセキュリティーへの対策は優先度の高い経営課題となった。三井物産セキュアは年間30～40人の高度人材を採用して国内需要の取り込みを急ぐとともに、三井物産は海外でのM&Aを模索しながら世界のサイバーセキュリティー市場の成長取り込みを図る。

（森 創一郎 ： 東洋経済 記者）