「LockBit」ランサムウェア被害から2年半――NITTANがたどった復旧と再発防止への道のり：「フォレンジックできません」の衝撃 セキュリティベンダーが見つからない!?

2022年にランサムウェア「LockBit」の攻撃を受けたNITTANは、外部専門家の支援を得ながらサイバー攻撃被害からの復旧、そして期限通りの決算発表を実現した。ランサムウェアによる被害を経て、セキュリティ対策を抜本的に改革する同社の担当者に話を聞いた。

PR／＠IT

PR

　自動車などのエンジンバルブを製造するNITTANは、2022年9月にランサムウェア「LockBit」の攻撃を受けた。原因はパスワード管理の不備で、攻撃によって大規模なシステム障害が発生した。しかし、幸いにも基幹システムが被害を免れていたこと、クラウドバックアップの存在、社内外の迅速な初動対応、アナログオペレーションへの切り替えなど、柔軟で臨機応変な対応により生産停止を回避できた。

　サイバー攻撃が決算スケジュールに影響を及ぼす事例は多いが、同社はスケジュール通りの決算発表を実現した。サイバー攻撃被害から迅速に復旧し、決算発表を延期せずに済んだのは、フォレンジックやサイバー攻撃被害からの復旧を支援するグローバルセキュリティエキスパート（以下、GSX）をはじめとする外部専門家の支援があったからだという。

　現在NITTANは、技術的な再発防止策および全社的な情報セキュリティ委員会を中心とした組織的な対策推進、情報システム部門の強化、セキュリティ専任体制の構築、海外を含めたグループ全体のレベル向上など、抜本的な改革に取り組んでいる。本記事では、初動対応と復旧に携わり、現在もセキュリティ対策をリードしているキーパーソンの2人への取材を通じ、被害発見から現在に至る軌跡に迫る。

「まず線を切ろう」経営陣の即断と現場の機転が救った初動対応

　自動車やオートバイ、建設機械、農機、船舶など、さまざまな内燃機関に搭載されるエンジンバルブを製造、供給するNITTANは、1948年の設立以来国内外のメーカーと取引を続ける独立系サプライヤーだ。鍛造や熱処理、精密加工の分野で高い技術力を持ち、神奈川県秦野市を中心に国内外に生産拠点を展開している。

　2022年9月13日朝、NITTANで情報システム部門を管掌（当時）していた村山誠治氏は、出社後に勤怠確認システムを利用しようとしたところ、システムに接続できなかったことから異常を察知した。

谷口暢氏（情報システム部 部長）

　村山氏の下で情報システムグループをリード（当時）していた谷口暢氏も同様の事象を確認。状況を把握するためサーバルームに駆け付けると、ランサムウェアLockBitの画面に衝撃を受けた。事態の深刻さを認識した両氏は、即座にネットワーク遮断の判断を下した。

　「当時、弊社のネットワークは1本のメイン回線から全てが外に出る構成にしていたので、その接続を切ることで外部との接続を遮断できました」（谷口氏）

　村山氏はすぐさま社長、会長に状況を報告し、承認を得てネットワークを完全に遮断した。「社長、会長とも席が近く、即断していただきました。ためらうことはありませんでした」（村山氏）

村山誠治氏（執行役員、経営企画部 部長）

　DX（デジタルトランスフォーメーション）が進む現在において、ネットワークの完全な遮断は業務に多大な影響を及ぼす重要な経営判断となる。混乱の中でも経営者として最良の判断をし、社内外に道を示すことが被害の拡大防止につながる。

　サイバー攻撃による被害が判明した直後は何から手を付けていいか分からない状態であったが、約10年前に策定したITセキュリティ管理規定を頼りに対応をした。この規定が大きな指針として役立った一方で、内容をアップデートできていなかったことが反省点だと村山氏は振り返る。

　インシデント発生時には、さまざまな問題の迅速な判断が求められる。有事になって一から考えるようでは対処の遅れや誤った判断、行動につながるため、指針となる規定が果たす役割は非常に大きい。

　ランサムウェア被害の原因となったのは、VPN装置「FortiGate」のパスワードを変更していなかったことだった。

　「パッチ（最新のファームウェア）は脆弱（ぜいじゃく）性情報に基づいて適用済みでした。しかし、そのパッチの適用前にパスワード情報が漏えいしていたことがGSXの調査を通じて判明しました。パスワードを変更していなかったアカウントが不正アクセスに悪用され、ランサムウェアを仕掛けられました」（谷口氏）

　当時は、セキュリティ関連の業務は兼務担当者に任せており、作業が十分にチェックされていなかった。村山氏は「確認体制が不十分でした」と打ち明ける。セキュリティを少人数や兼務で担当する体制は、人材や知見の不足に加えて、一人一人が多くの業務を担っていることも相まって「隙」が生まれやすい。

　インシデントは、上記のような「なぜそんな当たり前のことができていなかったのか」という原因によって起こる場合が多い。しかし、このような状況は経営者のセキュリティに対する理解や姿勢、予算などの要因も複雑に絡み合って発生するため、短絡的に結論付けるべきではないだろう。

業務は止めない――アナログ対応への切り替えと旧来のシステム設計が生んだ救い

　被害状況を確認する中で、基幹システムが無事だったことは不幸中の幸いだった。自社の生産が止まることで、サプライチェーン全体の活動を止めるわけにはいかない。お客さまに迷惑をかけることはできない。「基幹システムはメインフレームで動いていたので、サイバー攻撃の被害に遭っていませんでした。基幹システムを直接動かすことで、事業継続に必要な最小限のことはできました」と谷口氏は語る。

　基幹システムから社屋に線を伸ばし、緊急設置した対策室に用意した端末で業務環境をつくることで、生産ラインの停止を回避できた。対策室にはシステム関係者だけではなく営業、経理、製造担当者など、さまざまな部署の従業員が詰め掛け、正に全社一丸となって必死の思いで事業継続に取り組んだ。

　「手書きで記録して進められる業務はいったん手書きで進め、後日システムに投入することで業務進行を維持しました」（村山氏）

　30年前からのシステム運用を知る谷口氏の機転により、アナログ対応で業務継続が可能となったことも早期業務復旧の鍵となった。

　物流・配送業務は、代替方法が比較的容易に確保できた分野だった。谷口氏は「配送に関しては、Excelとメールで行っていた業務を、ひと昔前のように配送業者に電話で連絡する方法に戻して業務を維持しました」と語る。

　「システム全体を知っている人は谷口さんしかいませんでした。谷口さんの知識と機転、アナログな代替手法が成せた技でした」（村山氏）

　インシデント発生時に、NITTANのように短期的にアナログ作業に戻すことで事業活動を継続するケースは多くある。DXが進みアナログな代替余地が減っていく中で、IT-BCP（IT事業継続計画）としてどのようなリカバリープランを実行できるのか、平時から準備、把握しておくことが事業継続の成否を分けると言っても過言ではないだろう。

「できません」の衝撃　セキュリティベンダーが見つからない

　インシデント発生から2日後の9月15日に緊急対策本部が立ち上がり、個人情報保護委員会への報告も実施した。警察には発生当日に通報し、神奈川県警のサイバー犯罪担当による調査が始まった。

　「警察が暗号化を解く手法を持っていて、一部サーバの暗号化を解除できて助かりました」（谷口氏）

　サイバー攻撃の被害に遭うと、短期間に多くのタスクが並行して発生する。インシデントの原因調査、対策、復旧に向けた活動、対外的な発表、取引先や従業員との対話、保険会社との交渉、警察への被害届、個人情報保護委員会への届出など、どれも経験がないことばかり。初期対応に追われる中で、同様の被害経験がある企業からの情報提供が大きな助けとなったという。

　「行政への報告方法や情報漏えい対応などについてアドバイスを頂きました。私たちも他社が被害に遭った際には積極的に協力したいと思います」（村山氏）

　しかし、ここで問題が生じる。一刻を争う事態にもかかわらず、サイバー攻撃の原因や感染経路、マルウェアの挙動や影響範囲などを調査解析する「デジタルフォレンジック」を引き受け、復旧に向けて伴走するベンダーが見つからない。長年付き合ってきたファーストベンダーには、期待していた支援を断られてしまったという。

　「フォレンジックをしてほしいとファーストベンダーに相談したのですが『できません』と言われました。本当に衝撃的でした」（村山氏）

　ファーストベンダーはインシデント発生から2日後の9月15日になってようやく来訪したものの、フォレンジック対応も紹介先も「ない」との回答に、支援ベンダー探しに苦慮することとなった。

　複数のセキュリティベンダーに支援を打診するも、リソース不足などを理由に立て続けに断られてしまった。セキュリティベンダーの中には、年間を通してリソースを固定的に管理している企業もあり、突発的なインシデントへの対応が難しい場合がある。

　その後、クラウドストレージなどのシステム導入で関係があったリコージャパンへ支援を依頼し、GSXのプロジェクト参画が実現した。GSXは9月21日にフォレンジック調査を開始。10月4日には調査結果の速報、10月11日には続報、10月21日には追加調査結果を提示し、段階的な調査を経て詳細な被害状況が明らかになっていった。

　10月12日にはGSXプリンシパルコンサルタントの和田直樹氏が復旧対応に加わり、10月14日にはシステムネットワークおよび業務の復旧作業が本格化した。10月31日には復旧完了の見通しが立った。

　インシデント対応において大きな課題となったのが、決算開示への影響だった。NITTANは4月が期初であり、サイバー攻撃が発生した9月は上期の締め、10月には第2四半期の決算開示を控えていた。

　大手監査法人とGSXコンサルタントを交えた三者協議を重ねる中、ランサムウェアによる攻撃が財務報告の正確性に影響を与えるリスク（改ざんの可能性）が議論された。GSXの見解も踏まえ、経理データの復旧と検算の状況、他社事例を考慮した結果、四半期決算として開示しても問題ないとの判断が下され、当初のスケジュール通りに2022年度第2四半期の決算発表に至った。

　村山氏はGSXとの連携について「外部専門家の視点から助言を得て判断の迅速化が図れたこと、会計監査法人と連携して遅滞なく決算発表できたこと」を、谷口氏は「迅速な対応や顧客目線での支援、豊富な知識を基にした専門的意見によってインシデント対応をリードした点」を高く評価した。

　GSXはサイバーセキュリティのスペシャリストとしての知識や経験に基づいた顧客支援はもちろん、どのプロジェクトにおいても「ホスピタリティー」を重視している。顧客の立場に立ち、同じゴールを見据え、思考し、行動する。時には耳の痛い提言も率直に行い、必要な情報は惜しまず提供する。

セキュリティ強化のための組織改革　「担当者任せ」からの完全脱却

　NITTANはサイバー攻撃を受けて以降、情報セキュリティ委員会の立ち上げや組織体制の見直しなど、セキュリティ強化施策に取り組んでいる。

　情報セキュリティ委員会の事務局は、総務部と経営企画部ITシステムグループが担ってきたが、2025年からは「情報システム部」として独立した。これによって、セキュリティに関する機動力・実行力がさらに高まっているという。情報システム部は10人体制を目指しており、2人をセキュリティ専任担当として配置している。

　「今までは、セキュリティも含めて各担当者がタスクを兼務し、いろいろなことを少しずつ担っている状態でした。今回の経験から、セキュリティの専任者を設置しました」（谷口氏）

　同社は技術的な再発防止策として、EDR（Endpoint Detection and Response）の導入と強化、シングルサインオンや脆弱性管理ソフトなどを導入した。クラウド活用も促進している。その背景について谷口氏は次のように語る。

　「クラウドストレージに保存していたデータは、インシデントの影響を受けませんでした。クラウドストレージにバックアップデータを取っていたことが、業務の早期復旧に大変役立ちました。ネットワークから隔離された場所にバックアップがあったからこそ、早期復旧が実現できました。社内システムが再びサイバー攻撃を受ける可能性を考慮し、セキュリティレベルの高い遠隔バックアップ先としてクラウドストレージへの移行を加速させました」

　一方で、オンプレミスのディスク上に存在するバックアップは被害に遭ったため、複数世代、複数箇所でのバックアップの重要性を実感することになった。このように、働き方の多様化に伴い利用が広がるクラウドストレージは、有事のバックアップとしてもその重要性が注目される。

　組織的な再発防止策としては、情報セキュリティ委員会などの体制構築や、IT-BCPなどの各種文書をGSXの支援によって整備している。情報セキュリティに関する文書については、先述の通り2009年頃に内部統制対応として作ったものが存在した。しかし、内容はほとんど更新されていなかったため、実効性のある内容へと刷新されることになった。

　従業員教育も重要な柱の一つとなっている。「社長を含めて全従業員対象のセキュリティ研修や標的型攻撃メール訓練を、リコージャパンやGSXの支援によって毎年実施するようになりました」と谷口氏は語る。残念ながらシステム的なセキュリティ対策に100点は存在しない。システムやデータを扱う「人」が最後のとりでであり、GSXを含む国内外のセキュリティベンダーが「Security Awareness Training」の重要性を主張している点は、多くの企業が注目すべきだろう。

経営陣の意識変化―痛みから生まれた前向きな変化

　インシデントを経験したことは、NITTAN経営陣のセキュリティに対する意識を格段に向上させた。「社長は元々セキュリティ意識が高かったのですが、今回のサイバー攻撃被害を経て、その意識はさらに強固なものとなりました」と村山氏は語る。セキュリティ投資への理解も進み、対策予算確保への理解も高まっているという。

　今後の展望として、同社はSOC（Security Operation Center）体制の構築を検討している。「24時間365日の監視体制をどう構築するかが課題です。コストなども含めて検討しています」と谷口氏は説明する。グローバル・連結でのセキュリティガバナンス強化も重要な課題だ。海外拠点を含めたグループ全体のセキュリティレベル向上に向けて、段階的な強化策を検討している。

　村山氏は今回のサイバー攻撃からの復旧対応を振り返り、次のように語る。

　「谷口さんが30年前のシステム運用を熟知していたことが、対応の成否を大きく分けた要因でした。早期に復旧できたのは、彼の知識があってこそだと思います。やはり、こうした有事の際に備えて日頃から社内で情報を共有し、判断基準を明文化しておく必要性を強く感じました」

　NITTANの事例は、基本的なセキュリティ管理の重要性に加え、初動対応の迅速さや外部専門家との的確な連携、組織的・技術的な改善に向けた具体的なアクションの意義を示している。中でも注目すべきは、同様の被害を経験した他企業との情報共有ネットワークの価値だ。

　「同じ被害者同士が協力し、今後どうすれば被害を最小限に抑えられるかを考える。そうしたつながりが、実際の復旧支援でも大きな力になりました。GSXからのアドバイスによって、適切なタイミングで対応できたのも大きかったです。GSXの専門性については社長も高く評価しています」（村山氏）

　専門家との協働、担当者任せにしないセキュリティ管理体制の構築、インシデント発生時に即座に機能する対応手順の整備、会社を超えた情報共有の仕組み作り。これらは全て、どの企業にとっても不可欠なサイバーセキュリティ強化の要素だ。

NITTANの事例の教訓

　今回のNITTANの事例から、ランサムウェア被害に遭った際の対応について、幾つかのポイントが見えてきた。

1．初動対応の鍵は「迅速な経営判断」

　ネットワーク遮断などの重大な意思決定を経営陣が即断したことが、被害の拡大を防いだ。インシデント対応はIT部門だけでは限界がある。経営層が事態の重大性を理解し、日頃から現場と意思疎通をして、信頼関係を築いておくことが初動の成否を分ける。

2．古くても有効な「ルール」が生きる

　策定から年数が経過していたITセキュリティ管理規定が、判断のよりどころとして機能した。インシデント発生時に参照できるルールがあることで迷わず動ける。文書は古くても、組織に浸透していれば十分に力を持つ。

3．兼務体制では限界がある

　当時セキュリティ関連業務は担当者が兼務で行っており、パスワード管理の不備が長く放置されていた。これが被害の引き金となった。NITTANはその後、情報システム部を独立させ、専任体制へと移行している。セキュリティを片手間で扱う余地は、もはや存在しない。

4．「止めない工夫」は現場に宿る

　システムが使えなくなっても、紙、電話、FAXといったアナログ手段に切り替えることで業務を継続できた。これは現場担当者の経験と、柔軟な思考があったからこそ。IT-BCPは、単なるシステム冗長化ではなく、業務を「どうつなぐか」を設計する取り組みだ。

5．バックアップは「分散」と「隔離」が鉄則

　クラウド上のバックアップが攻撃を免れた一方で、オンプレミスのバックアップは被害に遭った。同一ネットワーク内にあるバックアップは、もはや安全とは言えない。物理的・論理的に分離された多層的なバックアップ体制が求められる。

6．有事の「伴走者」が生死を分ける

　信頼していたベンダーが対応を断り、対応が一時的に混乱した。平時から、いざというときに支援できるパートナーを見極めておくことが重要だ。委託先が有事対応を担えるかどうかを、契約・体制レベルで確認しておく必要がある。

7．他社の経験は、最大のセーフティーネットになる

　インシデント直後、同様の被害に遭った企業からの情報提供が大きな支援となった。業界横断での情報共有、CISO（最高情報セキュリティ責任者）同士のつながりは、緊急時に力を発揮する。平時から信頼関係を築いておくことが、有事のリスクを最小化する鍵となる。

8．専門家・監査法人との連携が信頼を支える

　会計監査法人とサイバーセキュリティ専門家の連携により、被害の範囲と影響を正確に評価し、財務報告の正確性を確保できた。サイバー攻撃が経営リスクとして認識される今、CISOとCFO（最高財務責任者）、監査法人などとの連携は必須だ。

　NITTANの事案から、平時からセキュリティを意識した業務の設計や体制準備が重要であることを改めて感じられたのではないだろうか。平時も有事も頼ることができる、懐刀のようなセキュリティベンダーと関係を持っておくことも重要だ。GSXは年間300件のサイバー攻撃被害の相談を受けており、フォレンジック調査、復旧支援、恒久対策に加えて、インシデント対応訓練やガイドラインの策定まで幅広く支援している。詳しくはGSXのWebサイトで確認してほしい。

インシデント対応サービス　専用ダイヤル：03-3578-9055

※本稿は、グローバルセキュリティエキスパートからの寄稿記事を再構成したものです。