在超過20年的網路安全領域從業經歷中，筆者針對日本型組織（Traditional Japanese Organization）面臨的特有課題積累了大量見識。在此，筆者將基於2024年發生的數起事件，就日本型組織遭受勒索軟體攻擊的實際情況及其應對工作的課題，提供作為專業人員的見解。

日本企業顯露的脆弱性

【事例1】某大型出版集團缺乏透明性的應對措施

2024年6月某大型出版集團遭到勒索軟體攻擊的事例，突出反映了日本企業的脆弱性。當時該集團遭受了整個集團電腦系統崩潰、出版物配送工作癱瘓、相關視訊播放服務中斷等多重損失。

在這個事例上特別值得一提的是，公告遭受勒索軟體攻擊而導致顧客等個資洩漏事態的時間是在遭受攻擊後的大約3週左右。作為網路安全方面的戰略判斷，這是可以理解的，但與此同時，這也足以引發如何在資訊公開的時間性和透明性之間取得平衡的重要討論。

相較之下，歐美企業如果發生個資洩漏問題，通常要求按照監督管理或行業標準迅速公開資訊。比如，歐洲《通用資料保護條例》（GDPR）規定，一旦發生個資洩漏問題，企業必須在72小時以內上報，非常重視透明性。由於這樣的監督管理要求，歐美企業往往傾向於在較早階段公開訊息。

【事例2】某地方超市連鎖店長時間遭受損失

2024年2月，某地方超市連鎖店遭到勒索軟體攻擊，下單系統受到嚴重影響。按照該企業公佈的說法，恢復工作極為困難，完全恢復正常功能花費了大約兩個半月時間。

骨幹系統的癱瘓對供貨和促銷活動產生了相當的影響，但銷售時點資訊管理（POS）系統並未受到影響，店面銷售工作得以維持。與外界只能透過電話、傳真和郵寄方式聯絡，付款和退款採用了概算方式。透過這些替代措施，業務運轉雖然得以勉強維持，但效率大幅下降。

這個事例反映出，遭到勒索軟體攻擊後的恢復工作，是比單純恢復資料更複雜、更費時間的一個過程。尤其是骨幹系統遭到攻擊的情況下，其影響更為廣泛，恢復工作需要大量的時間和人力。

形成對比的是，美國某大型零售連鎖店在遭受勒索軟體攻擊後的恢復工作就較為迅速。檢測到攻擊行為後，該企業立刻啟用備份系統，在48小時以內部分恢復了主要業務系統。安全團隊同步鎖定了病毒感染路徑，修正強化了脆弱環節。不到1週時間，所有系統90%以上恢復了正常運轉。之所以能如此迅速恢復正常，得益於日常的準備、多個備份系統的維護，以及公司內外專家團隊的及時出動。

【事例3】某印刷IT解決方案企業的妥善應對與課題

2024年5月某印刷IT解決方案企業遭勒索軟體攻擊事件暴露出日本企業網路安全工作的進步和遺留的課題。這家企業是日本印刷行業的知名企業，尤其在面向金融機構和公共機構的票據和印刷品製造、寄送業務方面具有優勢，近年來還開始提供承接IT解決方案和客戶企業部分業務的BPO（商務流程外包）服務。

在這個事例上特別值得一提的是，企業在遭到攻擊後的第3天公佈了相關情況，之後也定期發佈最新進展。這表明其作為一家以對安全高度敏感的金融機構或公共機構為主要客戶的企業，充分認識到了資訊公開的重要性。而與此同時，針對個資洩漏的可能性，其在初期階段則表示「並未發現」，但在後來的調查中又不得不修改措辭稱「不能否定存在這種可能」，反映出初期階段收集和分析資訊的難度之大。

歐美國家提供同樣服務的企業，特別是面向金融機構或公共機構開展注重安全性的業務的企業，為了在事故發生後的初期階段迅速而準確地收集和分析資訊，都會積極引入專門的安全團隊和高效的分析工具。由此可以快速掌握個資或機密資料的洩漏風險，以便採取妥善的應對措施。在這樣的體制下，企業始終一邊維護和客戶之間的信賴關係，一邊努力按照行業標準及時公開資訊。

日本型組織的特性所帶來的課題

透過上述事例分析，我們就可以看出日本型組織特有的以下課題，即「4個屏障」。

【書面請示的屏障】決策遲緩導致的危機

以書面請示制度為代表的日本傳統型決策流程雖然適合於平時的謹慎經營活動，但一旦遭遇網路攻擊之類的緊急情況，就會成為致命的弱點。比如曾經有過這樣一個事例，某製造業企業要緊急引入防範惡意程式的軟體，卻花費了長達兩週時間的審批流程，結果在這期間就遭到攻擊，造成了相當的損失。

【成本的屏障】對安全投資的消極態度

日本型組織依然存在將安全投資視作「成本中心」（消耗成本卻不產生利潤的部門）的強烈傾向。某大企業以全年10億日圓的規模「過大」為由，否決了安全投資方案，結果卻遭受了3倍以上的損失。而美國企業則將安全視作「業務促成因素」（business enabler），傾向於積極開展投資。

【輪調制度的屏障】對專業性的輕視

日本企業根深蒂固的輪調制度對培養安全領域專家造成了阻礙。某機電設備製造企業每兩年更換一次安全團隊的領隊，導致難以形成專業力量。與此相對，在美國的IT企業中，有些首席資訊安全官（CISO）任職超過10年，擁有與經營決策層相匹敵的專業性。

【沉默的屏障】對資訊公開的遲疑

日本企業普遍存在「在了解詳細情況之前不想公佈」這樣一種態度。但這種過於謹慎的處理方式有可能反而導致情況惡化。比如有這樣一個事例，某金融機構由於初期應對遲緩，導致客資洩漏問題嚴重化，補償成本達到了最初預想的10倍以上。

組織的領導層必須積極行動起來

日本企業的網路安全應對能力確實在提升。但從現狀來看，網路攻擊的進化速度遠遠超過了組織的變革速度。

日本型組織存在的課題或許並非一朝一夕能夠解決。但筆者堅信，透過發揮獨特優勢，靈活選擇國內外的「最佳解」，就可以建立起在世界上引以為傲的網路自愈能力。

在這一點上，決策人員等組織領導層的積極參與具有重要意義。網路安全不再只是IT部門的問題，而是已經成為整個組織的經營課題。

要想處理好這個課題，需要強化以下5點：

• 明確戰略定位
• 資源分配的最佳化
• 整合風險管理
• 促進企業文化改革
• 獲得利益相關者的信賴

領導層的領導力會在很大程度上影響組織的未來。現在正是需要果斷採取行動的時刻。

標題圖片：1名男子面對遭受了勒索軟體攻擊的電腦（DPA/PictureAlliance、路透社）