EC物流のリーディングカンパニーとして知られる関通ホールディングス株式会社(旧・株式会社関通)は、2024年9月に突如としてランサムウェア攻撃に見舞われました。在庫管理システムをはじめとする10種類以上のシステム、200台を超えるサーバーが一夜にして機能を停止し、数十億円規模の損害に直面しました。
当時、同社の経理部門の責任者を務めていた達城利元氏は「一言で言うと地獄」と振り返っています。こうした状況下で、正常に動き続けたシステムが「勘定奉行iクラウド」です。運よくランサムウェア攻撃の前月に移行を完了させたばかりで、達城氏は「これで数ヵ月、会社が助かった」と直感したそうです。
なぜ会計データは無事だったのか。その背景にある「権限分離設計」とはいかなるものか。さらに、被災体験から何を学んで、新たな事業へと昇華させたのか。この記事では、達城氏の実体験をもとに、すべての企業がとるべきセキュリティ対策について迫ります。
達城 利元 氏
関通ホールディングス株式会社
サイバーガバナンス・エグゼクティブ・アドバイザーCyber Governance Lab株式会社 代表取締役社長
サイバー攻撃の被災経験から、講演活動や企業のサイバーレジリエンスに関わる指導、企業のCISOや経営層に対してサイバーリスクを定量的に評価し、戦略的なガバナンス体制を構築するための助言を行う。生成AIを使い、セキュリティ体制管理のプラットフォーム「RASHIN」やフィッシング訓練システム「SHIGAN」を開発。
Instagram一定のセキュリティ対策を講じ、サイバー攻撃のリスクを感じてはいたものの、「まさか自分たちには来ないだろう」という感覚があり、結果としてランサムウェア攻撃の被害を受けることとなりました。
関通ホールディングスは、ECサイトの商品保管・ピッキング・梱包・出荷といった物流業務を一括して担うEC物流の3PL(サード・パーティー・ロジスティクス)企業です。2020年には上場も果たし、売上高は183億円(2026年2月期連結決算)を誇り、従業員数1,095名(2026年3月時点)を擁しています。
ランサムウェア攻撃を受けたものの、同社はセキュリティ対策を取っていなかったわけではありません。むしろ、全PCへのウイルス対策ソフトの導入・バージョン管理、プライバシーマーク(Pマーク)およびISMS(情報セキュリティマネジメントシステム)の取得、データセンターでのサーバー集中管理、社内ネットワークへのVPN専用線アクセスの徹底など、一般的に必要とされる対策はすべてとっていました。
達城氏は、個人的には「ランサムウェア攻撃はいつ起こってもおかしくない」とは危惧していたものの、同時に「まさか自分たちには来ないだろう」という感覚もあったことを述べています。なおさら、通常のセキュリティ対策を取っていれば、いきなりシステムが使えなくなるようなことは想定しにくいと言えます。
ランサムウェア攻撃により約10種類のシステムと200台超のサーバーが被害を受け、構成情報のファイルも暗号化されたため、当初は被害状況すら把握できない状態でした。また、昼夜を問わない復旧作業に向け、労務管理のために勤怠管理システムをスピーディーに移行しました。
2024年9月12日、午後6時頃。最初の異変は小さなトラブル報告として現れました。従業員からの「打刻ができない」という報告が社内に広まり、勤怠管理システムへのアクセスに問題が生じていることがわかりました。
当初は一時的な不具合と思われましたが、報告は相次ぎます。同社が外部企業向けに提供していた在庫管理システムに対して、取引先から「アクセスできない」という連絡が殺到し始めるのです。やがて、社内ネットワーク全体が一切つながらない状態に陥りました。調査を進めると、世界的に猛威を振るうランサムウェアグループ「Akira(アキラ)」によるサイバー攻撃であることが判明していきました。
データセンターで集中管理されていた全サーバーは停止、すべてのファイルが暗号化されてしまいました。被害を受けたシステムは顧客別にカスタマイズしていた在庫管理システム、勤怠システム、自社開発のチェックリストシステムなど約10種類で、サーバー台数は200台を超えました。
さらに深刻だったのは、どのようなシステムが動いていたのかさえ、すぐには把握できない状況に陥ったことです。というのも、システムの情報をまとめたExcelファイル自体もデータセンター内に保存されていたため、それ自体も暗号化されて読み取れなくなってしまっていたからです。記憶をたどりながら被害範囲を確認する状況が続きました。
「一言で言うと地獄でしたね。思い出したくも味わいたくもないような時間が、そこから始まったなというのを、今も鮮明に覚えています」
緊急対応の最優先事項は、取引先の業務継続に関わる、提供中の在庫管理システムの復旧でした。結果的に、被害を受けたシステムはすべてゼロから作り直す判断となったため、復旧に向けた対応は昼夜を問わず続けられました。
そのため、次に優先されたのが勤怠管理システムの復旧です。昼夜を問わない復旧作業にあたることになったため、スタッフごとの詳細な労務管理が必要になりましたが、当時は打刻すらできない状態でした。そこで、達城氏はオービックビジネスコンサルタント(以下OBC)に相談。「奉行Edge 勤怠管理クラウド」をスピーディーに導入し、わずか1週間で打刻可能な環境を構築し、混乱する現場の労務管理を支えました。
会計データが無事だったので、キャッシュがいつまで持つかのシミュレーションが可能となるため、達城氏は「数ヵ月間は会社が助かった」と感じました。
当時経理部門の責任者を務めていた達城氏は、被害状況について、データセンター内のファイルがすべて暗号化されてしまったことを知り、経理部門で利用していたSaaS型クラウドサービス「勘定奉行iクラウド」の稼働状況を確認しました。正常に動作し、会計データが無事であることを確認できたとき、達城氏は「これで数ヵ月間、会社はおそらく助かった」と直感したそうです。
「まず、現在の会社の現金・預金残高が即座に把握できたので、今後どれだけのお金が入ってきて、出ていくのかという資金繰りの見通しが立てられました。また、過去の取引データが残存していたので、顧客への請求書の発行も継続できました。請求書の発行もできなかったら、そもそも会社にお金が入ってきません。そういう環境や会計データが全部残っていたというところが、一番助かったところですね」
さらに、タイミングも「不幸中の幸い」と呼べる状況でした。攻撃を受けた月の前月である2024年8月に、会計システムの移行が完了していたのです。ちょうど中間決算のタイミングでしたが、期中データもすべて「勘定奉行iクラウド」に移行済みだったため、決算発表も遅延することなく実施できました。
なお、被害を受けたシステムの復旧は、「ゼロから作り直す」というスピーディーな判断もあって50日程度で完了。この規模の被害としてはかなりの短期間で復旧できました。その間のキャッシュのやり取りを「勘定奉行iクラウド」で、労務管理を「奉行Edge 勤怠管理クラウド」でスムーズに行えていたことが、地獄のような復旧作業を裏で支えていたのです。
会計データがランサムウェア攻撃を受けずに済んだ最大の理由は、導入していたSaaS型クラウド「勘定奉行iクラウド」が、攻撃を無力化する「権限分離設計」になっていたためです。
今回のランサムウェア攻撃で、会計データが被害を受けずに済んだ理由は、社内ネットワーク(データセンター)と完全に切り離された環境で稼働する、SaaS型クラウドに移行できていたからです。社内ネットワークとは異なるクラウド基盤上で稼働しているため、社内ネットワーク内でランサムウェアが猛威を振るっても、その影響は遮断されます。
さらに「勘定奉行iクラウド」の特徴は、ランサムウェア攻撃を無力化する「権限分離設計」になっているところです。「勘定奉行iクラウド」はMicrosoft Azureという堅牢なクラウド基盤(PaaS)上で動作するSaaSです。
ランサムウェアはデータを暗号化して人質に取って身代金を要求しますが、暗号化するにはOSやデータベース基盤に触れられる「特権(特別な管理権限)」が必要になります。ランサムウェアは侵入後にこの「特権」を取得することで、データを暗号化するのです。
「勘定奉行iクラウド」の場合、この「特権」はMicrosoftが一元管理しており、ソフトウェアのベンダーであるOBC自身でも触れることができない構造になっています。この権限が分離されている「権限分離設計」により、OSの「特権」を奪われるリスクがなく、「特権」の乗っ取りを前提とするランサムウェアの攻撃そのものが成立しません。
達城氏はランサムウェア攻撃を受ける以前から、自らが担当する経理部門のシステムについてSaaS化を積極的に進めていました。当時のデータセンター運用では専任のエンジニアを雇っているわけではありませんでした。また、専任者を設置すれば属人化のリスクが生まれるとも考えており、自社でインフラを管理し続けるのではなく、むしろ「専門家に任せる」ことがリスク低減につながるという確信を持っていました。
その中でも「勘定奉行iクラウド」を選んだ理由には具体的なこだわりがありました。
「まず、ダッシュボードがあること。ログインしたら今日すべき業務が表示されていて、すぐに業務を始められるようになっています。当時、会計システムで他にそのような機能を持つものはないように感じたので、他にはない魅力でした。また、すでにAWSやGoogle Cloud(GCP)を基盤とするツールを利用していたため、リスク分散の観点から、Microsoft Azureを基盤に採用しているサービスであることも選定理由のひとつでした。SaaSに移行する話は社内の了承を得て進めていたものの、どこまで理解を得られているのかなというところには正直不安な部分はありました。ただ、今回の攻撃を受けた後、会計システムは無事に動いている様子を見て、SaaS化を進めておいて正解だったと強く思いましたね」
「サイバー攻撃は防げない」という前提に立ち、攻撃を受けても事業を止めない設計にしておくべきだという重要な教訓を得ました。現在、関通ホールディングスはこの被災経験から得た知見を他社へ共有するため、新規事業に活用しています。
今回の被災を通じて、達城氏が強く実感したのは「サイバー攻撃を防ぐことはできない」という現実でした。どれだけ対策を講じていても、高度化・巧妙化する攻撃を完全にブロックすることは極めて困難です。そのため、セキュリティ対策について視点を変えることを推奨しています。
「今回の被災で実感しているのは、『サイバー攻撃を完全に防ぐということはできない』ということと、もう一つは『サイバー攻撃を受けても事業を止めない設計にすることが非常に重要』ということです。今や、ランサムウェアなどのサイバー攻撃はもうどの企業がいつ受けてもおかしくない時代です。だからこそ『サイバー攻撃を受ける前提』で、セキュリティ対策を考える必要があると思います。」
そうした対策の具体的な選択肢のひとつが、今回の「勘定奉行iクラウド」のように、社内ネットワークとは切り離されたSaaS型クラウドの活用だと言えます。
また、達城氏は、同じ境遇に置かれる可能性のある経営者・担当者へ向けて、以下のように率直なメッセージを発信しています。
「今後、経営者にはセキュリティに対するリテラシーが必須となるでしょう。まずは、このサイバー攻撃に対するセキュリティ対策というのを、経営者の方には経営課題の一つとして捉えていただきたいと思います。そのためにも、経営層が情報システム担当者の声に耳を傾ける時間を作る必要があります。また、それを踏まえたうえで、セキュリティ対策を『自分たちでどうにかできる』と思わないことも重要です。セキュリティは専門性が高く、自社だけでノウハウを蓄積するには限界があるため、過信を捨てて、専門家の知見を積極的に取り入れる姿勢も求められるでしょう。」
関通ホールディングスは被災後、自社のセキュリティ基盤を抜本的に見直し、ノウハウを社内に蓄積するとともに、その知見を社会に還元するという新たな事業を立ち上げました。それが「Cyber Governance Lab株式会社(サイバーガバナンスラボ)」です。達城氏が代表取締役社長を務めるこの会社は、被災体験と復旧プロセスから得たノウハウを提供し、専門家と協業して、企業のサイバー攻撃対策を支援します。
関通ホールディングスが、被災経験を社会に還元する背景について、達城氏は以下のように述べています。
「現場を預かる立場として、何よりも避けたいと願うのは『業務が止まること』です。ランサムウェア攻撃を受けて業務が止まってしまうと、現場も管理側も何もできない状態になってしまいました。そういう状態を避けるためにも、被災体験とノウハウを社会に還元し、一社でも強い組織にしていくためのご協力ができればと考えております。」
攻撃前に「勘定奉行iクラウド」へ移行していたことで会計データの破損を免れ、さらに復旧作業時の煩雑な労務管理も「奉行Edge 勤怠管理クラウド」をスピード導入することで乗り越えることができました。
関通ホールディングスの被災経験が示す最大の教訓は、「サイバー攻撃は防げない。だからこそ、業務が止まらない設計をする」ということです。今や業種・規模を問わず、あらゆる企業がサイバー攻撃の標的となりうる時代であり、サイバー攻撃を受けることを前提として、いかにして事業を継続させる仕組みを整えておくかが重要だと言えます。
今回、関通ホールディングスの事業継続を支えたのはOBCの「勘定奉行iクラウド」と「奉行Edge 勤怠管理クラウド」の2つです。
これらのサービスの最大の特長はランサムウェア攻撃を無効化する「権限分離設計」です。Microsoft Azureをクラウド基盤に採用しており、OSの「特権」はMicrosoftが一元管理しており、OBCを含む第三者が触れない仕組みになっています。そのため、OSの「特権」が乗っ取られるリスクがなく、ランサムウェア攻撃が成立しません。もちろん、ソフトウェア側のセキュリティ対策も施されており、なりすまし対策やIP接続制限、データの保管・通信時における暗号化による保護、24時間365日の監視体制、定期的な脆弱性診断テストなどを実施しています。また、データセンターはすべて日本国内で6重のバックアップ体制を敷いています。さらに、運用管理体制についても「SOC1/SOC2」「ISMAP」など独立機関による第三者評価も得ている安心な会計システムです。
SOC1/SOC2
SOC1およびSOC2は、委託業務に関する内部統制を第三者が評価・報告する監査報告書のことで、いずれも国際的な基準に基づき実施される。SOC1は、アウトソーシング事業者が委託されている業務のうち、委託会社の財務報告に係る内部統制の適切性・有効性を対象とした保証報告書で、SOC2は、ある一定期間におけるクラウドサービス会社のセキュリティの内部統制を評価する保証報告書を指す。
ISMAP
ISMAP(政府情報システムのためのセキュリティ評価制度)とは、政府が利用するクラウドサービスの安全性を評価・登録する制度のこと。登録されているクラウドサービスは、ISMAP運営委員会が定めた厳しいセキュリティ要求基準を満たしている。国家サイバー統括室・デジタル庁・総務省・経済産業省が共同で運営する。
また、スピーディーな導入で、復旧作業の混乱期に現場の労務管理を支えた「奉行Edge 勤怠管理クラウド」は、利用環境に合わせた様々な打刻方式に対応し、勤怠集計も自動で完結するほか、自社のルールに沿って有休を自動付与するなど、漏れのない適正な労働時間管理を実現できます。自社の36協定に合わせて「時間外・休日労働時間」も自動集計し、上限を超過しそうな従業員の監視とアラートも自動化するため、違反も未然に防げます。
ランサムウェア攻撃に強い、SaaS型クラウドの会計システムや勤怠管理システムをお探しの場合は、ぜひOBCにご相談ください。