DXやデジタル化が進むことでサイバー攻撃の脅威が増えていく

最近、取引先がサイバー攻撃を受けたことでメーカーの生産ラインが止まったり、医療機関が持つ電子カルテを閲覧できなくなったり、といった事件が増えています。このように、今ターゲットは大企業に限ったことではなく、どの組織であってもサイバー攻撃の対策が急務だと言われています。そこで、日本におけるサイバーセキュリティの第一人者で、企業のセキュリテイ対策支援にも取り組む、名和利男氏に話を聞きました。

「今は日本全体でDXが進むなか、サイバー攻撃の対象となる領域も飛躍的に広がっています。ひと昔と異なり、現在の企業はオンプレミスやクラウド、ハイブリッドなど、それぞれ異なるシステムを活用しています。それにあわせて手口を柔軟に変える多彩な攻撃方法が増えており、対策もより難しくなってきています」

今や3〜4時間に1回の頻度で新しい手口によるサイバー攻撃の脅威が発生していると言います。今までの方法に合わせて対策をとれば、それ以外の弱い領域を見つけ、巧妙に攻めてくる。そのため、「一度、対策を講じたからしばらくは大丈夫だ」と考えるのは危険なことだと、名和氏は指摘します。

「今は、膨大な顧客情報や重要な機密情報を抱える大企業だけ標的だとは限りません。あらゆる企業や団体がネットワークを介して繋がるようになってきているため、大企業への偵察攻撃のきっかけとして、中小企業が狙われるケースが増えているのです」

実際に、大手自動車メーカーの取引先部品メーカーが、サイバー攻撃を受けた事件が大きなニュースになりました。この事例では、サイバー攻撃による被害は部品メーカーだけに完結したものでした。ですが、これにより工場の稼働が止まってしまったため、結果的に車の生産が一時的にストップするという、大きな影響を社会にもたらしました。

「今後もサプライチェーンを狙った攻撃は確実に増えるでしょう。とくに今は、中小企業のIT化が急ピッチで進んでいます。リモートワークやITツールの活用が広がり、契約業務などもオンラインですぐに行うことが増えています。それにともない、セキュリティリスクも大きくなっています。請負元や地方自治体、業界団体などからDXを強く求められている企業は、特にサイバーセキュリティ対策を進める必要があります」

「数千万円規模の損害が発生する」という危機意識を経営者は持つべき

ここまで強調してきたように、中小企業におけるサイバーセキュティ対策は急務です。そのため、関係省庁が注意喚起や啓発活動を行なっており、最近では大企業もサプライヤーや業務委託先にセキュリティ強化の要請をしています。

ところが、大企業が要求するセキュリティ対策をきちんと行えている中小企業は、ほとんどないと名和氏は言います。

「中小企業のセキュリティ対策が進まないのは、経営者層にまだ危機意識が足りないからだと思います。サイバー攻撃の脅威を知らず、いつか被害に遭うかもしれないという意識が希薄なのでしょう。ですが、最近になって中小規模の病院がランサム攻撃によって、電子カルテを見られなくなったり、診療ができなくなったりする事件が相次ぎました。このようなことは、日本のあらゆる中小企業において、いつ起きてもおかしくありません」

事業を営んでいる以上、従業員やお客様、取引先の情報は必ず持っているものです。それらが一度漏洩すれば、大きな信頼失墜につながります。また、業務の多くにITが不可欠になった現在、サイバー攻撃によってシステムがダウンすれば、事業そのものの継続すら困難になる可能性があります。

「中小企業でもサイバー攻撃によって、数十万円から数千万円の損失が一気に発生することがありえます。復旧にもコストと時間がかかり、事業が継続できなくなる可能性すらあります。場合によっては顧客から取引を停止され、破産してしまうことすらあるでしょう。よって経営者は、この問題に真剣に取り組む必要があるのです」

まずはアカウント乗っ取り防止と脆弱性対策から始めよう

中小企業こそサイバーセキュリティ対策が重要であることは、ご理解いただけたのではないでしょうか。ここからは、具体的にどのような対策をとればよいのでしょうか。

「今は総務省や経産省、警察庁などの関係省庁が、ホームページでわかりやすく情報を発信しています。例えば、総務省の「国民のためのサイバーセキュリティサイト」（※1）やIPAの「情報セキュリティ対策支援サイト」（※2）、またユーチューブにもさまざまなサイバー攻撃関連の動画コンテンツがあります。これらを日頃からよくチェックし、常に情報をアップデートしていくことが大切です」

（※1） 総務省「国民のためのサイバーセキュリティサイト」
（※2） 独立行政法人情報処理推進機構「情報セキュリティ対策支援サイト」

具体的な対策については、IPAの「中小企業の情報セキュリティ対策ガイドライン」（※1）や内閣サイバーセキュリティーセンターの「小さな中小企業とNPO向け情報セキュリティハンドブック」（※2）、経済産業省の「サイバーセキュリティ経営ガイドライン」（※3）などの重要な情報が詰まったガイドラインなどを、ホームページで簡単に入手することができます。これらを元に、自社でできることから段階的に取り組むことを、名和氏は推奨しています。

（※1） 独立行政法人情報処理推進機構「中小企業の情報セキュリティ対策ガイドライン」
（※2） 内閣サイバーセキュリティーセンター「小さな中小企業とNPO向け情報セキュリティハンドブック」
（※3） 経済産業省「サイバーセキュリティ経営ガイドライン」

「これまで何の対策もしてこなかった企業は、まずは今すぐにでもアカウント乗っ取りに関する対策を行なってほしいと思います。今、中小企業に対するアカウントジャックが非常に増えています。残念ながら、いまだに単純なパスワードで社内システムやクラウドサービスにアクセスできてしまう会社があります。

パスワードを複雑にし、一度使ったパスワードを使いまわさないことはシステムを利用するうえでの大前提です。そのうえで、大企業とのやりとりがある会社などは、スマホへのパスコード送信や指紋認証などを組み合わせた二要素認証もぜひ導入してほしいと思います」

実は、セキュリティリスクで一番大きいのが、人為的な要因だと言われています。よってまずは社員への啓発や教育を徹底し、サイバーセキュリティに関する社員全体の意識を高める必要があります。そのうえで、ネットワークの脆弱性対策を進めていきましょう。

「基本的なことですが、OSやソフトウェアを常に最新の状態にし、ウイルス対策ソフトを導入する。無関係な人がシステムや機器を使うことができないよう、共有設定を見直す。さらに、リモートワークが増えた現在、エンドポイントのセキュリティを強化するEDRというソリューションもできれば導入したほうがいいでしょう」

被害を広げないためにインシデント対応計画を練り上げる

しかし、ガイドラインなどで推奨されている対策をきちんと行なっていても、攻撃者は次々と新たな手口で攻撃をしかけてきます。よって、完璧に攻撃を防ぐことはそもそも不可能だと、名和氏は言います。それよりも運悪く被害が発生したときに、いかに損失を最小限に抑えるかという観点からの対策や準備をすることが重要になってきています。

「いざサイバー攻撃を受けると、あわてて被害をさらに拡大してしまうことがよくあります。そのため、被害が起きたとき冷静に対応ができるよう、事前にインシデント対応計画をつくっておくといいでしょう。被害が起きたときの緊急連絡先なども用意し、関係先との合意形成もしておくのです。そうすれば、取引先への影響も最小限に抑えられる可能性があります。インシデント対応計画は、ぜひセキュリティに詳しい専門家の助言のもと、自社に合ったものを作成することをおすすめします」

さらに有効なのが、実際にサイバー攻撃が起きたときにどう対応するかを模擬的に体験する、サイバー演習に参加することです。

「最近は総務省や経産省、警察庁などが無料のサイバー演習の機会を提供しています。ネットで調べればすぐに情報は得られますので、ぜひ一度、参加することをおすすめします。サイバー演習を行うことで、セキュリティに対する意識を高めるとともに、インシデント対応計画をより有効なものへブラッシュアップさせることができるからです」

名和氏自身も中小企業を経営しており、厳しい経営環境のなか、成果が数字に現れないサイバーセキュリティ対策に、予算や労力を積極的に割きにくい経営者の立場もよく理解できると言います。

「私が自分の会社でセキュリティ対策を行なっているのは、サイバー攻撃の脅威、それによって会社がどのような被害を受けるかを誰よりもよく知っているからです。もし、自社がサイバー攻撃を受けたら、どのような損失がでるのか。取引先や顧客にどのような被害を与えることになるのか。そのことをしっかり理解すれば、サイバーセキュリティ対策が事業を継続し、発展させるうえで欠かせない、重要な投資であることに誰もが気づくことでしょう」

まずは、経営者がサイバー攻撃の脅威の正体を知ること。中小企業における対策のポイントはそこに尽きると、名和氏は最後に改めて強調しました。