足元で相次いでいる、企業や組織に対するサイバー攻撃。求められるのは、供給網全体で機密情報を守る発想だ。

プロフィール
うかい・ゆうじ●1973年生まれ。博士(工学)。Kodak研究開発センターでデジタルイメージングデバイスの研究開発に従事後、渡米。カリフォルニア州eEye Digital Security社に入社。セキュリティー脆弱性分析などに関する研究開発に従事。2007年株式会社FFRIセキュリティを設立。内閣サイバーセキュリティセンター本部研究開発戦略専門調査会など、多数の政府関連プロジェクトの委員、オブザーバーを歴任している。
すぐそこにあるサイバーリスク

 コロナ禍以降、テレワークの普及などデジタル化が急速に進み、中小企業においてサイバーリスク対策のニーズが高まっています。

 サイバーリスクに対する危機感を植え付ける契機となったのは「ランサムウェア」の流行です。ランサムウェアとは、「身代金(Ransom)」と「ソフトウエア(Software)」を組み合わせた造語で、企業が保有する情報を暗号化して、金銭を脅し取るサイバー攻撃を指します。

 ランサムウェアによる被害は、国内企業や組織で相次いでいます。今年2月、国内大手自動車メーカーの取引先である部品製造会社が攻撃を受け、自動車メーカーの国内工場が一時稼働停止に追い込まれました。また、地方の医療機関では、院内のネットワークや電子カルテが利用できなくなり、新規外来患者の受付を中止せざるを得なくなるなど、甚大(じんだい)な影響が発生しています。

 昨今のランサムウェア攻撃では、データの暗号化により事業がストップするだけでなく、情報漏えいリスクも発生します。攻撃者は、企業などから不正に取得したデータを、サイバー犯罪者が使用する「ダークウェブ」と呼ばれるサイトに公開したりします。顧客情報や従業員の個人情報といった機微な情報が流出すれば、企業としての信用が失墜しかねません。

 さらに、ランサムウェア攻撃を受けたパソコンは、侵入可能な端末としてリスト化され、サイバー犯罪者グループが再び攻撃してくるおそれもあります。サイバー犯罪者はマルウェアの開発や身代金の回収など、各自が役割分担し、高度に組織化されていることが判明しています。

意図せず攻撃に加担

 サイバーリスクに対する関心が高まっているもうひとつの背景として、経済安全保障の観点が挙げられます。

 製造業をはじめとする中小企業の大半は、原材料や部品の調達から製造、物流、販売にいたるサプライチェーン(供給網)に加わっています。先にふれた部品メーカーにおける被害例に見られるように、供給網を構成する中小企業においてセキュリティーの脆弱(ぜいじゃく)な箇所が攻撃されると、影響はサプライチェーン全体におよぶ場合があります。足元では、大手取引先からサイバーリスク対策を暗に促す、情報セキュリティー体制確認のためのアンケート書類が届く中小企業も増えているようです。

 サイバー犯罪者が真に標的としているのは、供給網の上流に位置する大手企業の有する機密情報です。ただ、大手企業のサイバーリスク対策は強固であるため、社内ネットワークへの侵入は容易ではありません。

 そのため、攻撃者は標的企業のウェブサイト等で取引先を調べ、サイバーリスクへの備えが手薄と思われる下請け企業を攻撃の起点とするのです。このように、中小企業を”踏み台”として行われるサイバー攻撃は「サプライチェーン攻撃」と呼ばれ、近年脅威が増しています。

 攻撃には、マルウェア付きのメールやフィッシングメールが主に用いられます。攻撃者はパソコンをマルウェアに感染させたり、偽サイトでログイン情報を窃取したりして、下請け企業の端末に侵入し、ターゲット企業の情報を収集します。そして、ターゲット企業の担当者や、システム連携の状況などを把握したうえで、”本丸”である大手企業に徐々に接近していきます。

 マルウェア付きメールによる攻撃手口はこうです。まず、サイバーリスク対策が十分に行われていない企業に対して、マルウェアの添付されたメールを送信します。パソコンがマルウェアに感染後、乗っ取ったパソコンを用いて、別の取引先にマルウェア付きメールを送信するなどして、大手企業から重要データを窃取します。

 メール以外の経路として、脆弱性があるにもかかわらず放置されている、VPN(Virtual Private Network)から侵入される例も増えています。

 サプライチェーン攻撃が中小企業にとって脅威であるゆえんは、侵入されると意図せず攻撃に加担してしまう点にあります。つまり、被害者であるにもかかわらず、意図せず加害者に加担してしまうおそれがあるのです。ひとたび攻撃の踏み台にされると、サイバーリスク対策が不十分な企業との烙印(らくいん)を押され、事業継続に重大な影響がおよびかねません。

VPNの脆弱性が狙われる

 サプライチェーン攻撃に備えるには、自社で保有するデータ(情報資産)を洗い出し、重要度を設定するとともに、漏えい時に発生するリスクを検討する必要があります。基本ソフト(OS)のアップデートに加えて実施しておきたいのが、不審なプログラムを検知するセキュリティー対策ソフトの導入です。

 例えば、TKC自計化システムがインストールされているパソコンでは『TKCウイルス対策プログラム』を利用できます。ウイルス対策ソフトのパターンファイルをこまめに更新し、最新の状態を保つことで、メールに添付された不審なプログラムなどを高い確率で検知できるようになります。

 加えて、テレワーク等を目的にVPNを導入している際は、VPN装置にアップデートが適切に実行されているか、パスワードが初期値のままになっていないか等を確認してください。

 その他、サイバーリスク対策としてぜひ実施してもらいたいのは、「社内ルールの策定」です。

 どんな企業にも、セキュリティーリテラシーの不足している従業員が一定数存在します。業務で使用するパソコンやデータの取り扱いに関するルールを取り決め、社内に周知しておくべきです。膨大なページにのぼる規定集をつくる必要はありません。自社で最低限守るべきセキュリティー上のルールを検討し、A4判用紙1枚ぐらいのボリュームに簡潔にまとめておくとよいでしょう。

公的支援を活用しよう

 情報処理推進機構(IPA)のウェブサイトに掲載されている「中小企業の情報セキュリティ対策ガイドライン」や、「情報セキュリティ関連規程」のサンプル等を参照して作成するのも有効です。

 具体的な打ち手をイメージできない場合は、公的支援を活用するのも手です。

 経済産業省では中小企業を対象とした「サイバーセキュリティお助け隊事業」を展開しており、商工会議所などが窓口となり、ネットワークの監視サービス等を提供しています。IT導入補助金に新たに設けられた「セキュリティ対策推進枠」の補助対象として、お助け隊サービスの利用料が挙げられています(交付申請は2022年8月頃開始予定)。

 ランサムウェアやサプライチェーン攻撃に代表されるように、サイバー攻撃はビジネスの継続に多大な影響をもたらします。近年では、情報セキュリティーを統括する、最高情報セキュリティ責任者「CISO(Chief Information Security Officer)」を置く企業も見受けられるようになりました。中小企業経営者には、サイバーリスクを喫緊の経営課題としてとらえる発想が求められています。

 中小企業を取り巻くサイバーリスクについて縷々(るる)述べてきましたが、どんな企業もサイバーリスク対策において、100点満点を取ることは不可能です。ただ、これまで20点だった状況を60点ぐらいまで引き上げる作業は、むずかしくありません。

 日常業務におけるデジタル化が進展するほど、企業が直面するサイバーリスクは必然的に高まります。クルマを運転する際、自賠責保険に加入するように、ITツールを活用する事業者はすべからく、サイバーリスクに備える必要があるのです。

(インタビュー・構成/本誌・小林淳一)

掲載:『戦略経営者』2022年8月号