中小企業がゼロから始めるセキュリティ対策 ココだけは死守したい3つのリスク：特集：中堅・中小企業が導入するEDRの現実解（2）

サプライチェーン攻撃が激化している今、予算やリソースに余裕がない中小企業はこれにどう立ち向かうべきか。中小企業のセキュリティインシデント被害事例と、実態に即した対策を川口設計の川口 洋氏が語った。

[宮田健，ITmedia]

　「ITmedia エンタープライズ」編集部は特集企画「消失、漏えいは死活問題　中堅・中小企業が導入するEDRの現実解」を実施している。

　同特集は、実際の被害事例や有識者が考えるセキュリティリスクを明らかにし、中堅・中小企業がEDR（Endpoint Detection and Response）製品を選ぶ際のポイントや賢い予算の組み立て方といった、リソース不足でもできる実践的なセキュリティ対策を解説する。

特集：中堅・中小企業が導入するEDRの現実解の関連記事

　今回は著名なセキュリティアナリストである川口設計の川口 洋氏（代表取締役）に、中堅・中小企業のリアルな実態とセキュリティインシデントの現状、事件の裏にあったであろうストーリー、そして「どこまでセキュリティ対策をすべきか」という永遠の問いに対する答えを聞いた。

「運用以前の問題」　ニュースでは報道されない中小企業の実態

　最近、国内企業、特に大企業のサプライチェーンに連なる中堅・中小企業を狙ったサイバー攻撃が多発している。業務停止を引き起こしたインシデントで近年大きな話題を集めたものとしては、大阪急性期・総合医療センターのランサムウェア被害事例が挙がるだろう。

　調査報告書にもあるように、この事件では病院内システムへの侵入は関連する給食委託事業者を経由して実行された。リモートメンテナンスに使われていたVPN機器の脆弱（ぜいじゃく）性が狙われたと見られている。外部事業者の接続点、特にVPNの入口を狙った侵入手法はサイバー攻撃の常とう手段であり、企業規模にかかわらずどの企業でも注意する必要がある。

　ただ、川口氏はこのような大きな事例だけでなく、報道などで明らかになっていないところでも中堅・中小企業を狙ったセキュリティインシデントが発生している点にも目を向けている。

川口設計の川口 洋氏

　「中堅・中小企業を狙ったサイバー攻撃の中では、電子メールからの侵入は古典的だが今も有効な手段だ。多くの組織がメールセキュリティ製品などで悪意ある電子メールをフィルタリングしている。しかし不審なウイルス付きメールがフィルターをすり抜けたり、従業員教育が行き届いておらずこれを開いてしまったり、そもそもフィルタリングをしていなかったりするケースもある」（川口氏）

　これを聞くと多くの読者は「あまりにもセキュリティ対策ができてないのではないか」と感じるかもしれない。だが川口氏によると、「CSIRT（Computer Security Incident Response Team）を構築していない」「セキュリティ担当者がいない」といったレベルですらなく、総務の担当者がITおよびセキュリティを担っている中小企業も多くあるのが実態だという。

　川口氏は「実際のところ『運用を回す』以前の段階にある企業も多く存在する。ウイルスメールが自社に着弾しても気が付かず、乗っ取りの被害に遭い、自社から取引先にウイルスメールが送信され、それを取引先に指摘されて初めて被害に気が付くのが実情だ。中小企業は脅威に自発的に気が付く能力が低いといえる」と主張する。

意識が低いというより「セキュリティ対策をする余裕がない」という現実

　大企業と中堅・中小企業のセキュリティ意識は、スタート地点からして大きく異なっている。川口氏によると、中小企業が日々考えなくてはならないのは、キャッシュフローや取引先への営業など事業活動そのものであり、セキュリティの優先順位はどうしても低くせざるを得ない。

　「（こうした企業は）電子メール経由でウイルスに感染したとしてもそれほど脅威とは捉えない。取引先から『あなたの企業からウイルス付きメールが届いた。これが改善されるまで、あなたの企業からの電子メールは全部止める』と言われて初めて、サイバー攻撃をビジネスに直結する脅威と認識して対処する。セキュリティ意識が低いというよりは、対策する余裕がないのが現実だ」（川口氏）

　では中小企業はサイバー攻撃にどのように対処するのか。川口氏の知る事例を紹介しよう。ある旅行会社が3月にマルウェアに感染し、社内PCの多くが被害に遭った。旅行会社における“3月”とは、2カ月後に控えた大型連休の予約を受ける書き入れ時だ。専門部署のある大企業であれば、SOCやCSIRTなどを通じてマルウェア感染を食い止め、問題を切り分けるなどの原因究明に動くだろう。しかしその旅行会社が採った手段は下記のようなものだった。

　川口氏は「その企業はPCのリース元に電話し、『今から新しいPCを300台持ってくるように』と指示した。ランサムウェア被害ではなかったためデータは保全されており、PCの汚染を新機種に置き換えることで対応したのだ。その会社は『Active Directory』を運用していなかったため、サイバー攻撃者側もラテラルムーブメントできなかったことが功を奏した。PCは結果的にアップデート済みの最新の状態になり、そこから大きな事件は起きていない」と語る。

　つまり、中小企業で今生き残っているところは、セキュリティ対策を講じる余裕はなく、インシデントの原因追及よりも先にビジネスを立て直すことに意識が向いている。そうしなければ会社そのものが無くなってしまう。EDRの運用どころか「運用が必要」というだけで難しいのが実情だ。

　「中小企業はもはや原因の究明など求めておらず、解決策だけを欲しがっている。多くのセキュリティベンダーが中小企業にソリューションを売り込んでいるが、大企業が要求するレベルとは異なることを理解すべきだ。日々生き残ることに必死な中小企業に向けたセキュリティは、どこにフォーカスするかが非常に重要になる」（川口氏）

中小企業の3つのリスクに沿ったセキュリティ対策を導入せよ

　川口氏はこの現状を踏まえて、「中小企業は3つのリスクに対して優先的に対策する必要がある」と指摘する。その3つは重要度順に以下の通りだ。

1. お金がなくなること
2. 取引先に迷惑を掛けること
3. 業務が停止すること

　この優先度を考えると、中小企業は「お金」に直結する受発注管理システムや経理システムがインストールされているサーバをと真っ先に守らなければならないことが分かるだろう。

　サイバー攻撃者に一度侵入を許せば、社内の受発注システムやファイルサーバが攻撃の対象となる。川口氏はこれについて「社内サーバが攻撃されるのは、ほぼ脆弱なパスワードに起因している。企業規模に関係なく、多くの従業員が同じパスワードを使い回す。社内システムに侵入できてしまえば、同じパスワードを使ってリモートデスクトップやSSHにつながってしまう。それが大きな問題だ」と指摘する。

　そのため本来は社内サーバに対してもEDRのような仕組みを導入することが望ましいが、川口氏によると、社内サーバとして利用しているソフトウェアがEDRを入れるとサポート対象外となるなどの現状から、ウイルス対策ソフトすら導入していない中小企業も多いという。

　もう一つ、「お金を守る」という観点でいうと「ネットバンキング端末」も重点的に保護する必要があるだろう。今でも銀行口座にアクセスされ、不正送金される事例は多く発生している。会計担当のPCやID／パスワードの保護は必要不可欠だ。

　ではこれらを保護するためにはどのようなセキュリティ対策が有効なのか。川口氏はEDRの導入には一定の効果があると考えている。

　「サプライチェーンでインシデントが発生したとき、取引先の大企業があなたの組織に『問題が起きたら原因を調査して説明せよ』と言ってくるだろう。そのときにEDRを導入しているかどうかが大きな分かれ目だ。普段の運用ではこれを十分に活用できていなくとも、何かがあったときにログが残り、侵入経路を後から調査できる。ログが残っていれば何とかなることもある」（川口氏）

　川口氏は加えて、「さらにいえばEDRが有効な投資となるには、人の手間をかけた運用ではなくこれがセットとなっているもの、つまり『自動化』されていることが望ましい。脅威を検知したときに自動で隔離してくれる機能が備わっているかどうかは非常に重要なポイントだ。人手を介さずに隔離されていれば、被害も広がらず、他の端末に影響が起きない。大手企業であればCSIRTや外部のMSSPが対応する部分だが、中小企業にとっては隔離され、ログが残ることこそが重要だ。物理的にLANケーブルを抜かなくても隔離される機能が土日夜間を問わずに動いていれば、全ての端末が全滅してしまうといった事態は避けられる」と語る。

「セキュリティ対策どこまでやればいい？」の正解とは

　川口氏はこれまで、多くの相談を受ける中で「セキュリティ対策はどこまでやればいいか」と問われることが多く、その都度相手の状況を想像しながら回答していた。しかし今では、それに対する明確な答えとして「ランサムウェアで事業を停止させないこと」を一つのマイルストーンにしている。これは企業規模にかかわらず共通のポイントだ。

　ランサムウェア被害を防ぐためには、EDRの導入効果を最大限引き出す必要がある。そのためにもパスワードを十分に管理し、アップデートも必ず適用するという基礎的な対策を怠ってはいけないと川口氏は話す。

　「すてきなエアバッグ、十分なブレーキシステムのあるよい自動車に乗っても、飲酒運転していたらダメだ。高い金を払っても意味がなくなる」（同氏）。

　中小企業はセキュリティ対策以前に、生き残ることで頭がいっぱいだ。そのため楽にできるものから少しずつ実施していくことが対策の鍵となる。EDRはそのきっかけとしては最適な選択肢となるだろう。常に一定のキャッシュが必要な中小企業にとってサブスクリプション型のサービスは“やめたいときにやめられる”のも理にかなっている。

　その他、中小企業は平時の段階でセキュリティベンダーと「小さな契約を結び口座を開いておくのもいい」と川口氏は述べた。いざというときに取引があるのとないのとでは対応の初速が異なってくるという。

　川口氏は最後に「中小企業はとにかく『お金を守る』ことに注力すべきだ。これは銀行が推奨するセキュリティ対策が参考になる。EDRを入れて終わりではなく、『弱いパスワードを使わない』『アップデートを適用する』といった対策を徹底してほしい」と締めくくった。