神戸大 森井教授が提言する、セキュリティ予算0円の企業でも「できること」：特集：中堅・中小企業が導入するEDRの現実解（3）

ランサムウェア攻撃が激化する中、セキュリティに回す予算やリソースがないと嘆く中堅・中小企業は多く存在する。そういった企業に向けて神戸大学大学院教授の森井昌克氏が“できること”を伝えた。

[田渕聖人，ITmedia]

　「ITmedia エンタープライズ」編集部は特集企画「消失、漏えいは死活問題　中堅・中小企業が導入するEDRの現実解」を実施している。

　同特集は、実際の被害事例や有識者が考えるセキュリティリスクを明らかにし、中堅・中小企業がEDR（Endpoint Detection and Response）製品を選ぶ際のポイントや賢い予算の組み立て方といった、リソース不足でもできる実践的なセキュリティ対策を解説する。

特集：中堅・中小企業が導入するEDRの現実解の関連記事

　第3回となる本稿は、徳島県つるぎ町立半田病院で2021年10月に発生したランサムウェア被害を受けて設置された「コンピューターウイルス感染事案有識者会議」の座長を務めた神戸大学大学院教授の森井昌克氏に、中堅・中小企業のセキュリティの実態と、それを踏まえて採るべき対策を聞いた。

衝撃的な調査から5年　中小企業のセキュリティはどう変わったか？

――中堅・中小企業のセキュリティの実態をお聞かせください。

森井昌克氏（以下、森井氏）：　21世紀に入りサイバー攻撃が組織化されてからというもの、被害企業はますます増加しています。大企業を狙う標的型攻撃が一時期は流行していましたが、大企業側の防御対策が進んだ結果、現在は中堅・中小企業まで企業規模を問わず狙われるようになっています。

　大阪商工会議所と私の研究室は2018年に共同で、食品や製造、建設業者など大阪市内を中心とした多種多業種の中小企業30社を対象にセキュリティ実態調査を実施しました。

神戸大学大学院教授の森井昌克氏

　この調査を実施することになった背景を簡単に説明すると、大阪商工会議所は2017年に、中小企業のサイバー攻撃対策を調査する目的でアンケートを実施し、約600社から回答を得ました。これによると、600社のうち20社が「ランサムウェアに感染したことがある」と回答していました。

　ただ当時はランサムウェアの認知が進んでおらず、中小企業の中には対処はもちろん被害そのものに気が付いていないケースもあり、アンケートだけではその実態をつかむことが困難でした。そのため、より具体的に調査を進めようということになり、2018〜2019年にかけて30社を対象に、実際の企業のネットワークで流れるパケットのやりとりを約4カ月間直接調査することになったわけです。

　調査の結果は驚くべきものでした。簡単に言うと、調査対象の全30社が何かしらのサイバー攻撃を受けており、そのうち約6社は既に非常に致命的な被害に遭っていました。本当は約4カ月の調査が終わってから調査企業に状況を報告する予定だったのですが、あまりにもひどかったので約6社には最初の1週間もたたないうちに調査内容をお伝えして対処に当たってもらいました。

――致命的な被害とは具体的にはどのような状況だったのでしょうか。

森井氏：　恐らくマルウェアに感染しており、他の企業に向けて攻撃を仕掛けていたり、悪意のあるWebサイトとデータのやりとりをしており、高い確率で社内データが漏えいしていたりしました。被害企業の中には、ルーマニアのような全く取引先とは無関係な国と大量のパケットをやりとりしているところもありました。

　ただ問題なのはこの6社というよりも、調査対象の30社が被害に全く気が付いていなかったことでした。被害は当然、「おかしいな」という違和感すらも気が付けなかったのは非常に深刻だと思います。もしかしたらランサムウェアグループなどから来る電子メールをスパム扱いして無視していたのかもしれません。

　この結果を経済産業省に持っていった結果、大変驚かれまして、そこからサプライチェーンサイバーセキュリティコンソーシアム（SC3）という団体の設立や、中小企業対策強化ワーキンググループにおける「サイバーセキュリティお助け隊」制度の創設につながっています。

――調査から約5年が経過しましたが、状況はどう変化していると考えていますか。

森井氏：　攻撃と防御という2つの視点があると思います。攻撃の視点からお話しすると、コロナ禍を経てネットワーク依存の状況が高まった結果、より攻撃は激化していると感じます。サイバー攻撃者は狙えるところから無差別に攻撃を仕掛ける傾向がありますが、大企業がしっかりと防御するようになり、必然的に脆弱（ぜいじゃく）な中小企業が被害に遭っています。

　防御の視点では、この5年間で中小企業がしっかりとした対策を講じるようになったかと言われると必ずしもそうとは言えません。ただ、サプライチェーン攻撃が盛んになっている昨今、Tier1などは大企業からの要求に応えるため比較的、対策を取っていると思います。しかしそれ以降の商流は、上流から「対策をきちんとしてください」といった文書などが回ってきているのかもしれませんが、具体的な指示はないので何をしていいのか分からないのが実情でしょう。

セキュリティ予算に1円も出せなくても“できることはある”

――具体的に何をすればいいのか分からないし、セキュリティ対策に充てる予算やリソースも不足している。苦境に立たされている中小企業はどうすればいいのでしょうか。

森井氏：　一社一社状況は違うはずなので、まずは“自社にとって何が大事か”“何を守らなければいけないのか”を明らかにしなければ対策を立てられません。セキュリティというのは守るべきものがあって初めて成立するわけです。極端な話、守るべきものが一つもなければ対策を講じる必要もないでしょう。

――中小企業には「ウチは重要なデータを持っていない」「守るべきデータなどないからサイバー攻撃者には狙われない」と考えているところもありますが、実際には「重要なデータはあるが、その重要性を理解できていない」という状態なのですね。

森井氏：　例えば、どこの会社と電子メールのやりとりをしているのかということだけが漏れたとします。これは流出させた企業からしたら大したことないと思うかもしれませんが、攻撃者からすれば、この情報を手掛かりにして詐欺や偽の情報をばらまくことだってできるわけです。自社にとって一見大したことない情報でも見方を変えれば重要情報になる可能性もあるということです。

　ですから重要なのは、サイバー攻撃による被害をいかにジブンゴト化するかなのです。もし対策を講じなければ、サイバー攻撃を受けて情報漏えいなどを引き起こし、サプライチェーンの企業からの信用を失って取引停止、最悪の場合、廃業する可能性があるというところまで想像力が及べば、自発的に対策を講じられるのではないでしょうか。

　そして対策を講じるときには“できる”“できない”という0か1で考えるのではなく、自分たちのできる範囲で実行するのが大事です。“セキュリティ予算に1円も払えない”という企業でも何かしらできることはあるので、それをしっかりと考えることです。

――例えば、予算がない中小企業がまずやるべきセキュリティ対策とは何でしょうか。

森井氏：　先ほども言った通り、自社にとって重要なデータとは何かを明確にし、それらのデータの中でも優先順位を付けることは予算に関係なく実行できます。ではランク付けしたデータをどう守るかを考えて、現状の予算や方法では対処しきれないとなれば、極端な場合、不便にはなりますがネットワークから外すということも選択肢に入れる必要があるかもしれません。

　もし自社で対処できないようなら周囲の人や取引先、ベンダーに知恵を借りてみましょう。完璧に対応してくれるかというと別の話ですが、ベンダーはある程度の安全・安心を確保するために少しは協力してくれるはずです。頼ったときに「われわれでは受けられません」とか「よく分かりません」と言ってくるベンダーがいたら、取引をやめたほうがいいでしょう。

　もう一つお伝えしておきたいのは、“○○をしているから安全”といったように、一つの対策を講じていれば万全だと思い込まないことです。特にセキュリティに詳しくない中小企業は“これをやったから大丈夫”と思いがちですが、物事はそう単純ではありません。やはりゼロトラストセキュリティの考え方に基づいて対策を講じることが大事です。

――その他、予算やリソースが不足している中小企業のセキュリティ対策に役立つ制度などがあれば教えてください。

森井氏：　先ほどもお話しした「サイバーセキュリティお助け隊」を活用するのはお勧めです。現時点で約40社が認定を受けて、中小企業向けのワンパッケージのセキュリティサービスを提供しています。初期費用などは除きますが、月額1万円以内のサービスなので、さすがに1000人規模の企業をそれだけでまかなうのは難しいかもしれません。しかし、サイバー攻撃に対して最低限の準備しかしていないといった中小企業であれば、有効に機能するでしょう。この他、経営課題を解決するためのITツール導入を支援する「IT導入補助金」も活用すると良いと思います。

サイバー攻撃の本質は“分からない”ということにある

――自社のセキュリティ対策を万全と思わず、常に自分たちにできることを考えて改善することが重要なのですね。最後にセキュリティ対策に悩む中小企業に向けてまとめのメッセージをお願いします。

森井氏：　まず覚えておいてほしいのは、サイバー攻撃の本質は“分からない”ということです。攻撃者の視点で考えると、攻撃がバレた時点で対策を講じられてしまうわけですから、これを巧妙に隠そうとします。事実、先述の調査では30社全てが攻撃を検知できていませんでした。ランサムウェア攻撃に遭ってはじめて自社の被害に気が付く企業がいますが、このときにはもう手遅れになっているケースが非常に多いです。

――つまり、何を守るべきかを明確化した後は、攻撃を検知することが重要になるわけですね。

森井氏：　はい。既存のウイルス対策ソフトによる検知にはどうしても限界がありますから、ぜひ高機能でなくてもいいので低価格のEDRを導入して検知力を高めることを推奨します。もちろん全ての社内端末にEDRを導入できるのが理想ですが、予算の問題から実際それは難しい場合もあると思うので、できる範囲で入れるのが重要です。

　サイバー攻撃の被害を受けている中小企業の多くが、脆弱性を放置していたり、"弱い"パスワードを使っていたりと最低限の基本的な対策ができていません。これさえ講じていれば狙われる可能性は低減されるのでぜひ気を付けてほしいと思います。

――本日はありがとうございました。