狙われるサプライチェーン 「当社は大丈夫」は通用せず、知らぬ間に“加害者”に? 中小企業の注意ポイントは?
「サイバー攻撃? 当社が狙われるわけがない」――こうした考え方から脱しきれていない経営者がまだまだ存在する。特に、セキュリティ対策に回す予算や人員に余裕がない中堅・中小企業で根強いようだ。
しかし実際には、不正アクセスによる情報漏えいや、重要なファイルを暗号化して復旧と引き換えに身代金を要求するランサムウェアによる被害が国内でも多発している。ひとたびサイバー攻撃を受けると、自社が被害に遭うのみならず、顧客や取引先、パートナー企業にも影響が及ぶ。
その結果、取引先が被った損害を賠償したり取引中止になったりといったダメージを負うケースもある。必要なセキュリティ基準を満たさなければサプライチェーンから外される可能性も捨てきれない現在、大企業だけでなく中堅・中小企業にとっても“最低限のセキュリティ対策”は不可欠といえるだろう。
さらにデジタル化やDXを安全に進めるためにもセキュリティ対策は必須だ。しかし、こう訴えてもその必要性は依然として伝わりづらい。そこで今回、さまざまな企業のセキュリティ対策を支援するソフトバンクに被害や対策の具体例を聞いた。企業のビジネスを守る一助になれば幸いだ。
サイバー攻撃の被害 「サプライチェーン全体に影響を及ぼす恐れ」
かつて、サイバー攻撃は「被害に遭う企業の問題」と捉えられ、影響も1社の範囲内のみで語られがちだった。しかし生産・流通網が複雑に絡み合い、ネットワークを通じて取引先やパートナー企業とつながるようになった現在、サイバー攻撃が取引先やサプライチェーン全体に影響を及ぼす恐れがある。
ソフトバンクの田頭直樹氏(法人プロダクト&事業戦略本部 セキュリティ事業統括部 セキュリティデザイン推進部 プリセールス推進課 課長)さまざまな攻撃手法があるが、被害が多いのがメール起点の脅威だ。実在する取引先の名前をかたってマルウェアに感染させる手法で、添付ファイルを攻撃の入り口にする「Emotet」が典型例にあたる。感染した企業が踏み台になり、その企業の取引先にもEmotetを拡散させるケースが起きている。その発端はセキュリティ対策が弱い企業になりがちだと、ソフトバンクの田頭直樹氏は指摘する
こうしたランサムウェアは、メール以外にもVPN機器やリモートデスクトップ接続の脆弱(ぜいじゃく)性からの侵入や、悪意あるWebサイト経由など感染経路が幅広い。ひとたび社内に侵入すると内部で感染を広げ、強い権限を持つアカウントを乗っ取って機密情報を窃取する、事業基盤を停止させて復旧と引き換えに身代金を要求するなどの悪さをする。
ソフトバンクの小林正和氏(法人プロダクト&事業戦略本部 法人事業推進第1統括部 ソリューション営業推進部 推進2課)「社内業務が停止することに加え、顧客向けサービスも継続できなくなります。その結果、問い合わせ対応に追われるだけでなく、本来得られるはずの利益まで失ってしまいます。さらに原因調査や再発防止策の実施などコストがかかる、顧客や取引先からの信頼を失うなど被害範囲は計り知れません」――ソフトバンクの小林正和氏はこう話す。
自社が“加害者”に!? 被害だけではない恐ろしさ
サイバー攻撃の影響は、自社だけでなく関連する取引先やサプライチェーンにまで及びかねない。国内でも、大手自動車メーカーの下請け企業がランサムウェアに感染し、最終的に複数の工場で製造ラインが停止してしまうケースがあった。
「例えば不正アクセスによって漏えいした情報には、取引先に関する内容も含まれる場合が多いでしょう。すると取引先の顧客にまで迷惑を掛けてしまう。自社が金銭的な被害を受けるだけでなく、“加害者”になってしまう可能性もあります」(小林氏)
こうした事態を踏まえ、サプライチェーンの上流に位置する企業側も対策に乗り出している。例えば日本自動車工業会と日本自動車部品工業会は共同で、業界全体のセキュリティレベルを底上げすべく「自動車産業サイバーセキュリティガイドライン」を策定した。その中で対策すべき項目をまとめたチェックシートを公開し、自動車産業に関わる全ての企業に対して対応を求めている。
ソフトバンクにも、そうした企業からチェックシートへの対応に関する相談が寄せられている。また、インシデントの報道などを見て「自社ではきちんと対策している」と言えるようにしたいという問い合わせも増えていると小林氏は説明する。
被害に遭っているか分からない――企業の現状に警鐘を鳴らす
セキュリティ対策を進めようにも、簡単にはいかないのが現状だ。セキュリティ対策も万全ではなく、人員も知見も不足している中堅・中小企業の場合、そもそも自社がサイバー攻撃の被害に遭っているのかどうかすら分かっていないケースがあると小林氏は警鐘を鳴らす。外部からの指摘で情報漏えいに気付くケースも珍しくない。攻撃や被害に気付けなければ、インシデント対応が後手に回ってしまう。
そこで中堅・中小企業の現状を変える第一歩として、ソフトバンクがまず提案するのは「現状の可視化」だ。データや機器類など自分たちが守るべき対象を把握することで、効果的な対策を進められる。
その参考の一つが情報処理推進機構(IPA)の「中小企業の情報セキュリティ対策ガイドライン」や、経済産業省の「サイバーセキュリティ経営ガイドライン」などのガイドラインだ。これらは特殊な対策を求めているわけではなく、己を知って防御体制を整え、被害に遭う前に脅威を検知できる運用体制を作るという基礎を説いていると田頭氏は解説する。
「セキュリティ対策に近道はありませんから、まず自社について把握してから順次対策していくのが確実です」(田頭氏)
具体的な対策を紹介 EDRやUTMなど
では、対策は具体的にどう進めればいいのか。まずPCやサーバなどエンドポイントを監視して脅威を可視化する「EDR」で、ランサムウェアなど不審なソフトウェアの振る舞いや異常を早期に発見して封じ込めることが基本的な手段だ。
さらにネットワーク環境は統合脅威管理ツール「UTM」で守ることも有効だ。また、攻撃の起点になりがちなメールの脅威を学ぶ社内訓練も実施できるといいと田頭氏はアドバイスする。
そして防御体制の構築が終わったら、万が一の攻撃を想定した運用の仕組みにも目を向けたい。「セキュリティ製品を導入すればチェックリストは満点」とはならない。インシデントが検知された後にどう対処するか、報告フローの整備や従業員教育などをどうするかの検討も重要だと小林氏は話す。
まずは情報収集から着手 素早い対策につながる
具体的なセキュリティ対策を挙げたが、そこにたどり着く前の企業も多いだろう。そこで最初に情報収集から始めてほしいと小林氏は助言する。世の中にある脅威や対策ツールの情報を集めることで、その後の動きを素早くできる。可能であれば同業他社と情報交換することでお互いに学び得る環境に身を置けるといい。
既にそうした動きは、情報収集を行う業界ごとの非営利組織「ISAC」(Information Sharing and Analysis Center)のような取り組みが始まっている。さらに一から情報を探すのではなく、IT企業やセキュリティベンダーが発信する情報を有効に活用するのが賢い方法だ。ソフトバンクの場合はメールマガジンやセミナーを通して情報提供をしている。
ソフトバンクではセキュリティ対策に関する相談を受けた場合、「製品ありきの提案」はしていない。相談企業と対話して、公の各種ガイドラインを示しながら「どのような脅威があり、対抗策はこれがある」といった情報を提供する。相談企業の課題やニーズを浮き彫りにしてから、「何から進めていくべきか」を一緒に考えている。
まずは現状を可視化し、やるべきことや必要性が見えたら対策方法を検討・提案していく。EDR製品なら小規模な単位で導入できるライセンスを用意するなど、中堅・中小企業に寄り添った施策をサポートできるのがソフトバンクの強みだ。
セキュリティ対策に合格点はない 基本的な取り組みから始めよう
「経営層にとっての最重要課題は、デジタルを活用していかに業績を上げ、競争力を高めていくかです。そこでソフトバンクでは、DXなどデジタル活用のメリットをまず提案し、そのいち要素としてセキュリティ対策についてもお話しできればと考えています。その中で『デジタル化診断』というサービスを使い、企業内でのスマートフォンやデジタルツールの活用状況、セキュリティ対策の現状を可視化し、DXの推進やセキュリティの強化を支援しています」(小林氏)
あれもこれもと余裕がない中で「セキュリティ対策を」と言われても、面倒だと感じるのも理解できる。しかし「この時代、知らぬ間に加害者になってしまうリスクがとても高いので、現状把握と基本的な対策から向き合う」(田頭氏)ことが大切だ。
そしてセキュリティ対策には「この基準以上なら合格」という指標があるわけではない。サイバー攻撃はAIの活用や犯罪集団のビジネス化が進んでおり、対策の穴を巧妙に突いてくるため常に準備や工夫が必要だ。ソフトバンクはこうした状況の中で信頼できるパートナーになることを目指していく。
「当社のセキュリティ対策、大丈夫だっけ?」――こう不安になったら、まずはソフトバンクに連絡してみてはいかがだろうか。いま必要な対策を詳しく教えてくれるはずだ。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:ソフトバンク株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2023年7月16日
ITmediaはアイティメディア株式会社の登録商標です。