トピックス 2022.03.23 サプライチェーン攻撃から内部犯行まで。卑劣なサイバー犯罪から企業を守る方法とは。

5回目となる今回は、株式会社Dirbato（ディルバート）シニアマネージャーの桐生健一さんから企業におけるセキュリティ対策についてお話をお伺いしました。

近年、産業スパイやプロ集団による悪質なサイバー攻撃が増加し、多くの企業が甚大な被害を受けています。

「テクノロジーで世界に喜びを」をミッションとし、最先端技術を武器に、企業の中核システムを支援する「株式会社Dirbato」。

桐生さんは、セキュリティ事業の責任者として、サイバー攻撃の脅威から顧客を守り、セキュリティの重要性を啓蒙する活動を行ってきました。

桐生さんのインタビューは前編と後編にわたってお送りします。

前編では、激化するサプライチェーン攻撃の現状と課題、内部犯行へのセキュリティ対策についてご教授いただきました。

セキュリティ通信：
近年、中小企業のセキュリティの脆弱さを突いたサプライチェーン攻撃が問題になっています。中小企業が標的にされる理由について教えてください。

桐生さん：
一般的に、中小企業では「盗まれて困るような情報は保持していない」「サイバー犯罪に狙われるわけがない」という思い込みや意識の甘さがあるのではないでしょうか。

IPA（独立行政法人情報処理推進機構）が公開している「情報セキュリティ10大脅威」でサプライチェーン攻撃の事例を目にしても、「自社でも起こりうるリスク」として捉えるのは難しいかもしれません。

また、リスクを理解していても、マネジメントの観点から、セキュリティ対策に多大なコストをかけられないのが現状です。

セキュリティ通信：
来年度に向けて予算を編成している企業も多いかと思います。中小企業がセキュリティに投資する金額の目安があれば教えてください。

桐生さん：
企業の規模や業種によって異なりますが、売上が100億円未満の中小企業では「IT投資の15パーセント」がセキュリティ予算の目安です。

例えば、システム開発やインフラなどIT投資額が1億円の中小企業では1,500万円がセキュリティ予算になりますが、実際にそれだけの金額を投資するのは難しいかもしれません。

なぜなら、セキュリティやコンプライアンスは企業にとって非常に重要である一方で、DX戦略のように周囲から大きな注目を集めることがなく「投資」ではなく「コスト」と捉える傾向があるからです。

セキュリティ通信：
可能であれば予算を抑えたいと考える経営者もいらっしゃるかもしれませんね。IT投資15パーセントのセキュリティ予算の内容について教えてください。

桐生さん：
法人向けウイルス対策ソフトやファイアウォールの導入、情報管理の徹底に加えて、セキュリティを専門とする人員を社内に常駐させることが望ましいでしょう。

さらに、親会社である大企業と取引する場合には「標準ガイドライン」などに記載されたセキュリティに関する項目を満たさなければいけません。

具体的には、顧客情報の取扱いに専用端末を用いているか、規定のウイルス対策ソフトを導入しているかなど数百項目以上が設けられているので、それらをクリアするためにも予算が必要です。

セキュリティ通信：
それほど厳重なセキュリティ対策を行っていても、サイバー攻撃を受けるケースはあるのでしょうか？

桐生さん：
昨年(令和3年)7月に、大手食品会社が大規模な「ランサムウェア」の攻撃を受けて、同時多発的にサーバーや端末のデータを暗号化されてしまいました。

この企業では、グループ会社も含めてセキュリティを徹底してきましたが、企業情報や個人情報の一部流出に加えて、四半期報告書の提出が2カ月遅れる深刻な事態に陥っています。

セキュリティ通信：
身代金を目的とするランサムウェアの被害は増加しているのでしょうか？

桐生さん：
昨年10月には徳島の公立病院が、国際的な犯罪組織によるランサムウェアの攻撃を受けています。

この病院では、患者の通院履歴や薬の処方など「電子カルテ」に記録されていた診療に必要な全ての情報が暗号化されて閲覧できなくなり、暗号化を解除するための金銭を要求されました。

身代金の要求には応じませんでしたが、緊急搬送や新規の患者の受け入れを2カ月間停止しました。

地域の診療所などからカルテを取り寄せ、過去の診療内容を聞き取りながら再診患者に対応せざるを得なかったようです。

セキュリティ通信：
人命に直結する医療に対するサイバー攻撃には脅威を感じます。緊急事態に備えたBCP(事業持続化計画)が必要なのでしょうか。

桐生さん：
確かに、悪質なサイバー攻撃や巨大地震、大型台風など自然災害に備えたBCPの策定は非常に重要です。

ただ、未曾有の災害では、人命とビジネス継続とのバランスが必要ではないでしょうか。

例えば、東日本大地震後、外資系企業に勤務する外国人は、すみやかに自国に避難しましたが、多くの日本人は、余震が続くなか翌日も出社しました。

また、阪神淡路大震災では、大手証券会社の営業店が全壊したにも関わらず、店舗に設置している業務サーバーだけが正常に稼働していましたが、ライフラインが壊滅的な被害を受けた場合には業務を継続することはできません。

「命があってこそのビジネス」であることを忘れてはいけないと思います。

セキュリティ通信：
大切なものは何かを俯瞰的な視点で捉える必要があるのですね。桐生さんが実際に遭遇したサイバー犯罪について教えてください。

桐生さん：
最近は、内部犯行による情報流出が増えています。

何万人という大企業から数十人の中小企業まで、どのような規模でも一定の割合で「不満分子」と呼ばれる人が存在します。

そのような「不満分子」が退職するタイミングで顧客情報を記憶媒体に書き込み、外部に持ち出す事例がみられました。

セキュリティ通信：
持ち出された個人情報はどのように利用されるのですか？

桐生さん：
闇サイトを検索すれば大量の個人情報がやり取りされているのがお分かりいただけるでしょう。

1件のIDを数万円で売買し、入手したIDで社員になりすまして企業のシステムに侵入して、新たなサイバー攻撃を仕掛けます。

セキュリティ通信：
内部犯行に対して有効な対策があれば教えてください。

桐生さん：
アクセス制御やログの監視、外部記憶媒体の利用制限、退職時のID削除など技術的な対策だけでなく、情報セキュリティやコンプライアンスに関する情報倫理教育が有効ではないでしょうか。

内部犯行による情報流出は、倫理上問題があり、リスクに見合わない行為であるという認識を社員全員で共有する必要があります。

セキュリティ通信：
コロナ禍によるテレワークの浸透で、悪意がなくても内部から情報流出を引き起こすケースが増えているようです。個人で気をつけることがあれば教えてください。

桐生さん：
私はかつての上司から「ビジネスとプライベートは完全に分けるように」と言われてきました。

具体的には、プライベートで使用するSNSやブログなどのプロフィール欄に企業名を載せない、業務で知り得た内容を投稿しないことです。

ハッカーは個人を特定し「どこの会社でどのような仕事をしているのか」「同僚は誰なのか」を探り、人工知能による人脈マップの作成など、さまざまな用途で知り得た情報を利用します。

社員になりすまして、取引先にウイルスファイルを添付したメールを送信するかもしれません。

実際に、事業計画の投稿から次の新製品発表の時期などを特定し、インサイダー取引に発展した事例もあります。

セキュリティ通信：
外部だけでなく内部への警戒が必要なのですね。企業におけるセキュリティ対策の動向について教えてください。

桐生さん：
最近の傾向として、驚異的なスピードで事業を進める企業ほど、初期の段階でセキュリティを前提とした開発を行っています。

今までは、アプリケーション開発終了後に、セキュリティ診断を実施していました。そこで脆弱性が見つかり、手戻りが発生し、リリースが遅れるという悪循環が発生していました。

さらに、ITインフラに関しても、ファイアウォールやセキュリティツールの仕様検討、導入構築を、数ヶ月単位で進めなければいけませんでした。

しかし、現在は、AWSなどクラウドサービスの機能として簡単に購入でき、リードタイムを縮小し、短期間にセキュリティ実装が可能です。

設計段階からセキュリティの概念を取り入れて、サイバー攻撃を防ぐことが、未来への価値のある投資といえるのではないでしょうか。

key point

・売上100億円未満の中小企業では「IT投資の15パーセント」がセキュリティ予算の目安。

・法人向けウイルス対策ソフトやファイアウォールの導入、情報管理の徹底、セキュリティを専門とする人員を社内に常駐させる。

・グループ企業を含めたセキュリティを徹底しても、ランサムウェアの攻撃により、深刻な被害を受ける可能性がある。

・ランサムウェアの被害を受けた病院では、電子カルテに記録されていた診療に必要な情報が閲覧できず、2カ月間新規患者の受け入れができない事態に陥った。

・どのような規模の企業にも一定の割合で「不満分子」と呼ばれる人が存在し、退職などのタイミングで顧客情報などを持ち出される可能性がある。

・内部犯行には技術的な対策だけでなく、全社員に対する情報セキュリティやコンプライアンスに関する情報倫理教育が有効。

・問題が起きてから対策を講じるのではなく、セキュリティを前提としたシステム開発が重要。

いかがでしたでしょうか？

近年、グループ企業も含めたセキュリティ対策を強化しているにも関わらず、産業スパイや国際的なサイバー組織による甚大な被害を受けるケースが増えています。

特に、最近は外部からの攻撃だけでなく、内部犯行による情報流出が増えているため、社内への警戒も怠ることはできません。

特に中小企業では「情報セキュリティ10大脅威」の事例が自社にも起こりうると考えて、設計段階からセキュリティ実装することをおすすめします。

intervieweeプロフィール

桐生　健一

株式会社Dirbato（ディルバート）
コンサルティンググループ　シニアマネージャー

インシデント発生時の初動対応支援、セキュリティ事故再発防止策検討支援、グローバルWebサイトのセキュリティ強化マネージメント、国立大学の産学連携本部の内部統制強化支援などに従事。

主に金融を中心として製造／製薬／通信業界等のクライアントを経験。

TEXT：セキュリティ通信 編集部
PHOTO：iStock