Global Wind (グローバル・ウインド)
「世界サイバーセキュリティ最前線」

中央支部・国際部 長田 真由美

1.サイバーセキュリティとは?

 最近では、ハッカーによる情報漏洩事件や身代金要求型ウイルスであるランサムウェアによる被害など、サイバー犯罪についての記事を頻繁に見かけます。海外では国家機関が数千人規模のサイバー部隊を持ち、他国の政府機関など国家中枢を狙ったサイバー攻撃による機密情報奪取が相次いでいます。これらサイバー攻撃から重要な情報資産を守る行為がサイバーセキュリティです。

 現在シンガポールにて、ある民間企業の海外工場および海外販売会社のサイバーセキュリティを担当する部署に勤務しており、その経験から企業に対するサイバー攻撃の動向や対策などについて紹介します。

2.ひとごとではないサイバーセキュリティの状況

 20年以上前、まだパソコンがインターネットでつながっておらず単体で動いている間は、サイバー犯罪の問題はほとんどありませんでした。購入したばかりのパソコンにはウイルスは入っていないし、インターネット経由で知らない間に情報を窃取されることなどなく、あるとすればフロッピーディスクの交換によるウイルス感染リスクだけだったからです。パソコンがインターネットにつながるようになり、或いはUSBメモリなどのリムーバブルデバイスを使って複数のパソコン間でデータを持ち回る頻度が増して、外部からウイルスが入り込むリスクが激増しました。

 今ではみなスマホやパソコンを使って、ネットで買い物をしたり銀行取引をしたりしますから、いつどこからウイルスに感染して個人情報の盗難に遭うか分かりません。企業としても、多数のパソコンが何らかの形でインターネットにつながっており、顧客・従業員情報が流出すれば企業イメージが大きく毀損しますし、製造業での生産システム停止や金融業での大量不正送金となれば企業業績への影響も甚大です。

3.企業を取り巻くサイバーセキュリティ脅威の動向

 以前は、個人ハッカーが興味本位で他者のデータを盗み見たり、ハクティビスムと呼ばれる政治的・社会的意思表示のためにハッキングを行ったりする私的集団がサイバー攻撃の主体でした。

 近年は、未公開の開発中の新技術や新製品情報、営業秘密、顧客情報など、明確なターゲットを選定し(「標的型」と呼ばれる)、目的を達成するまで繰り返し高度な攻撃をしかけてくる産業スパイ型や、金融機関をターゲットとして不正送金を狙うマルウェア、身代金目的でデータを暗号化して使えなくしてしまうランサムウェアなど、経済的利益を目的としたプロのハッカー集団が勃興し、サイバー攻撃が組織犯罪化しています。

 産業スパイ型では、サイバー攻撃者にとって価値が高い情報、高く売れる情報(知的財産、個人情報など)が狙われます。顧客情報は広く売れる情報でしょうし、企業の機密情報を握ってインサイダー取引でもうけることもあるでしょう。新技術・新製品情報の窃取においては、標的企業と競合する他国の企業や今後の飛躍を狙う新興企業からの依頼で狙いを定めて来ますから、資金も潤沢、人員も多数で長期にわたる攻防になったりします。

 銀行の不正送金被害については、バングラデシュの中央銀行がサイバー攻撃の被害に遭い、90億円以上を詐取された事件は記憶に新しいところです。

 ここ2年ほどはランサムウェアの脅威が深刻化し、全世界で被害が続出しました。アメリカやイギリスの医療機関や行政機関で毎月のようにランサムウェア被害が報告されるようになり、これら機関ではその業務の性質上データの復旧が必須であることから、多額の身代金が支払われたケースが多々ありました。2016年には、2月に日本でもランサムウェア「Locky」が蔓延し、いくつかの企業で被害が確認されました。この年は全世界で身代金被害額が急増して合計10億ドル以上に上り、世界の犯罪者集団にとっては毎月1億ドルの市場があるビジネスとなったのです。

 ランサムウェアは2017年になっても猛威を振るい、5月には世界的に「WannaCry(ワナクライ)」が、6月には特に欧州で「Petya(ペチヤ)」が甚大な被害をもたらしました。WannaCryはコンピュータを1台ずつ感染させるだけでなく、同じ社内ネットワークに接続されている他のコンピュータを感染させることのできる機能を内蔵した新種ランサムウェアとして登場し、世界の複数の自動車メーカーで一時的に生産停止を余儀なくさせました。WannaCryはその後も亜種が続々と登場し、5月の大規模な世界的感染以後も防御活動が断続的に行われています。(WannaCryの他のコンピュータを感染させる機能は、元々は米国家組織が開発していたサイバー兵器の一つだったのをあるハッカー集団が盗み出して別の犯罪集団に売りつけたものだという噂も公然と広がっており、サイバー戦争の激しさの一端を垣間見ることができます)

01_様々なサイバー攻撃主体

 今後日本においては、東京オリンピックという一大国家イベントの本番を裏方として支える企業や報道陣のコンピュータを狙った攻撃も心配されます。リオ五輪では2年以上前からサイバーセキュリティチームが設置されて対策にあたり、1か月半のオリンピック・パラリンピック期間に約13億件ものサイバーセキュリティ攻撃を疑わせる事象が認められたとのこと。結果的には五輪の競技に影響を与える事象は発生しませんでしたが、これも周到な準備があってのことです。

 将来的には、都市の交通システム・工場や発電等の制御系システム・決済システムのような社会の重要インフラが標的にされる可能性も大いにあり、社会全体でサイバーセキュリティへの意識を高め、対策を急ピッチで進める必要があります。

4.企業におけるサイバーセキュリティ対策分野

 考えねばならない分野には、例えば以下のようなものがあります。

①オフィス・工場のパソコン・サーバー
②小売店頭のPOSシステム
③決済システム
④企業のWebサイト
⑤業務用途のスマホ
⑥業務用途で契約しているクラウドサービス
⑦オフィス・工場等のネットワーク機器(ルーター等)やプリンターなどネットワークに接続されている機器
⑧自社製品のソフトウェアへのマルウェア混入防止
⑨ベンダー・取引先とのデータのやりとり

 上記⑧は、ソフトウェア開発専業会社だけでなく、ハードを製造する製造業でも大変重要な対策分野です。テレビや自動車がネットにつながるようになり、その他の家電も今後はネットにつながるIoTの時代になりますから、これらの家電に組み込まれるマイコンの中のソフトウェアにマルウェアを混入させないよう、設計・製造プロセスを組まねばなりません。ソフト設計段階では注意していても、製造段階の生産用コンピュータ間でUSBメモリを刺し回っている現場を時々目にします。USBを刺す前に、ウイルスに感染していないことを必ず確認する、というプロセスを導入しなければいけません。

 上記⑨も同様に、思わぬ危険が潜んでいるプロセスで狙われやすい分野です。

5.企業におけるサイバーセキュリティ対策の考え方

 国家レベルのサイバー攻撃合戦については「サイバー戦争」と呼ばれることもあります。通常「戦争」での勝利を目指すにあたっては、「攻撃」と「防御」の双方の観点で作戦を立案しますが、企業のサイバー戦争でのツライところは、攻撃はできず、防御一辺倒で戦わねばならないことです。城を守る時、100%蟻の入り込む隙間もないほどの防御態勢を築けばどれだけのコストがかかるか分かりません。

 そのため重要なのは、データを窃取されたり、ランサムウェアで暗号化されて読み取れなくなったりしたら、企業にとって甚大な被害をもたらす情報資産は何か、という最重要資産の洗い出しをすることです。何でもかんでも防御するというよりも、まずは最重要資産の周りだけでも鉄壁の守りを固めます。

 また、セキュリティインシデント(事故)は、脅威と脆弱性の掛け算で起こります。脅威とは組織に損害を与える可能性を引き起こす要因(不正侵入などの攻撃)、脆弱性とはシステム内部にあるバグ・不具合です。どちらか一方が無ければインシデントは起こりません。両方そろうと、ウイルスによるシステム停止・データ破損・情報の窃取などのインシデントが発生するリスクが高まります。

 以下に、セキュリティ対策の手順をまとめます。

02_セキュリティ対策の手順

 中小企業においてはサイバーセキュリティ対策に割く人員も費用も限られると思いますが、せめて以下の3点は徹底されることを強くお勧めいたします。

①OSやアプリソフトを常に最新版に更新し、ウイルス侵入に使われる脆弱性を無くす。(特にWindows含むMicrosoft製品、Adobe製品)=脆弱性への対策
②ウイルス対策ソフトを必ず入れ、常に最新版に更新する。(ウイルス侵入を食い止めたり、感染しても自動駆除してくれる可能性が高まる)=脅威への対策
③データのバックアップを頻繁に取っておく(ランサムウェアでパソコンデータが暗号化されてしまっても大丈夫)=インシデント後の事後回復対策

03_最低限のセキュリティ対策

6.最後に

 今後も企業・社会におけるサイバーセキュリティの重要性は増します。弊社でも大号令をかけて、全世界何十か所にも上る販売会社や工場の合計何万台ものパソコン・サーバーに対し、脆弱性対策のためのソフトウェア更新、ウイルス対策ソフトのインストールを行い続けています。費用はかかりますが、時代の変遷と共に企業に必要な費用項目も変遷します。今後はサイバーセキュリティ対策費用も、IT費用と同様の必須費用項目になると思います。

以上

■長田 真由美(ながた まゆみ)
2014年中小企業診断士登録。エレクトロニクス関連企業に勤務、E-commerceビジネスの立上げ時からオペレーション全般担当としてベルギーに10年駐在。帰国後、サプライチェーン関連改革プロジェクトマネジャーとして勤務。直近は社内サイバーセキュリティ部門でプロジェクトマネジメントを担当(シンガポール在住)。
(連絡先)nagachan1000@gmail.com