【経営者と語る】大手でなくてもセキュリティ対策すべきワケ

2022年11月29日掲載

経営者と語る。大手でなくてもセキュリティ対策すべきワケ

頻繁にニュースで取り上げられているEmotet（エモテット）に始まり、ランサムウェアなど企業を脅かすサイバー攻撃が増えています。また、外部からだけでなく内部からの情報漏えいなど、企業を取り巻く情報のセキュリティ不安はより複雑化しています。

そんな中、なぜ中小規模の企業でもセキュリティ対策に本腰を入れる必要があるのか？全国でセキュリティ対策に関する講演などを行なっている那須氏と複数企業の経営者である三ヶ㞍氏による対談では、その必要性について熱い議論が交わされました。

※この記事は2022年10月27日に開催されたセキュリティセミナーの模様を再編したものです。

那須慎二氏

株式会社 CISO
代表取締役

三ヶ㞍勇輝氏

株式会社スタイル・エッジ
常務取締役

セキュリティリスク最新事情からみる対策の必要性

「不正アクセス」「情報漏えい」などサイバー攻撃による被害が後を絶ちません。那須氏はサイバー空間は「戦争状態」にあるとしたうえで、大きく２つのサイバー攻撃について注意が必要であると語ります。

PCに潜伏し、自らを進化させて活動するEmotet

那須氏：

「１つ目は再拡大を始めたEmotetです。Emotetは、主にメールを介してアドレス情報やメール本文などのデータを攻撃者が盗み取り、それを悪用して次の攻撃を仕掛けてくるマルウェア^※1です。以前にやり取りしたことのある相手に偽装してメールを送信してくるため、受信者は開封しやすくなります。一度メールが開かれてしまうとチェーンメールのように情報漏えいの被害が広がっていきます。ただし、これはEmotetの表面上の動きに過ぎません。Emotetの恐ろしさの本質は『自らを進化させる』ところにあります。急速に攻撃対象を拡げていき、攻撃手法を変えながら蔓延していきます。さらにEmotetはPCに潜伏して、ある日突然さまざまな攻撃を仕掛けてきます。企業のネットワークに侵入し、サーバを狙ったりデータを盗み取るなど攻撃手法を切り替えてくる特徴があります」

※1 マルウェア：コンピュータの正常な利用を妨げ、不正に動作させる目的で作成された悪意あるソフトウェアの総称。

参考リンク

JPCERT（マルウェアEmotetの感染再拡大に関する注意喚起）

疑わしいメールの添付ファイルを開いた場合は、端末に潜伏されてしまうリスクがあります。コンピュータセキュリティ関連の情報提供機関であるJPCERT（ジェーピーサート）は、感染した端末が接続していた組織内ネットワークの全端末の調査を行うよう注意喚起をしています。

バックアップデータすらも狙われるランサムウェア

那須氏：

「２つ目はランサムウェアです。感染したPCのデータを暗号化し使用不能にさせたうえで、復旧させることと引き換えに金銭を要求するのが従来の手口でした。現在はデータの暗号化に加え、情報を抜き取って公開するという『二重の脅迫』をする手口が主流になってきています。バックアップデータすらも攻撃されてしまうので、企業の受けるダメージは甚大です」

こうして窃取されたデータに個人情報が含まれる場合は、また違う点でのリスクがあると那須氏は指摘します。

那須氏：

「2022年4月に改正個人情報保護法が施行されました。サイバー攻撃によって情報を漏えいした恐れがある場合には、全て報告することが義務化されました。このことを知らない方が多くいらっしゃいます。つまり、知らぬ間に法令違反をしてしまう可能性があることを示しています。被害にあった可能性がある場合には、早めに専門家へ相談することが重要です」

参考リンク

個人情報保護委員会（漏えい等報告・本人への通知の義務化について）

こうしたサイバー攻撃は大手企業に限らず発生しています。セキュリティ対策の専門部署や人材が少ない中堅・中小規模の企業も標的になっており、いつ誰がこのようなトラブルに巻き込まれたとしてもおかしくありません。

中小規模の企業におけるセキュリティ対策の実情

独立行政法人情報処理推進機構（以下、IPA）が行った中小企業における情報セキュリティ対策の調査報告書^※2の中で、「情報セキュリティ被害にあっていない」という回答をした企業は全体の84.3％ という結果でした。（回答社数＝4,074）

しかし、同年度に別途行われたサイバー攻撃の実態調査^※3では、調査に参加した中小規模の企業1117社において、外部から181,536件もの不審なアクセスを検知 したことが明らかになっています。
つまり、サイバー攻撃を受けても、その攻撃自体を認識できていないという可能性が高いことを示しています。水面下で忍び寄るセキュリティリスクに早く気づき、対策することが求められます。

※2 出典：IPA「2021年度中小企業における情報セキュリティ対策の実態調査報告書」
※3 出典：IPA「令和2年度中小企業向けサイバーセキュリティ対策支援体制構築事業の報告書」

「情報」の重要度は今後下がることはない

サイバー攻撃の被害にあわないうちに、対策を行うことの必要性を認識した三ヶ㞍氏。自社でセキュリティ対策を行うことになった経緯を以下のように語りました。

三ヶ㞍氏：

「今ほど激化はしていませんでしたが、サイバー攻撃というものがあることは知っていましたし、大事な情報をたくさん取り扱っている自覚もありました。対策しないといけないと思い、ネットで調べた情報でとりあえずセキュリティソフトを入れてたりもしていました。『何かあったらヤバイ』という意識は常にありましたが、どうしたらいいかわからない。モヤモヤ悩んでいたところに那須さんというプロに出会って情報を得られたことで、やっぱりきちんとした対策が必要だという決断ができました」

那須氏：

「おっしゃる通りで、知らないことには対策のしようがないですよね。そして前提となる知識も必要です。そうしないと情報を自ら取りに行けないですし、情報が素通りしてしまいます。情報をキャッチできる経営者の違いはどこにあるんでしょうか？」

三ヶ㞍氏：

「私自身の役割として組織作りなど内部のことにアンテナが立ちやすかったので、気付けたということもあります。今後、情報というものの重要度が下がることはあり得ないですし、情報をどうやったら守れるのかということは経営にとって重要です。むしろ自社ももっと早い対策が必要だったという感覚です」

経営者が主体的に取り組むこと、先を読もうとする能力など、サイバー攻撃に備えるために経営者に求められる姿勢について意見が交わされました。