中小企業も他人事ではない 今そこにある危機~サイバー攻撃最前線~
かつてサイバー攻撃は、大企業や官公庁が狙われるものというイメージが強かった。
しかし現在、その“常識”は大きく覆っている。
今や中小企業も標的になるどころか、
「狙われる順番待ち」状態ですらあるという。
サイバーリスクの最前線で企業の対策を支援し、メディアや講演会でも注目を集める株式会社CISOの代表取締役・那須慎二氏に最新事情を聞いた。
サイバー攻撃は「ランダム」に襲いかかる
「現在のサイバー攻撃には大きく分けて二種類あります。ひとつは“標的型攻撃”。これは攻撃者が明確に狙いを定めてピンポイントで攻撃するもので、従来は大企業が主な対象となってきました。しかし、今最も被害が多いのは“ランダム型攻撃”です」
こう話すのは、中小企業専門にサイバーセキュリティ支援を行うCISO代表取締役の那須慎二氏だ。
この“ランダム型”では、インターネットに接続された機器・端末・ネットワーク機器を片っ端からスキャンし、脆弱なシステムを見つけたら、そこに侵入。
侵入後、情報を物色し、価値の有無に関わらず、データがあればそれを窃取しつつデータを暗号化し、身代金を要求する。
まさに“手当たり次第”の無差別攻撃だ。
「最近の大手企業の被害でも、実はランダム型によるものが多い。昨年のKADOKAWAが*ランサムウェアの被害を受けた事件も、VPN機器の脆弱性を突かれたもので、最初は誰を攻撃しているかも分からないまま侵入されているケースです」
17億円の損失を出した企業も
実際に被害を受けた企業の事例も深刻だ。
「昨年9月、総合物流企業の関通がサイバー攻撃に遭いました。被害額は17億円。クラウドサービスを提供していたため、システムが全停止。端末もネットワークもすべて破棄してゼロから再構築する、という経営判断を行いました。加えて、取引先からの損害賠償請求も3億円を超えました」
多くの中小企業が抱える「うちは狙われない」「情報なんて抜かれても困らない」といった慢心が、いかに危険かが分かる。
また、サイバー攻撃を受けてしまった後、攻撃者からの身代金要求に応じた方が「安上がりに済む」と考える企業もあるが、それは大きな誤りだ。
「一度身代金を払ってしまうと、その企業は“金を払う企業”として認識され、別の攻撃者に再度狙われるリスクが飛躍的に高まります。さらに、資金が反社会勢力やテロ資金に使われる可能性があり、法的・倫理的な問題も生じます」
実際に、イスラエルのセキュリティ企業Cymulateによる2022年の調査によれば、世界中で一度サイバー攻撃を経験した企業(858社対象)のうち、67%が一年以内に2回以上の被害に遭っていた。
中には年間10回以上攻撃を受けた企業もあり、初回被害後に同じ脆弱性を放置した企業では再攻撃が成功しやすく、攻撃者から「格好の標的」とみなされる傾向があるとの指摘もある。
セキュリティの“桶の理論”
ではどのようにセキュリティ対策を講じればいいのか。
「桶の理論」という考え方がある。
桶に水をためるとき、桶の最も低い穴から水が漏れてしまうように、セキュリティも最も弱いポイントから突破されてしまうという考え方だ。
そのため、以下の4つの観点から、バランスよく対策を講じる必要がある。
1.組織的対策:パスワードポリシー、メール運用ルール、データ共有方法など、企業内でのルールの策定と運用
2.人的対策:従業員の教育を通じて注意力を高める
3.物理的対策:防犯カメラ、鍵の管理、BCP(災害などの際の事業継続計画)など
4.技術的対策:ウイルス対策ソフト、OSやアプリのアップデート、脆弱性対策など
特に中小企業では、ITやセキュリティに詳しい人材が社内に存在しないケースが多く、「ついでにパソコン管理もお願い」といった対応で済まされてしまっている現状がある。
「多くの中小企業が『セキュリティソフトを入れているから大丈夫』『うちは狙われない』と油断しています。しかし、今の時代、攻撃者の目的は“どこでもいいから金になるところ”。誰が狙われてもおかしくない。守るべきは個人情報だけでなく、自社の事業そのものなんです」
“昔のインターネット”を知る人たちは、まだ一定の警戒心を持っているが、今は当たり前にネットがある環境で育った世代が多く、インフラとしての安全性を過信してしまっているという。
「水道の蛇口をひねれば安全な水が出る。それと同じ感覚で、インターネットも“安全に使えるもの”と思われてしまっている。しかし現実には攻撃者が潜んでいる。インターネットは国が管理しているのではなく、各事業者がやっているだけ。無秩序な世界だということです」
最後に、那須氏はこう強調する。
「セキュリティ対策は“想像力と準備”です。自分の会社が攻撃される、システムが止まる、取引先に損害を与える──そういった最悪の事態を想像できる人だけが、正しく準備を始められる。想像できなければ、対策もできません」
もはや「うちは関係ない」とは言えない時代。
中小企業こそ、自社と取引先、ひいては日本全体のサイバー空間を守る重要なプレイヤーとして、自覚と対策が求められている。
株式会社CISO
代表取締役
那須慎二
インターネットが社会インフラとして普及していない黎明期(1992年)から、国立苫小牧工業高等専門学校情報工学科にてコンピュータテクノロジーを専攻。大手情報機器メーカー(インフラ系SE)、大手経営コンサルティングファーム(中堅・中小企業向け経営コンサルティング、サイバーセキュリティコンサルティング)を経て、中堅・中小企業専門でサイバーセキュリティ支援を行う株式会社CISOを創業し、代表取締役に就任。人の心根を良くすることで「セキュリティ」のことを考える必要のない世界の実
現を目指し、長年の知見に基づく独自のセキュリティコンサルティングおよびサービス(特許取得 特許第7360101号)等を提供。業界団体、公的団体、通信業、大手保険会社、金融(銀行、信金等)、DX関連など業界問わず幅広く講演・執筆多数。近著に『中堅・中小企業のための サイバーセキュリティ対策の新常識』(東洋経済新報社)がある。
「中堅・中小企業のためのサイバーセキュリティ対策の新常識:
経営者が知っておくべき最新知識」
日本企業のPCの90%以上が危機に晒されている! サイバー被害が増加する背景、必要な対策、事故後の対応、近未来の動向…、セキュリティ対策の第一人者が完全解説。中堅・中小企業向けのセキュリティ対策として網羅的にまとめた1冊。
東洋経済新報社刊/2000円+税
aristosからCISOのセキュリティ診断をお申込みいただくと、代表の那須氏が直接診断にお伺いします。