会社がランサムウェア攻撃を受けたらどう対応する? 「事業継続」に関わる重大リスクに、専門家2人が提言
<日本におけるサイバーセキュリティーの第一人者である専門家2人が語る、社会と企業に求められる最新対策と意識変革>
近年、サイバー攻撃が世界で猛威を振るい、個人の生活ばかりか、企業活動や国家の安全保障にまで打撃を与える深刻なリスク要因となっている。日本でもメディア大手のKADOKAWAがランサムウエア攻撃で企業活動の停止に追い込まれたケースは記憶に新しいが、表面化していないものも含めサイバー攻撃被害は後を絶たない。そしていまだに多くの人たちが、十分に脅威に適応できていないのも現実だ。 ●日本を標的にする「サイバー攻撃者」ランキング 2位は中国政府系グループ 日本はサイバー脅威との戦いにどこまで準備ができているのか──。国際刑事警察機構(インターポール)のサイバー部門初代総局長で現在は民間から日本のサイバーセキュリティー対策に貢献する中谷昇と、サイバーセキュリティーに精通した弁護士の第一人者で、官民連携にも貢献している山岡裕明に、最新のサイバー事情を語ってもらった。 ──現在、サイバー空間上のトレンドとして何に注目しているか。 中谷 サイバー犯罪のステージが変わってきていると感じます。いまサイバー犯罪の規模は、およそ8兆ドルと言われています。日本のGDPが約4.2兆ドルですから、そのスケールの大きさが分かります。 警察庁外事第一課在職時の1994年に北朝鮮が最初にノドンミサイルを日本海に向けて数発発射して大騒ぎになりましたが、2023年に北朝鮮は何十発ものミサイル発射実験を行いました。国連の経済制裁措置を受けている北朝鮮のどこに資金があるのか。国連安全保障理事会の専門家パネルが24年3月に公表した報告書によれば、北朝鮮は外貨収入の約50%をサイバー攻撃で得ているとされています。また、北朝鮮は国家予算の2割をサイバー攻撃などに充てているとも推定されており、北朝鮮のサイバー攻撃の動向には注目しています。 現在のサイバー犯罪の状況は制御不能で、産業化したサイバー犯罪攻撃のエコシステムが出来上がり、世界のサイバー攻撃の被害総額はドイツや日本のGDPを超える8兆ドルという推計もあります。特に最近問題となっているランサムウエア(身代金要求型ウイルス)攻撃では、ゼロデイ脆弱性(ソフトウエアなどに存在する未知の脆弱性)や、遠隔で会社などのサーバーにアクセスする際に使うVPN(バーチャル・プライベート・ネットワーク)の認証情報といったイニシャル・アクセス(標的のネットワークなどへの侵入のための手段)は、デジタル地下マーケットで手に入る。つまり、お金を出せば、自分で開発しなくても相当に精度の高い攻撃ソフトが入手できるわけです。 山岡 ランサムウエアの問題は深刻だと考えています。サイバーリスクというとまだ情報漏洩にフォーカスされがちですが、ランサムウエアの真の脅威は事業継続を中断に追い込むリスクだという点に注意が必要です。事業は今、ITシステムによって運用されています。例えば、物流管理システム、会計シス、工場管理システム、ビル管理システム、送電システム、送金システム。それらが暗号化されて破壊されると事業が止まることは想像に難くないでしょう。 サイバーリスクは、企業にとって深刻度が高く、最優先で対策に当たるべきリスクになってきました。 ──KADOKAWAの事件では出版取次システムとドワンゴの動画配信システムが暗号化されて事業が止まったのは記憶に新しい。ビジネスサイドではサイバー攻撃に対する意識は変わってきているのか。 中谷 サイバー攻撃は技術的なことなのでCISO(最高情報セキュリティー責任者)が対応すれば十分という考え方から、もはや経営の問題だと認識する人が増えています。サイバー攻撃は金銭目的や破壊目的もある地政学の問題であり、今後も被害が続くので対策についてはコンプライアンスとして扱うのではなく、事業継続の問題として経営陣が主体となって対応する必要があります。 ただし現状では、サイバー攻撃の被害はどうしても「不祥事」に見られるという意識があるため、企業はサイバー攻撃の被害を公表すると評判が下がったり、株主などからの訴訟が起きたりするのを恐れてきたように見えます。そうではなく、サイバー攻撃の本質は犯罪行為であり、(相応のサイバーセキュリティ対策を行なっている)企業は犯罪の被害者でもあるという認識を持つことで、被害をきちんと報告し、さらなる攻撃の対応につなげていくべきだと思います。 山岡:日本企業において、サイバーセキュリティは技術の問題から組織の問題へと移行しつつあるように感じます。すなわち、どういったセキュリティ対策をすべきかはある程度定まってきたため、次の課題はどれだけセキュリティ対策を組織として徹底できるかの問題になってきました。 組織の内部統制システムの構築や運用のために、グローバルスタンダードとしても確立されている実効的な手段として「3線ディフェンス」といわれるものがあります。第1線の事業部門、第2線の専門性を備えた管理部門、そして第3線の内部監査部門で構成されます。これをサイバーセキュリティにも応用されつつあります。セキュリティ部門がまさに第2線で、セキュリティのアーキテクチャを作りルールを作る、そしてそのルールに基づき第1線が職務を執行し、それを第3線が監視するという仕組みです。
