会社がランサムウェア攻撃を受けたらどう対応する? 「事業継続」に関わる重大リスクに、専門家2人が提言
サイバーセキュリティと利便性は相反することが多い
ここで一つ問題が生じます。そもそもサイバーセキュリティと利便性は相反することが多い。そこで、第1線事業部門は第2線が構築したセキュリティ対策をやりたがらず、組織としてセキュリティ対策の徹底が進まない。例えば、多要素認証(認証の3要素である「知識情報」「所持情報」「生体情報」のうち2つ以上を組み合わせたもの)は非常に重要で、サイバーリスクを大幅に減らせると考えています。しかしながら、入力が面倒だということやりたがらない人が多い。その結果、組織レベルでのセキュリティ対策が進まないことになります。 そこで重要となってくるのは、サイバーセキュリティについての第一線による理解と協力、そして組織にサイバーセキュリティを浸透させるための経営層の働き掛けだと感じています。 ――企業の方から、認証の強化などユーザーが逃げるじゃないか、とセキュリティ部門が怒られるという話もある。最近の企業の意識は変わっているか。 山岡 以前はほとんどの企業が、利益を生まないサイバーセキュリティーが事業の足を引っ張るとは何事か、という見方でしたが、最近はサイバーセキュリティーの重要性が根付いてきて、事業継続の観点からは業務がやや不便になってもセキュリティー対策はやむを得ないと受け入れる企業も増えている。特に金融機関などはそうした傾向が顕著です。 中谷 サイバー攻撃の被害を直接受けてきた金融業界のサイバーセキュリティー対策は相対的に進んでいると思います。現在の金融業は、オンラインで安全にサービスを提供できることを前提にしているので、まさに経営課題の1丁目1番地になっていると思います。他方、全体的には、まだまだ費用対効果が出ているのかわからないという企業や、サイバーセキュリティ対策に力を入れているが切りがないので困っているという企業の声も聞きます。Wise Spendingが重要なのはその通りですが、やはりこれは地政学的リスクやレピュテーションリスク等のリスクを判断軸にするのではなく、金額基準で考えてしまうからだと思います。 また、日本では企業がインテリジェンス(分析情報)をベースにリスクを議論して経営陣が判断していくプロセスがまだ確立されていないように思いますが、これから進んでいくように感じています。 山岡 サイバーセキュリティーにインセンティブと制裁とをひも付けることも一案です。例えば、セキュリティーレベルが高い企業はサイバー保険の保険料が安くなったり、逆にサイバーセキュリティー対策を十分にしていない企業は公共工事への入札やサプライチェーンへの参加ができなかったりと。 中谷 アメリカでは国防総省がサイバーセキュリティーの水準を調達案件の条件にしています。まさに、インセンティブとサンクションを紐付けています。決められたセキュリティーの水準を満たしていないと国防総省とはビジネスはできないとなるわけです。しかも直接の契約者だけでなく、そのサプライヤーにも同じ基準の遵守を求めていますので、サプライチェーン全体のサイバーセキュリティ強化に大きなプラス効果を生んでいると思います。 ──日本は中小企業が圧倒的に多いが、そこまで対応できるのか。 山岡 中小企業で言えば、警察庁のデータで分かるサイバー攻撃の傾向を把握し、優先順位を付けて対策を進めることが有用でしょう。例えば警察庁のデータによると、ランサムウエア攻撃ではVPNが最大の侵入経路です。リモートワークの普及に伴って導入されたVPNが不正アクセスの侵入経路に使われる。そうであればVPN機器の管理を重点的に進めることが有用です。 中谷 VPN対策は単純ですが、国を挙げて行えば、中小企業は数が300万以上あり規模のメリットが働くので、効果は絶大だと思います。中小企業の対策では、イギリス型が参考になります。イギリスでは、国家サイバーセキュリティーセンターが、国として中小企業にサイバーセキュリティーの支援を行っています。セキュリティサービスも提供しています。 ただ全ての企業が難しいなら、重要インフラ15業種とそのサプライチェーンを国で支援する形でもいいでしょう。 ただし、現在のサイバーセキュリティの主流の考え方は、VPNなどによる境界型の防御から、多層防御に移っていますので、リスクが高い事業や企業はいわゆるゼロトラストセキュリティを実装することが不可欠です。簡単に言えば、ネットワーク、エンドポイント(サーバーやパソコン)、そしてクラウドのセキュリティ対策をリスクに応じて実装するものです。たまたまですが、この3つの英語にして(Network、Endpoint、Cloud Security)、頭文字を繋げるとNEC Securityになるんですよね(笑)。 ──いま企業がまずやるべき対策はどのようなものか。 山岡 多要素認証の徹底と脆弱性対応の2点だと思います。これらは先ほどのVPN機器の対策にも当てはまります。これらを徹底するだけで大幅にサイバーリスクを減らせます。 中谷 ネットに対する見方を変えたほうがいいと思います。インターネットにつなぐと「盗まれる」「だまされる」「脅される」「邪魔される」のです。それを理解しておくことは大事です。例えば学校で防犯教育をするように、デジタルセキュリティー教育もやるべきだと思います。
