近時の企業不祥事とコンプライアンスについて(その2)
3. 情報セキュリティ・サイバー攻撃 (1)サイバー攻撃等の典型例 サイバー攻撃や情報セキュリティ・ミスの典型例としては、例えば、次のようなものがあります。 ●メールアカウントの乗っ取り(脆弱なパスワードやパスワードの使い回しが特に問題、ダークウェブで他人のパスワードの売買などもある) ●詐欺メール、フィッシングメール(類似ドメイン使用、発信元偽装など巧妙) ●メール送付による標的型攻撃を通じたマルウェア感染(添付ファイルを開かない) ●メール送信ミス(宛先間違い、BCCの宛先をCCに入力、添付ファイル間違い等) ●Webサイトの管理者アカウントの乗っ取り(脆弱なパスワードやパスワードの使い回し) ●Webサイト改ざん(閲覧者にマルウェア感染させる、悪意あるサイトへ遷移させる等) ●Webサイト使用不能(DoS攻撃、DDoS攻撃等) ●SNSアカウントの乗っ取り(脆弱なパスワードやパスワードの使い回し)、SNSアカウントの凍結、類似アカウントを作成してなりすまし ●ランサムウェア攻撃(マルウェア感染。ファイルの暗号化、公開するとの恐喝) ●VPNサーバの乗っ取り(脆弱性を攻撃、VPNサーバのユーザ乗っ取り等による) ●ファイルの設定ミスによるデータのネットへの公開状態・アクセスフリー そのほか、実際のインシデントの相当部分は、実は外部からの攻撃ではなく、役職員による内部不正です。例えば、職員による情報の持出しや売却、腹いせのためのデータ削除、転職時のお土産(転職先を利するために限らず、自己の業務上の便宜目的の場合もある)などです。外部も大事ですが、内部についても決して注意を怠らないということです。 (2)テレワーク・リモートワーク(以下では一括して「在宅勤務」と言います。)対応 在宅勤務との関係で、自宅等のネット環境の脆弱性、私物の端末の使用、図書館・喫茶店等の公衆の場所における脆弱性等に起因して、情報漏洩リスクが増大しています。どの企業も、こうしたリスクに対応して、公衆LANへの接続や私物端末の私用禁止など、情報セキュリティに係る社内ルールやハード面での対応を見直しているところですが、悩ましいのは画像リスクです。 まず、図書館や喫茶店、列車・電車等でPC等の端末を使うと、隣の席の人や後ろにいる人等から画面をのぞき見られ、場合によってはスマホで画面を撮影されてしまいます。この対策としては、こうした場所での端末使用を禁止することや端末の画面のフィルムを貼って真正面から以外の角度では画面を見られないようにすること等があります。 より悩ましいのは、在宅勤務での内部不正対策です。 「自宅から社員が会社のサーバーにアクセスして個人データにアクセスするが、社員の端末PCにはデータは保存できないようにしてあります。だから、個人情報は大丈夫です」というわけにはいかなくて、その場合でも、端末に表示された個人情報を役職員が私用スマホで撮影するということはあり得ます。 例えばコールセンター業務などでは、オフィスの執務場所への私用スマホの持ち込みは禁止して、勤務中はロッカーか何かに保管しておくという対応が通常と思いますが、在宅勤務ですと、こうした対応をとることもできません。 もちろん、画像リスクといっても、昔から手書きでメモして情報を持ち出すという例はありましたが、スマホで撮影となると、手軽にかつ大量の情報を持ち出すことが可能になります。業務の効率性を念頭に置きつつも、リスクの高低に応じて、在宅勤務で、どのような情報へのアクセスを可能にするのかの振り分けなどを行っていく必要があります。 (3)ビジネスメール詐欺 ビジネスメール詐欺が在宅勤務の普及で増えています。ハッカーが、お客さんや自分の会社の社長や財務担当などのメール・アカウントを不正に乗っ取って、お客さんや社長等の振りをしてメールを送ってきます。 例えば、この取引の代金は(いつもとは違う)この銀行口座に払って欲しいというメールを送ってきます。言われたとおりにお金を銀行に振り込んで、お金をだまし取られる。これがビジネスメール詐欺です。 最近も、数百万ドルといったレベルで著名企業の米国子会社が被害に遭っていたと報道されていました。被害に気づいても、1日、2日経っていると、お金は複数の銀行口座の間を転々と送金されて東欧等で出金されていたり、暗号資産にされていて所在を追跡できない、となります。 こうした被害を防ぐには、仕事の基本に忠実に対応することです。メール一本で、すぐにそのとおりに行動するから、こうした被害に遭うわけでして、本来は、お客さんに電話して、「送金指定先が当社で登録されている銀行口座と違いますが、大丈夫ですか。何かの間違いではないですか」と、電話 1本すればいいのです。社長や役員についても同様で、財務経理の担当に確認するなど、確認方法はいくらでもあるわけです。 それと、昨今は、経済安全保障の観点で、基幹インフラへのサイバー攻撃への対処等に注目が集まっています。この点については今後政府の動向などを注視していく必要があります。 (4)ランサムウェア攻撃 ランサムウェア攻撃では、ハッカーが会社のシステムに侵入して、システムの全体又は一部を暗号化して使えなくします。暗号化を解除して欲しかったら、暗号資産等で金を払えと会社に要求します。つまり、システムを人質に取って身代金を払えと要求するわけです。 ハッカーは、会社に身代金を払わせるために、システムに不正アクセスして盗み出した個人情報や営業秘密、技術上の秘密をいわゆるダークウェブで公開する、それが嫌なら身代金を払え等と脅迫してくること(二重の脅迫)もあります。さらに、被害企業だけでなく、その顧客や取引先もハッカーから情報をダークウェブで売る等の脅迫を受ける場合(三重の脅迫)もあります。 最近までは、日本企業の場合は日本語の壁に守られていました。多くの欧米企業が被害に遭う中で、日本企業は、ここ2、3年ぐらい前までは、海外拠点を別にすれば、ほとんど被害に遭ってきませんでした。 しかし、最近は日本の病院に対するランサムウェア攻撃なども報道されていましたが、ハッカーは既に日本語の壁も超えてしまったと考えられています。翻訳ソフトやAIの進歩なども背景にあるのでしょう。日本企業のランサムウェア被害が増えつつあります。 ランサムウェア攻撃では、システム復旧や個人情報等の回収のために、ハッカーに身代金を払うかどうかが問題になります。身代金支払いに応じるかどうかは経営判断の問題ですが、蛇の目ミシン事件(最判平成18年4月10日民集第60巻4号1273頁)に注意する必要があります。 蛇の目ミシン事件では、取締役が脅迫されて会社からお金を払ったことが善管注意義務違反であるとして、取締役個人の損害賠償義務が認定されています。ランサムウェア攻撃に対する身代金支払いについても同様に取締役の善管注意義務違反が問われる可能性があります。 米国では、自治体、企業、病院等は費用対効果で割り切ってハッカーに身代金を払っていたようですが、米国でも、2、3年くらい前から身代金支払いがランサムウェア攻撃を助長するので、払うべきでないという声が強まっています。 また、身代金が北朝鮮など米国の制裁対象国に流れているとして米国政府から経済制裁規制違反に問われるリスクもあります。身代金を払う際にはハッカー側と金額の減額や段取りを交渉するのが常とはいえ、本当にハッカーが約束を守ってシステム暗号化を完全に解除するか(マルウェアを仕込ませていないか)等の問題もあります。 そのような次第なので、日本企業の現在の趨勢は、単なる費用対効果では、そうそうは身代金を払わない、ということだと思います。身代金を払うのは、病院に対するランサムウェア攻撃で緊急手術もできず、必要な医療情報を参照できないなど、顧客や役職員等の生命身体の保護に必要な場合などに限定すべきという考えが強いと思います。 だから、ランサムウェア攻撃にあってシステムが暗号化されたとしても業務が回るように、データのバックアップやシステムの複線化・冗長化などで、攻撃に備えておくことが重要です。 (5)サイバーセキュリティ サイバーセキュリティですが、基本的な枠組みはコンプライアンス一般や危機管理一般の問題と同じです。ガイドラインやマニュアルを整備し、役職員の教育を行う、内部監査等でチェックしてPDCAをまわしていくということです。 サイバーセキュリティに固有の方策としては、ソフトウェア(OS、VPN等)のアップデートによる脆弱性の是正、バックアップデータの保全や冗長化、 Need to knowに基づく社内でのアクセス制限、機密情報はスタンド・アローンにしておく(USB接続を通じたマルウェアに注意)等といった点です。 それから、アクセスログです。どの会社もアクセスログは取っているのですが、データ保存量などの制約から、操作ログはあまり取っていない。サイバー攻撃や社員の個人情報の持ち出し等があった際に、操作ログを取っていないと困ります。 例えば、サーバー上のこのフォルダーのこのファイルに誰がいつアクセスしたのか、ダウンロードしたのかどうか等のログです。操作ログがないと、不正アクセスがあったのは分かっても、被害に遭ったのかどうか、被害範囲はどれだけか等が分かりません。費用対効果の問題ではありますが、できれば操作ログも取るようにした方がよい。 それから、退職者、短期アルバイト等、利用していない者のアカウント管理です。休眠させるべきアカウントが生きているとハッカーに乗っ取られてサイバー攻撃の踏み台にされます。 次に、委託先管理、再委託先管理、再々委託先管理です。コンプライアンスやサイバーセキュリティの意識の高い会社ですと、本社は問題ないのですが、再々委託先くらいになってくると、個人情報の持ち出しや名簿屋への売却などの問題が起きることがあります。委託先管理は、委託先が勝手なことをするのを効果的に制御する手段がなく、非常に難しいのですが、起用時の適格性のチェック、委託契約における報告徴求や検査受け入れ、再委託先起用の事前許可の義務づけ等といった手当てで最善の努力をしていくことだと思います。 サイバー攻撃や不正なシステムへの侵入については、100%未然防止することは不可能という前提に立って、侵入後であっても検知・防御する方法や体制(外部へのデータ送信量の常時モニタリング等)を整備して、できるだけ早く掴んで被害を最小化するという発想も大事です。こうしたテクニカルな部分は、内閣サイバーセキュリティセンター(NISC)、独立行政法人情報処理推進機構(IPA)などの政府関係機関の発信情報をウォッチすることが有益です。また、在宅勤務では、総務省の「テレワークセキュリティガイドライン」なども有益です。