キヤノンITソリューションズはこのほど、「セキュリティ対策評価制度」やサプライチェーンの防御策に関する説明会を開催した。ゲストの神戸大学 名誉教授・特命教授である森井昌克氏は、「奇しくもという言葉が当たっているが、直近にアサヒグループホールディングス(以下、アサヒGHD)とアスクルがランサムウェア攻撃を受けて、サプライチェーンの問題が生じている」と話を切り出した。

  • 神戸大学 名誉教授・特命教授 森井昌克氏

    神戸大学 名誉教授・特命教授 森井昌克氏

いつまでも続くランサムウェアの被害、その理由は

森井氏はセキュリティの権威として著名だが、先般のアサヒGHDやアスクルのランサムウェア攻撃についても多くのメディアでコメントを出しているという。

森井氏は、「大規模な企業はBCPを策定しているはずだが、計画はあっても実行が難しい常態で、絵に描いた餅になっている。このことはアサヒGHDが実証してしまった。アスクルも調査に時間がかかっている」と説明した。

さらに、セイフティの世界では、最悪の状態を想定して、その対策を考えること(BCP)、さらに考えるだけでなく実行できることが危機管理として必須だが、サイバーセキュリティの分野はそこまで至っていないのが現状と、森井氏は指摘した。

「ランサムウェア攻撃を受けると復旧が難しい。攻撃を防ぐ必要があるが、100%防ぐことは不可能。それゆえ、サイバーセキュリティへの対策を立て、攻撃を受けた時にどうするかを考えておく必要がある」(森井氏)

昔からあるセキュリティ対策、やったつもりに

そして森井氏は、アスクルが受けたランサムウェア攻撃が無印良品、ロフト、西武・そごう、ネスレに加えて、中小の物流会社など、幅広い意味でのサプライチェーンに影響を与えたと説明した。

森井氏によると、今回のランサムウェア攻撃によるアサヒGHDの被害額は300億円とも言われているが、中小企業が同規模の被害を受けたら倒産の危機に直面する。では、どのような対策を講じればいいのか。

森井氏は、「攻撃者は数カ月前から密かに稼働しており、いきなり攻撃を受けることはほとんどない。侵入した後、アンチウイルスを無効にして自身の存在を消すが、これが厄介。その後、いろいろな悪さをしてバレそうになると、最後にランサムウェアを発症する。つまり、最初の段階で予兆を発見できていれば防げる」と語った。

厚生労働省はサイバー攻撃の対策として、「ウイルス対策の徹底」「複雑なパスワードの設定」「OSやソフトを最新に保つ」といったことを提唱しているが、森井氏は「いずれも当たり前の対策であり、昔から実行していること」と指摘した。にもかかわらず、なぜサイバー攻撃は減らないのか。

森井氏は「対策をとっているつもりでも、実際にはできていない」と指摘。例えば、攻撃メールの訓練の場合、「不審なメールを開く人を減らす訓練ではない。引っ掛かる人がいなくなったら、それはソフトがよくない証拠。引っ掛かったらどうするかがこの訓練のキモ」と、同氏は対策の意義が理解されていないと語った。

  • 昔からある当たり前のセキュリティ対策も「やっているつもり」で終わっていないか? 引用:名誉教授・特命教授 森井昌克氏の講演資料

    昔からある当たり前のセキュリティ対策も「やっているつもり」で終わっていないか? 引用:名誉教授・特命教授 森井昌克氏の講演資料

経営層はサイバーセキュリティのリスクを排除すべき

こうした中、森井氏はサイバー攻撃対策の基本として、リスクを可視化することを挙げた。その次に、製品供給の停止を回避するための対策として必要となるのが第三者評価だという。ただし、「今、議論されているがなかなか難しい」と同氏。

  • サイバー攻撃の対策の基本は「可視化」 引用:名誉教授・特命教授 森井昌克氏の講演資料

    サイバー攻撃の対策の基本は「可視化」 引用:名誉教授・特命教授 森井昌克氏の講演資料

現在、経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度」を検討しているが、森井氏は同制度の設計に関わっている。今年4月に、同性の概要を整理した中間取りまとめが公表、2026年度中の開始を目指している。

  • 「サプライチェーン強化に向けたセキュリティ対策評価制度」の案 引用:名誉教授・特命教授 森井昌克氏の講演資料

    「サプライチェーン強化に向けたセキュリティ対策評価制度」の案 引用:名誉教授・特命教授 森井昌克氏の講演資料

森井氏は同制度の検討状況について、「レイヤーの高いところから低いところに命令できないので、契約範囲にどう盛り込むかについて、検討している」と説明した。

サイバー攻撃対策の決定権は経営層にあることから、森井氏は「経営者はサイバー攻撃が大きなリスクであることを知る必要がある。企業の競争力は安全にあるので、サイバーフィジカルの世界同様に、サイバーセキュリティの分野でも安全第一を常識にする必要がある」と語った。

サプライチェーン攻撃に対する防御

続いて、キヤノンITソリューションズ サイバーセキュリティラボ 池上雅人氏が、3つのステップに分けてサプライチェーン攻撃に対する防御を説明した。防御のステップは順に「リスクの可視化」「防御体制の構築」「モニタリングと改善」に分けられる。

  • キヤノンITソリューションズ サイバーセキュリティラボ 池上雅人氏

    キヤノンITソリューションズ サイバーセキュリティラボ 池上雅人氏

リスクの可視化

リスクの可視化では、サプライチェーンの全体像を把握し、対応の優先順位を整理する。また、自社の利用するクラウド、VPN機器、サーバ、個人PCなど、IT資産を把握する。見落としがちなIT資産としては、サポートの切れているソフトウェアやハードウェア、個人所有の機器や個人利用のサービス(シャドーIT)がある。

防御体制の構築

防御体制の構築は、技術的対策と人的対策に分類できる。

  • 技術的対策と人的対策から構成される防御体制

    技術的対策と人的対策から構成される防御体制

モニタリングと改善

モニタリングと改善としては、「セキュリティ対策診断サービスの利用」「評価制度の導入」により、防御体制の有効性を定期的に確認して改善に取り組む。

池上氏はサプライチェーン攻撃に対する防御に役立つ同社のソリューションとして、セキュリティ対策状況を可視化して最善策を提案する「セキュリティ対策診断サービス」、インターネットにさらされているIT資産を発見・報告する「ASMサービス」を紹介していた。