システム障害から 何を学ぶか?
「セキュリティに完全ということはなく、特効薬はない」
こう話すのは、ウィルス対策ソフト『ウイルスバスター』を手掛けるサイバーセキュリティ専業大手、トレンドマイクロの関係者。
アサヒグループホールディングスを攻撃した世界的ランサムウェア集団「Qilin」はフィッシングメールと、機器の脆弱性を狙うのが得意の手口で知られている。ランサムウェア(身代金要求型ウイルス)の侵入経路は複数あるが、社内メールに添付もしくはURLが付記の形と、会社のシステムのネットワークIDとPASSを盗み、入り込むケースなどがある。
「日本企業のサイバーセキュリティに関する意識やレベルは世界の周回遅れ。国家的な社会的取り組みもなく、ガードが緩いことは集団側では周知の事実で、恰好の標的となっている」
こう話すのは、IT全般のセキュリティ事業を行うアイキューブワン執行役員の清水元承氏。同氏は現在働きながらアメリカの大学院で最前線のサイバーセキュリティ研究に勤しむ。
「経営効率化によるDX推進の罠の部分に注意しなければいけない。ハッカー集団は狙った企業の弱点を徹底的に調べ上げる。例えばDX推進資料やエンジニア募集の求められるスキル欄を見れば、その企業がどのようなシステム体制を構築しているかある程度推測できてしまう」
リモートワークは外部からアクセスするVPNというシステムを使っている企業が多い。これは企業の玄関口のようなもので、プロ集団にとっては鍵となるIDやPASSがなくても入り込むのはたやすいことだという。
「攻撃の起点となるのは9割型人間のため、社員一人一人のセキュリティ意識を高めるしかない。不審なメールは開かない、システムアップデートは通知後すぐに行う。全社員が徹底できないと熟知しているため相手は何度も狙ってくる」(同)
システムの脆弱性は人間の脆弱性も含まれる。機械は指示通りに動くが、人間はそうではない。人間の弱さ、弱点を自覚しながらITリテラシーの向上が全企業・国民に求められている。
NTTの2025年度第2四半期連結決算は増収増益、自動運転の新会社設立
