デジタルテクノロジーの進化は、ビジネスや行政の現場に大きな恩恵をもたらしているが、その一方でサイバーセキュリティリスクの増大も引き起こしている。ランサムウェアをはじめ、企業をターゲットにした金銭目的の攻撃は激化し、誰もが簡単に高度なマルウェアを作成して攻撃できるRaaSのようなビジネスモデルも横行。巧妙化したサイバー攻撃に対処しなければ、金銭的被害はもちろん、企業としての信頼を失う事態を引き起こしかねない。とはいえ、セキュリティ対策の重要性はわかっていても、どうしても他人事のイメージから脱却できない企業経営者や、どこから着手すればよいのかわからず悩んでいる情報システム部門担当者が少なくないのも事実だ。インシデントが起きてから対処するのではなく、「予防・診療・緊急対応」というセキュリティ対策の各フェーズに注視し、感染時の迅速な対応までも見据えた対策を講じることが重要となる。

本稿では、予防医療の観点から企業のセキュリティ対策を支援するコンサルティングサービス「セキュリティかかりつけ医」を提供するアクトの代表取締役社長 小林 智彦 氏に、サイバーセキュリティ市場の最新動向や、企業が実践すべきセキュリティ対策のアプローチについて話を伺った。

  • (写真)小林智彦 氏

    株式会社アクト 代表取締役社長 小林 智彦 氏
    (「セキュリティかかりつけ医」のネーミングになぞらえて、白衣を着ている)

企業を狙い撃ちするセキュリティインシデントが激増、もはやサイバー攻撃のリスクは対岸の火事ではない

1994年に創業し、地方公共団体向けのシステム開発を皮切りに、ネットワークインフラの運用・保守などIT領域全般でビジネスを展開してきた株式会社アクト。近年ではサイバーセキュリティ事業に注力している。サイバーセキュリティ事業は、同社の小林 智彦氏が代表取締役社長に就任すると同時に立ち上げ、事業を牽引し続けてきた。小林氏は、日本におけるサイバーセキュリティ市場の現状について次のように語る。

「ある調査によると、ここ10年でサイバー攻撃の数は8倍にまで増加しているというデータ(※1)が出ています。近年ではデジタルを用いたビジネスモデルの変革、いわゆるDXの重要性が認知され、あらゆる規模・業種の企業が取り組みを加速しており、それに伴いサイバー空間上のリスクも高まりました。最近ではサイバー攻撃者側もプラットフォーム化、ビジネス化しており、誰もが簡単に企業に対して攻撃をしかけられる時代になっています。サイバー攻撃のトレンドとしては、大企業だけでなく、中小企業、ベンチャー、スタートアップも含め、幅広く狙われているといった傾向が伺えます」(小林氏)

数多くの企業にサイバー攻撃をしかけ、セキュリティが甘い企業を見つけ出して金銭目的をしかけてくるのが最新のトレンドだと小林氏は分析。「たとえばセキュリティが強固な大企業を狙い、半年で2億円を取るのと、セキュリティが脆弱な中小企業から2ヵ月で3千万円を取るなら、昨今のサイバー犯罪者は後者を狙ってきます」と語り、すべての企業・団体にとってサイバー攻撃はもはや対岸の火事ではないと警鐘を鳴らす。

政府を中心にセキュリティ対策の義務化や、ガイドラインの策定などが行われているが、いまだ少なくない数の企業経営者がセキュリティ対策をコストと認識しており、対応が後手に回っているのが現状。同業他社でセキュリティインシデントが起きて、はじめて焦り出す経営者も多いと小林氏は語る。

「少し前の調査になりますが、日本企業の約半数がランサムウェアの攻撃を受けているというデータが出ており、セキュリティ対策に本気で取り組んでいない企業の多くはサイバー攻撃のリスクに直面しています。近年では、ある港湾施設がランサムウェアに感染し、社内のシステムすべてが暗号化。復旧までに約3日を費やしたというインシデントが発生しました。攻撃の証左となるログの収集もできておらず、どこから侵入されたのかも分析できていないため、対策が立てられなかったと聞いています。このように、セキュリティ対策を怠ると甚大な被害が発生する事態を引き起こしかねません」(小林氏)

  • (写真)小林智彦 氏

かかりつけ医のように企業の“健康状態”を見守ることで、サイバー攻撃のリスクを軽減

近年では、コロナ禍の影響で急遽リモートワークを導入した企業のVPN機器が狙われるケースが多く、VPN機器の脆弱性を突いて企業システム内に侵入するという手口が増加。社外から社内へのアクセスを安全に行うためのVPN機器が、サイバー攻撃のリスクを高めるという皮肉な結果を招いている。「コロナ禍への対応を進めていくなかで、セキュリティ体制を整備せず、付け焼き刃の対策を講じていた企業が狙われています」と語った小林氏は、セキュリティ対策をコストではなく、投資と考えることが必要と話を続ける。

「たとえば情報システム部門がセキュリティ対策の重要性、緊急性を理解していても、経営者が利益に直結しないセキュリティ対策には予算を取らないというケースがあります。もちろん経営者側が危機意識を持っていることも多いのですが、その場合でもどこを優先して対策を講じればよいのかわからず、対策が進められないケースが出てきます。近年ではさまざまなセキュリティ製品が市場に投入されていますが、すべての攻撃を100%防ぐことはもはや不可能です。優先順位を付けて限られた予算をどこにかけるのかを判断しなくてはならず、そこが専門的な知識を持った人材が不足している企業にとっての課題となっています。これを解決するには、セキュリティ対策をDXへの投資の一環と捉え、効果的なDXのためにセキュリティ対策は不可欠だと考えるアプローチが有効です」(小林氏)

小林氏は、企業が内包するセキュリティ上の脆弱性として、人的要因とシステム的な脆弱性の2つを挙げ、特に人的要因については、ゼロにすることはできないと語る。攻撃されることを前提として、それをいかに早く見つけ、いかに早く対処し、重症化を防ぐか、すなわち「予防・診療・緊急対応」が大切と話を展開した。その実現を支援する同社のコンサルティングサービスである「セキュリティかかりつけ医」についてこう説明する。

「先ほど述べたように、現在のセキュリティ対策では専門的な用語の理解や知識を有している必要があり、具体的なイメージを持てないという企業は少なくありません。これは、医療の分野によく似ていると考えて、“かかりつけ医”というわかりやすいサービス名を採用しました。企業の経営者や従業員は、定期的に健康診断を受けて、専門知識を有する医師から治療の必要性や具体的な方法を聞かされると思いますが、これを企業に適用したものが、セキュリティかかりつけ医のサービスとなります。インフルエンザやコロナウイルスの感染を“予防”するためにマスクをするのと同様に、業界の最新情報を共有して予防策を提示。セキュリティ診断やコンサルティングによる診療、インシデント発生時の封じ込めや原因分析、再発の防止といった緊急対応まで、かかりつけ医のように企業の健康を見守り、適切な対応をサポートします」(小林氏)

本サービスでは、セキュリティ関連の資格を有するエンジニアが予防・診療・緊急対応といったサイバーセキュリティ対策のフェーズを支援。英語での対応が可能なエンジニアも在籍しており、海外拠点を持つ企業に対してもスピーディなサービスを提供できる。

  • (写真)小林智彦 氏

「予防」フェーズでは企業それぞれに合わせた完全オーダーメイドのプライベートレポート、「診療」フェーズでは定期診断とコンサルティング、「緊急対策」フェーズでは、有事の際の相談サービスと、必要に応じたインシデント対応が利用可能。セキュリティ対策製品の導入支援にも対応しており、「今のサイバーセキュリティ対策が正しいのか確信が持てない」「サイバーセキュリティ対策に関して気軽に相談できるところがない」「同業他社の最新セキュリティ対策や被害内容を知りたい」といった、セキュリティ対策に課題を抱える企業のニーズに応えてくれる。

「セキュリティ対策に関しては、自社のシステムを構築しているベンダーに相談するという企業が意外と多いのですが、彼らはセキュリティの専門家ではなく、適切な情報が得られないケースも少なくありません。セキュリティかかりつけ医のサービスならば、専門知識を持つエンジニアに気軽に相談でき、当社が持つインフラ構築の知見を活かし、インフラ整備も含めたセキュリティ対策のコンサルティングにも対応します。緊急対応に関しても依頼があれば24時間体制で被害の最少化に努めます。実際、弊社からEDR製品の導入を決定したばかりの企業がサイバー攻撃を受け、緊急対応に臨んだ事例があるのですが、弊社のエンジニアが現場に詰めて対応し、すでに感染していた生産ラインから他のシステムへの被害拡大を抑止しました。ビジネスへの影響を最小限に抑えることに成功しています」(小林氏)

DXの推進とセキュリティ対策をセットで捉えることが、企業の成長につながっていく

ここまで述べてきたように、巧妙化・複雑化を続けるサイバー攻撃に対処するためには、セキュリティ対策をDXによる企業成長の一環と捉えて投資していくというアプローチが有効となる。「サイバーセキュリティに投資を行っている企業は、対策を怠っている他の企業と比べてDXの推進においても数倍進んでいるというデータもあります」と小林氏は言う。

また、DXの推進が50%以上進んでいる企業では、事業成長率も前年を超える場合が8割にものぼるというデータもある。そして、セキュリティ対策への年間投資額が500万円以上の企業は、約7割の割合で、事業成長率も前年を超えているのだ。(※2)

  • 図版
  • 図版

小林氏は改めて、「セキュリティ対策を保険的なコストと考えず、企業が成長するための投資と考えることで、競争力の担保や利益向上につながっていくはずだ」と力を込める。

「繰り返しになりますが、あらゆる企業においてセキュリティの重要性は高まっています。たとえば製造業のサプライチェーンを考えると、今までは品質・コスト・納期の3つを守れば優秀なサプライヤーと評価されましたが、現在はそこに加えてセキュリティの担保が求められており、セキュリティレベルを向上させなければ取引を見直すというケースも出てきています。もはやセキュリティ強化は企業の信用に関わる重要なミッションであり、抜本的な改善に着手する時期になっているのではないでしょうか。しっかりとした対策を講じることで、取引先をはじめステークホルダーへのアピールになり、それをフックに売上を向上させることもできると考えております」(小林氏)

企業が、セキュリティインシデントで失う信用は計り知れない。より良いDX推進のためにも、改めてサイバーセキュリティ対策のあり方について考えてみてはいかがだろうか。

※1 出典:
総務省「情報通信白書 令和5年版」
https://www.soumu.go.jp/johotsusintokei/whitepaper/ja/r05/html/nd24a210.html

※2 出典:
株式会社アクトが外部調査機関に委託の上、調査した結果によるもの

関連リンク

[PR]提供:アクト