経営者はいますぐ発想の転換を ── セキュリティ対策は｢コストでなく投資｣

オフィスを離れて自宅やカフェなどで仕事をするリモートワークが広がるが、注意したいのが情報セキュリティの問題だ。サイバー攻撃の標的は今や大企業にとどまらず、中小企業や個人にも広がる。企業や個人はサイバー攻撃にどのように対処し、何に気をつければいいのか。Business Insider Japan統括編集長・浜田敬子が、情報システムセキュリティやサイバーセキュリティ、マルウェア対策の研究者として活躍する横浜国立大学の吉岡克成准教授に聞いた。

中小企業がサイバー攻撃の標的になる理由

浜田敬子（以下、浜田）： 今日の企業にとって、最大のリスクのひとつはサイバー攻撃といわれています。私も経済メディアとして企業取材が多いので見過ごすことのできない問題です。サイバー攻撃の現在の状況はどうなっているのか、全体像を教えてください。

吉岡克成（以下、吉岡）：非常に高度な、国家の関与が疑われるようなものから、ティーンエイジャーが遊びでやっているようなものまで、サイバー攻撃は非常に多岐にわたっています。頻度としては増加傾向にあり、しかも高度化、巧妙化しています。

浜田：企業の対策も進んでいるかと思いますが、攻撃は増え続けているということでしょうか。

吉岡：確かに大手企業では対策が進んでいますが、イタチごっこが続いているといっていいでしょう。

浜田：2年前、朝日新聞社にいた頃は多くのスパムメールが送られてきました。ところが転職したベンチャーではほとんどありません。

吉岡：個人宛にメールを送りつける標的型攻撃ですね。攻撃者も狙う価値があるところ、投下したコストや労力に見合う対価が得られる攻撃対象を見極めているのです。新聞社をはじめとする大手企業や官公庁、研究機関などは重要な情報があると考えられるため、標的にされやすいのだと思います。

浜田：ということは、中小企業が狙われるリスクは大企業に比べれば小さいと考えていいのでしょうか。

吉岡：そうとは言いきれません。大手企業ではコストをかけて攻撃をいち早く検知し、対策できるようになっているため、単純な攻撃は通用しなくなっています。では攻撃者がどうするかというと、大手企業と取引のある中小企業を狙います。そこを踏み台に大手企業に侵入しようとするのです。中小企業はリスクがないかというとそんなことはなく、むしろサプライチェーンの中で取引先に迷惑をかける可能性は大きいといえます。

浜田： 中小企業を入り口に大企業や官庁を狙うということですね 。

吉岡：残念ながらそういう状況と考えられます。セキュリティ対策はただ対策ソフトを入れればいいというだけでなく、監視要員やインシデントが発生したときに対策する人材など、人的コストもかかります。体力のない企業には大企業と同じような対策をとることは難しいのかもしれません。

浜田：セキュリティ対策にコストがかかるということは、経営者がどれくらいセキュリティ対策に経営リソースを配分できるか、その意識や決断が重要になると言えそうです。

吉岡：私も講演活動などの中で、サイバーセキュリティの実態をお伝えする機会は少なくないのですが、そんなことは知らなかったという方がほとんどです。政府も含め、リスクをしっかりお伝えする活動が必要だと痛感しています。

｢スマート化｣の進行で個人も標的になる時代が到来

浜田：吉岡先生が最近実感されたリスクにはどのようなものがありますか。

吉岡：私自身が標的型攻撃のターゲットになったことがあります。仕事柄、不特定多数の学生とコミュニケーションをとっており、面談の機会も多いのですが、そのアポイントメントを装った攻撃でした。これはかなり気づきにくいと思いましたね。

浜田：学生になりすました標的型攻撃だったのですね。それはすぐに攻撃と気づかれたのですか。

吉岡：そのときはメール文面の日本語に稚拙なところがあったため、怪しいと気づくことができました。

浜田：それは吉岡先生だからこそ気づけたのかもしれないですね。私自身の場合、例えば記事へのクレームのような真剣に対処せざるを得ないようなメールなら、添付ファイルも開いてしまうかもしれません。こちらの気持ちの裏側を読んだ手口を使われたら本当に騙されてしまいますね。

吉岡：かつてのサイバー攻撃はシステムが対象でしたが、PCのセキュリティは格段に進化し、強固になっています。すると攻撃者はシステムではなく人を狙うようになったのです。現代のセキュリティは、システムの対策と人の意識レベルの対策、この両輪が欠かせなくなっています。

浜田：サイバー攻撃の実態をお聞きしていると、どんどん怖くなります。個人としてはどんなことに気をつければいいのでしょう。

吉岡：最近ではインターネットにつながるIoT家電、家の中の見守りカメラやプリンターなどがサイバー攻撃の対象になり、すでにウィルス感染しているケースが2016年頃から顕著になっています。

浜田：スマートスピーカーを利用する人も増えていますが、これも対象になりそうですね。

吉岡：はい。インターネットへの接続機器にルーターというものがありますが、これが感染して乗っ取られ、他の人への攻撃の踏み台として悪用されていることも明らかになっています。

浜田：それは衝撃的です。ルーターはまったく考えたことがありませんでした。

吉岡：ルーターやカメラ、プリンターなどにはPCと同じようにファームウェアというプログラムが入っています。これを常に最新バージョンにアップデートしておくことが対策としては有効なのですが、大多数の方はそれすら知らないのが現状です。

浜田：生活が便利になっていく一方で、それだけ攻撃の対象が増え、セキュリティリスクも増しているのですね。便利といえば、フリーWiFiが普及してきて、外で仕事ができる環境もかなり整備されていますが、これはセキュリティの観点から見るとどうなのでしょう。

吉岡：やはりリスクは高いといえます。例えばカフェに行って、そこの名前がついたアクセスポイントがあったとして、その名前でアクセスポイントを立てるのは誰にでもできます。本当にそのカフェのサービスなのか罠なのかを見極めることは原理的には不可能です。PC自体のセキュリティと同様、誰がどのように管理するネットワークを介してインターネットにつながっているのか、その途中のセキュリティはとても大事なポイントなのです。

サイバー攻撃の被害は甚大

浜田：サイバー攻撃を受けたら、それは自分ひとりの問題ではなく、会社はもちろん、取引先も含めて影響があるということに意識を向ければ、どれほど慎重になってもなり過ぎということはないということですね。ビジネス継続という意味では、企業が生き残りをかけて海外に出ていくということが、中小企業でも当たり前になっています。そこでのセキュリティリスクについても教えてください。

吉岡：海外進出するということは、人の流れ、モノの流れが多様化するということです。つまり、それだけ怪しいものが紛れ込む可能性も広がるということになります。例えば、国内企業との取引ではメールも日本語だけですが、海外進出では他言語のメールも増えるでしょう。そのときに攻撃に気づけるのか、ということがあります。

浜田：母国語のメールなら文面が稚拙かどうかで見分けられますが、他の言語ではそれがわからない、攻撃により気づきにくくなるということですね。

吉岡：さらに、多様な人がいるということは、社内のセキュリティ意識を高める活動も、今以上に困難になることは容易に予想できます。大学でも、海外の研究者を招聘するなど、人の入れ替わりが激しい部局があり、そこのセキュリティ確保は非常に難しいものがあります。

浜田：今日はいろいろなお話をお聞かせいただきましたが、私たちがそういった脅威に日常的にさらされているということを意識し続けるのは難しいですね。

吉岡：いかにその意識を持ち続けるかということは、サイバーセキュリティの最大の課題だと思います。

浜田：サイバーセキュリティのセミナーなどを見るといつも満員で、担当者の危機感は高いのだと思います。でもそれを一般社員や経営層となかなか共有できていないようです。どうすればよいのでしょう。

吉岡：やはり事例を示すというのは効果が大きいですね。脅威は身近なところにあるということ、さらにインシデントが起きてしまったときのインパクトとダメージ、コストの大きさをご紹介すると、みなさん、目の色が変わります。

浜田：起きてしまってからの事後処理にかかるコストと、普段から対策しておくコストでは、後者のほうが費用対効果が大きいということですか。

吉岡：もちろんです。さらに、セキュリティは万全ということを売りにするという新しいビジネスの考え方もあるかもしれません。

浜田：セキュリティ対策を万全にやっているということを強みに新しいビジネスにつなげる──。それはまさに経営戦略そのものですね。であるなら、セキュリティ対策はコストというより投資ということになります。

吉岡：セキュリティをコストと考えるか、投資と考えるのか。発想を転換していただいて、自分たちの強みにできるような判断をしていただきたいですね。それができるのは経営トップだけです。

■日本HPについて、詳しくはこちらから