先日、サイバー攻撃を受けた日本企業222社が身代金を支払ったというニュースを紹介した。
サイバー攻撃で222社が“身代金”支払い経験 「ランサムウェア」の被害で>>https://news.tv-asahi.co.jp/news_economy/articles/000499825.html
大手企業がサイバー攻撃を受けて、生産停止、出荷停止を余儀なくされている。
もちろん、セキュリティ対策をしていない企業・組織は存在しない。
問題なのは「ここまで対策すれば絶対安全!」というラインがないことだ。
ランサムウェアとは
ここで、ランサムウェアの手口について簡単に説明しておこう。
最近の被害のニュースを見ると、大抵はランサムウェアだ。
ランサムウェアは、企業のシステムを暗号化し「復旧させたければ、身代金を払え」と脅迫するもの。
企業ではファイアウォールを設けて、外部からくる不審な通信を防いでいる。
しかし、すりぬけてしまうものもある。
そのうちのひとつはメールだ。例えば上司と偽って、メールを送り、文中のリンクをクリックさせたり、添付ファイルを開かせる。
その人の端末にマルウェアを感染させ、外部サーバーと通信できる経路を作る(バックドア)。
その端末を起点に、社内ネットワークを探索する。
より重要なサーバーを探し、管理者アカウントのパスワードを盗む。
そして、データをバックアップも含めて暗号化する。
これが重要な基幹システムだったら、その時点で会社全体の業務が止まってしまう。
入口は自社だけではない。グループ会社や他企業と接続している場合、相手企業が感染してしまったら、自社も感染の恐れがある。
少し前までは「大企業でなければ狙われない」と言われた時期もあったが、今はそうはいかない。
自企業の規模よりも、はるかに大きな被害額になる恐れがあるのだ。
どこまでやればよいのか?セキュリティ対策の難しさ
特にコロナ禍以降、リモートワークを可能にするために、VPN接続がポピュラーになった。
通常の通信はファイアウォールに守られるが、VPNはファイアウォールを通らない経路のため、狙われやすい。
社内のネットワークが多様化しているのも、狙われやすい原因になっている。
セキュリティ製品は領域が細かく分かれており、「コレを導入すれば完璧!」とはならない。
いくつかの製品を組み合わせて使うことになるのだが、日常の監視やログ管理など、運用も大変。
お金をかければかけるほど、強固な守りにはなるが、いかんせん投資してもリターンがない領域。
投資をしなければ、事業にまで悪影響を与える恐れがあるが、投資をして企業の価値が上がるわけでもない。
自社だけでなく、サプライチェーン全体と考えると、難易度・労力はさらに高まる。
初動対応をいきなりやれと言われても…
監視業務やログ管理が大変だと書いたが、サイバー攻撃を受けた際の対応も本当に大変だ。
冒頭の222社がサイバー攻撃を受けて、身代金を支払ったというニュース。
セオリー上は、「身代金は支払うべきではない」とされている。
支払ったとしても復旧される保証はないし、一度支払ってしまうと、再度狙われる確率が高くなるのだという。
とはいえ支払わないとしたら、システムの復旧が必要になる。原因を突き止めて被害範囲を把握しなければいけない。
事業部門との連携も必要だし、被害を公表するかの判断も必要。公表したら取引先やメディアへの対応も必要になる。
実際に攻撃された際は、専門企業に支援を依頼することになるのだろう。
が、取材によると完全復旧には最低でも1か月はかかるそうで、費用もばかにならない。
セキュリティ対策に重要な「横並び」
あるセキュリティ会合の内容を記事にまとめる仕事をしたことがある。
その会合で、ある方が強調していたのが「同業・同規模企業と同じ対策をする」ということ。
規模によって、できる対策、できない対策がある。だからこそ同業・同規模企業と足並みを合わせてセキュリティ対策をするべきだという趣旨だ。
最近では、業界ごとに「ISAC(Information Sharing and Analysis Center)」が設立されている。
業界内の情報共有や連携を促進し、安全性を底上げする狙いがある。
国内では金融、交通、電力などがISACを設立した。
各企業は自身の利益を追求する必要があり、同業他社はライバルだ。
しかし、セキュリティ領域ではライバルではない。
どれだけ他社と同じことをやっているか、自社の経験を他社へ共有できるか、が今後のポイントになりそうだ。
「横並び」という言葉は「保守的」のニュアンスがあって、それほどポジティブではなかったが、セキュリティ対策には重要なキーワードになるだろう。
