セキュリティ被害が最も多い中小企業が「まずやるべきこと」滋賀県サイバーセキュリティシンポジウム登壇レポート
中小企業におけるサイバー攻撃被害の報告が後を絶ちません。DX化を推進する上で、中小企業のセキュリティに必要なことはなんでしょうか。そのヒントとなる滋賀県サイバーセキュリティシンポジウムの内容をレポートします。
シンポジウム第一部は
①開会挨拶
②上原教授による基調講演
③複数のパネリストによるパネルディスカッション
の三部構成で開催されました。
開会挨拶は、滋賀県警による開催意義の説明から始まりました。
企業におけるサイバー攻撃被害の事例や実態について会場全体に情報共有がなされ、企業経営を安全安心に乗り越えていくために必要なことがこのシンポジウムから学び取れると説明がありました。
サイバー攻撃被害の実態の一例として2023年の警察庁のサイバー犯罪レポートを引用し、ランサムウェアの被害に遭っている組織の約半数が中小企業であることなどにも触れられ、サイバー攻撃被害が多くの来場者にとっても対岸の火事ではないことが示されているように感じました。
参考記事:警察庁の2023年サイバー犯罪レポートを読む~法人として備えるべきポイント~
セキュリティの観点も含めて委託先を選定する重要性
続いて、立命館大学情報理工学部の上原哲太郎(うえはら・てつたろう)教授の基調講演「中小企業を取り巻くサイバーセキュリティの現状について」が始まりました。
上原教授は2015年に、情報セキュリティ文化賞を受賞するなど、長年デジタルフォレンジックなどのセキュリティ関連分野の研究をされています。
上原教授の講演では、最初に社会のデジタル化の現状について取り上げられました。コロナによるテレワークの増加、2024年1月からの電子帳簿保存法改正、電子契約の普及、スマートフォンの普及、インボイスなど経理や人事業務のシステム化などを背景として、急速にデジタル化が進んでいる現状が示されました。
次に、社労士向けシステムの侵害や税理士による機密情報の持ち出しの事例に触れつつ、これらのインシデントが発生する原因についても言及されました。その原因の一つとして業務委託先で使用しているシステムのセキュリティ状況が契約時に加味されていないことが挙げられました。
経理や人事関連の業務を委託した組織は経理や人事業務関連のエキスパートであっても、セキュリティのエキスパートではない為、そのシステムのセキュリティは再委託された事業者に依存します。しかし、そうした再委託された事業者もシステムの専門家であってもセキュリティの専門家ではない場合があり、デジタル化したシステムのセキュリティレベルが十分に吟味されないまま扱われることになる、という構造について指摘がありました。
確かに、多くの組織がシステム化のメリットに注目して業務委託等を行う一方で、委託先のセキュリティ面での安全性まで配慮しきれていないことが伺えます。セキュリティ面が契約に影響しないのであれば、そこに配慮が及ばないのは自然なことかもしれません。
これに対して社会がどのように対処していくべきかについて、上原教授からは「長い道のりになる」、という前提のもと発注者側がある程度のデジタル知識やセキュリティ知識を持ち、高いセキュリティレベルを持つシステムを扱う事業者にインセンティブが発生するように会社選定が行われる必要があると述べられました。
上原教授は続けて、KADOKAWAにおけるシステム停止事案や大阪の不動産業で起きたランサムウェア事案を取り上げ、大きなインシデントが中小企業であったとしても発生しうるという事を強調しました。その上で現代のサイバー攻撃の高度化についても説明がなされます。
例えばすでに標的型攻撃などにおいては、事前に脅威を検知するセキュリティソフトだけでは不十分なことや、組織化された金銭目的または諜報目的の組織が人海戦術を駆使して、侵害可能な組織を探していることなどが挙げられました。彼らの攻撃は、インターネット上の端末を乗っ取って攻撃元が特定できないようにしていたり、ファイアウォールをすり抜けるメールや乗っ取った正規アカウントを使って攻撃してきたりすることから、対策が難しいことも付け加えられました。
また攻撃の際に度々悪用される防御側の弱点についても紹介されました。具体的にはIDやパスワードなどのアカウント情報を悪用して侵害されるケースが増えていることや、VPN、NAS、RDPといったネットワーク技術、製品に対する侵害、クラウドへの侵入の増加などといった事例が見られていることから、攻撃者に悪用され得る領域が広がっていることが示されました。
このあたりの内容については、トレンドマイクロの過去のリサーチでも同様の傾向が出ており、攻撃者は弱点のある組織から優先的に侵害する、つまり対象の組織規模をターゲット選定基準においていないことが分かっています。すなわち、どのような組織でも自社に存在するIT資産から弱点を少なくしていく取り組みが求められるという事です。
では具体的に防御側はどのような対策が必要でしょうか。法人組織が行うべき対策として上原教授よりいくつか提示されました。
・3-2-1ルール(データを3つコピーし、2つの異なる媒体に保存し、1つを別の場所で保管する)に基づくバックアップの実施
・ユーザ認証の強化(多要素認証の導入)
・VPN機器等の脆弱性対策(ネットワーク機器のファームウェアなどの修正プログラムの適用)
・EDRやUTMなどの監視体制の構築(検知機能の向上)
・メールの添付ファイルへの対策
自社のセキュリティレベルに不安のある組織の方はこれらの対策を実施するとより効率的でしょう。ただし、中小企業の方の場合、セキュリティ担当がIT部門と兼任になっているなど人材不足である可能性があります。そういった場合、サイバーセキュリティお助け隊サービスなどを活用することも1つの手段であると上原教授は述べました。
最後に、システムを取り扱う上でのリテラシーと、システムを選定する上でのリテラシーを同時に持ち、何かあった際にはすぐに社内・社外に通報するという試みを続けることで社会全体のセキュリティ向上につながる、というコメントで講演は締めくくられました。
多くの講演で、利用者側のリテラシーについては語られることが多いですが、本講演では、委託先の選定の際にも情報リテラシーの観点での判断基準を持つことまで触れられており、これは近年のサプライチェーンリスクの高まる状況を鑑みる場合、中長期的にも重要な観点と言えるでしょう。
昨今のセキュリティ情勢で課題と感じている点
まずトレンドマイクロのインシデントレスポンスチームの主管と滋賀県警察サイバーセキュリティアドバイザーを兼任している田中から近年多く発生しているインシデントの特徴について述べられました。
田中は、トレンドマイクロが10年以上にわたって、多くの組織のインシデントレスポンスに協力してきたことを前提としつつ、現在最も多い攻撃はやはりランサムウェアであると述べました。さらに、主に500名以上の規模の組織の対応を支援しているものの、組織規模に関わらず共通してVPNへの侵害が多く、全攻撃の内7割以上を占めていることを挙げました。
参考記事:VPN、サイバー攻撃被害に共通するセキュリティの注意点
上原教授の講演の中でも触れられましたが、テレワーク環境の需要によって、一気に増加したVPNのセキュリティ対策が各社で間に合っていない現状にあることがここに伺えます。
続いて、株式会社HONKIにて専務取締役と滋賀県警察サイバーボランティア業務を兼任されている吉田昌孝(よしだ・まさたか)氏からは、中小企業でよくみられる情報漏洩リスクとして、物理的に目につく壁やホワイトボードにパスワードが貼ってあったり、オフィスの外からでも視認できたりなど、パスワードの管理が不十分なケースがあることが挙げられました。
次に、公益財団法人近江兄弟社ヴォーリズ記念病院医療情報管理課にて課長を務められる林徹夫(はやし・てつお)氏からは、複数の病院関係の大きなインシデントが発生する中で、自院においても同様のインシデントが発生するかもしれないという懸念を常に感じているというお話がありました。外来や入院患者への対応が停止するなど、非常に大きな被害に繋がる恐れがあることから、システムを導入することで満足せず、適切に運用することを心掛けているとも述べられました。
さらに、滋賀県商工観光労働部中小企業支援課の大橋伊一郎(おおはし・いいちろう)氏からは、中小企業向けの支援の一環で行っているアンケートの回答結果を参照して、多くの中小企業においてDX化は経営強化の観点が強くサイバーセキュリティの優先度はそこまで高くない傾向にあることが述べられました。
これらの内容は自己紹介も交えて展開され、専門分野の異なる様々な立場の方が今回集まっていることが会場に伝えられました。それぞれ着眼点は異なるものの、中小企業の経営者にとって身近な話題が展開されました。
ランサムウェアの脅威への対策
そして、議題は今最も大きな脅威であるランサムウェアに移りました。まず中小企業の方がランサムウェアに対して気を付けるべきことが何か、について上原教授からトレンドマイクロの田中に質問が投げられました。
田中からは最優先の事項として、VPNの機器の洗い出しや、VPNアカウントの認証強化が挙げられました。またVPNに接続できるIPアドレスやMACアドレスを特定のものに制限したり、業務上使用しない海外からのアクセスを制限したりといった認証要素を増やす方法が有効であることが述べられました。また上原教授の講演の中でも触れられていた脆弱性については、ファームウェアのアップデートを日頃から行っておくことが最も基本の対処法となることも指摘されました。
田中のコメントには、新しいセキュリティ技術を導入するなど特別な対応は含まれませんでした。なによりもまず基本的な対策を徹底することがセキュリティにおいては重要であることがこちらに示されています。
同様の質問は吉田氏にも投げかけられました。吉田氏からはデータの分離が重要だと指摘がありました。中小企業において頻繁にみられるケースとして、まずシステムにバックアップを取る機能がない、または限定的(サーバにはあるが、エンドポイントにはない)であるケースが見られることを挙げました。さらにバックアップデータを別のメディアなど切り離した環境に置くことができていない、または置いておく場所がそもそもない、などの状況が見られることから、データのバックアップを適切に行い、分離させておくことがランサムウェア対策として今後も求められるということが指摘されました。
上原教授の講演の中でも3-2-1ルールに基づくバックアップの重要性が語られていました。昨今のランサムウェアでは、バックアップごと暗号化されるようなケースもあることから、データを異なる領域に保存することの重要性が向上しています。
続いて林氏には上原教授よりすでにランサムウェア対策で行っていることがあるかについて質問が投げられました。林氏からは、3-2-1ルールに準ずるバックアップ体制が整備されていると説明がありました。
またバックアップがあってもランサムウェアによって情報漏洩が起こった場合、大きなインシデントに繋がるため、感染しないことを第一優先にしている旨も述べられました。具体的には外部の業者がVPNを経由してアセスメントを行うなどの際に、アクセス状況を監視していることや、外部業者と連絡を密にし、関係各社のセキュリティ対策状況について個別に確認を行っていることなどが述べられました。さらに、複数の外部業者のアクセスを行う回線を1本化することでより監視効率やセキュリティレベルを向上する取り組みを行っていることも共有されました。
これについて上原教授からは、まさに中小企業の経営者にとっても求められる対策の一つである、と付け加えられました。回線を一本化するなど、発注者側がイニシアチブをとって、対策を改善していく試みを称賛されているように見えました。
各登壇者によるコメントからIT機器の管理、バックアップ、監視といったセキュリティ機能が、より中小企業に求められている状況が明らかになりました。
セキュリティ情報の共有
他の病院等においては十分なノウハウや情報が無いまま、セキュリティやシステムの担当を兼任されている方もいる、という林氏のコメントを発端にセキュリティ情報の共有にも話題が及びました。
林氏からは、上記の状況を改善すべくびわ湖あさがおネットと呼ばれる滋賀県の医療機関によって構成される協議会の中で技術者会議を開きセキュリティ関連の情報共有などを行っているということについて紹介がありました。また同様に大橋氏からは商工会議所内部でDX関連の情報共有の機会が持たれていることなどが話されました。
確かに、多くの情報があふれるセキュリティ界隈において、最新の情報を取得し続けることは難しいものの、サイバー攻撃の脅威の高まりに対抗する為には、不可欠な要素となります。こうしたイベント等に参加し、重要な情報を一括で取得することも組織にとって有効な手立てと言えるかもしれません。
これらを受けて上原教授から、人同士の横のつながりを促進することが社会全体のセキュリティレベルの底上げにつながる、今後とも多くの立場の方にそうした取り組みを期待したい、というコメントで本会は締めくくられました。
振り返れば、多様な情報が詰め込まれていたものの、事例など実態に紐づく情報が多数あり、中小企業の方にとってもまずは何をすべきなのか、困ったら誰を頼ればいいのか、などが明確になるシンポジウムであったと感じました。
トレンドマイクロもこの記事を掲載しているオウンドメディア「SecurityGo」や個別のセキュリティイベントに積極的に参加し、最新の脅威に関する情報を世の中にお伝えすることに尽力しています。引き続きサイバー攻撃被害に遭う組織を少しでも減らせるよう最新の情報を発信していきます。
Security GO新着記事
病院でランサムウェア被害が起きたらどうする?ボードゲームでシミュレーション
(2024年11月19日)
堀場製作所のDX責任者が語る“ほんまもん”のグローバルセキュリティ戦略
(2024年11月15日)
暗号資産マイニングマルウェアとは?~事業停止にもつながるサイバー脅威~
(2024年11月15日)
