インテル セキュリティ佐々木氏が語る「今そこにあるサイバー攻撃の脅威とその対策」

中小企業が取り組むべき必要不可欠なセキュリティ対策

文／石井英男

マカフィー株式会社
セールスエンジニアリング本部
サイバー戦略室
シニアセキュリティアドバイザー
CISSP
佐々木弘志氏

攻撃者側のエコシステムが確立したことで、ランサムウェアの被害が急増

　ウイルスやハッキングといったサイバー攻撃は、年々高度化してきているが、中でも最近はランサムウェア（重要なファイルを暗号化し、その復号化に身代金を要求するマルウェア）の被害が急増している。その理由は、攻撃者側にエコシステムが確立してきたことにあると、インテル セキュリティのシニアセキュリティアドバイザー・佐々木氏は語る。

　「誰でも簡単にランサムウェアを作れるツールが配布されており、そのツールを作る人、実際にランサムウェアをばらまく人は別なんですね。そしてお金の受け取りはビットコインを使うことで、安全なやりとりが可能です。お金儲けの仕組みとして洗練されてきたことによって、急増していると考えられています。ランサムウェアのターゲットは、実は中小企業が多いんです。要求される金額は莫大なものではなく、払える範囲の金額にすることで、支払って解決してしまおうという心理を突いてきています。そういった意味で、非常にやっかいな状況になりつつあります」（佐々木氏談）。

セキュリティツールを導入して管理するだけでは不十分

　もちろん、メールなどを偽装する従来からの標的型攻撃も依然として数は多い。最近でも、大手企業の情報漏洩が相次いで発覚しているが、当然これらの企業もセキュリティツールは導入している。しかし、単にセキュリティツールを導入しただけでは、サイバー攻撃から会社を守ることができないと、佐々木氏は指摘する。

　「サイバー攻撃から会社を守るには、PCやスマートフォンなどのIT機器を利用する社員全員の意識を高める必要があります。標的型攻撃であるフィッシングメールに添付されてきたファイルに対し、訓練を重ねたあとでも、1割ぐらいの人が開いてしまうという調査結果もあります。攻撃側がどんどん巧妙になっていますし、IoT化によって、より多くのデバイスを持ち歩くようになりますが、小さなデバイスでは、リソースの制限により脆弱性があることも多いため、そうしたデバイスが踏み台にされる恐れもあります」（佐々木氏談）。

「経営層」がサイバーセキュリティに取り組む必要がある

　社員全員の意識を高めるためには、まず「経営層」が率先してサイバーセキュリティに取り組む必要がある。その理由として、佐々木氏は次の3つを挙げた。

　1つ目が「サイバーセキュリティは『経営リスク』であるから」で、2つ目が「サイバーセキュリティは『組織全体の問題』であるから」、3つ目が「サイバーセキュリティは『投資』であるから」である。

　1つ目の理由だが、セキュリティインシデントによって情報漏洩や情報改ざん、サービス停止などが起きると、多額の損失が発生するだけでなく、株価下落による企業価値の減少、評判低下による顧客減少などが起こり、事業の存続に影響する可能性もある。これはれっきとした経営リスクであるが、調査結果によると日本企業の経営者は、海外に比べてサイバーセキュリティに対する認識が低いという。

　2つ目の理由は、セキュリティインシデントに対する備えは、組織全体で継続的に行う必要があるからだ。情報システム部のようなセキュリティ対策を行う部署だけが意識を高めても、ほかに穴が残っていては意味がない。また、攻撃側も日々高度化しているため、対策もそれにあわせて強化・改善していかねばならない。つまり、サイバーセキュリティに関してもPDCAサイクル（Plan（計画）→ Do（実行）→ Check（評価）→ Act（改善）といった管理業務を円滑にする手法）を回すことが重要であり、そのためには経営層の「正しい現状認識」が必要になる。

　そうした観点から、サイバーセキュリティは企業の成長のための投資と捉えることができる。これが3つ目の理由だ。企業のIoT化を推進するにはセキュリティ対策が必須だが、適切なセキュリティ対策を実施することで、その分のコストアップを差し引いても、利益の増加が期待できる。

経産省とIPAのガイドラインは経営者必読

　企業の経営層にサイバーセキュリティの重要性を認識させるためには、どうしたらいいのだろうか。佐々木氏は、その第一歩として、経済産業省が2015年12月に公開した「サイバーセキュリティ経営ガイドライン」を経営層に読んでもらうことを薦めている。

　「このガイドラインは、エンジニアではなく経営者をターゲットに書かれたことと、IPAではなく経済産業省から出されたということが、非常に画期的です。経済産業省はご存じの通り、経済を管理している省庁ですが、いろんなライセンスを出している省庁でもありますので。お上というわけではありませんが、そういう規制官庁でもある経済産業省から、ガイドラインが出てきたということで、かなりインパクトがありました。ワールドワイドで見ても、経営者に絞って書かれたガイドラインはそんなに多くありません」（佐々木氏談）。

　このガイドラインは、経営者に向けて分かりやすく書かれており、巻末には用語解説もある。また、セキュリティ対策に対するROI、費用対効果は算出できないとハッキリ書いてあることも、佐々木氏は高く評価している。

　「経営者にとっては何もかもがROIの観点で判断するわけですが、セキュリティ対策のROIを算出するのは非常に難しいんですよね。だから、ROIは算出できませんと、国がはっきり言ってくれたことはありがたいです」（佐々木氏談）。

　このガイドラインは、大企業から中小企業まで広い範囲の経営者をターゲットに書かれたものだが、IPAからは、中小企業の経営層をターゲットにした「中小企業の情報セキュリティ対策ガイドライン」が公開されている。

　こちらは、より実践的な内容であり、具体的なセキュリティ対策について解説されているほか、「5分でできる中小企業のための情報セキュリティ自社診断」などの付録も公開されているので、中小企業の経営者やIT担当者は、さきほどの経済産業省のガイドラインと併せて読むことをお薦めしたい。

　「IPAの資料は、具体的な対策を含めて、サイバーセキュリティのPDCAサイクルをどうやって回したらいいかということについての基本的な考え方が書かれています。また、サイバーセキュリティの相談や問い合わせ窓口も紹介されていますので、中小企業の経営者は、是非サイバーセキュリティ経営ガイドラインと併せて目を通していただけるといいと思います」（佐々木氏談）。

　企業におけるセキュリティ対策については、「サイバー攻撃から企業を守る「インテル セキュリティ」のセキュリティソリューション」を参照してほしい。