[PR] セキュリティのプロ
西尾素己氏が警鐘を鳴らす
～正しいリスク対策で会社の資産を守る～

3つの「ない」がリスクを高めています。
まず情報システムの「体制と予算」です。担当者は1人、しかも専門家ではない。年間予算も限られる。ITから縁遠い業種ならごく普通です。
次に「ガバナンス」。社内のハードウェアもソフトウェアも管理されていない。
最後に「意識」です。「うちみたいな中小に誰が攻撃してくるんだ」と高をくくっています。
しかし、サイバー攻撃で暗号化したデータの復元と引き換えに身代金を要求するランサムウェアの発達で、いまはそんなことはありません。
むしろ、中小企業のほうが危ない。

2018年以降、大規模なビジネスとして本格化しました。
IT技術はない、でもサイバー犯罪で利益を得たい、という人々に攻撃のツールやマニュアルを提供するんです。
マニュアルは25カ国語。日本語版もありますね。
「RaaS（ランサムウェア・アズ・ア・サービス）」と呼ばれます。10兆円市場と言われています。

この攻撃力がいま、軍事グレードにまで上がっています。
軍事大国はどこも安全保障の観点から、サイバー攻撃力を合法的にどう保有するか、躍起になっています。
米国も中国もロシアも、それぞれのやり方で保有しています。
そこで培われた高度な攻撃力を、犯罪者に利用されてしまうのです。

犯罪者側の戦略が、大企業相手から中小企業相手に転換してきたからです。
確かに当初は大企業を狙っていました。しかし大企業は、そのうち対策を取るようになる。すると、攻撃コストがどうしてもかさむ。
そこで、少額の利益を攻撃回数で積み上げる考え方にシフトし、攻撃コストの低い中小企業に矛先を向けるようになったのです。

戦略転換の背景には、企業側の事情もあります。

まず中小企業はキャッシュフローの悪さから身代金要求が通りやすい、と言えます。
月3000万円を売り上げる生産ラインを持つ企業の場合、サイバー攻撃を受け、生産機能を１カ月間麻痺させられたとします。
身代金の金額が300万円とすると、生産機能の麻痺が続くより要求をのんだほうが得策と判断しがちです。

一方、大企業は、身代金の要求を下手にのんだりすると、グローバルでビジネスを展開できなくなるリスクが増しています。
米国では、身代金の要求に応じることはテロ組織に対して資金を提供するのに等しい行為である、と規制を強化したためです。
米国の企業を買収しようとするとき、この事実が発覚すれば、グローバルでの地位を失うことになる。
大企業はこうした理由から、身代金を出し渋るようになっています。

中小企業への攻撃は、これまで以上に激しくなっています。
犯罪者はインターネット上をスキャンしながら、例えばOSがバージョンアップされていないパソコンを探し出し、そこに一斉攻撃を仕掛けてきています。

Webサイト上で悪意のあるソフトウェアに感染させられる場合もあれば、そうしたソフトをメールで送りつけてくる場合もあります。
さらに、SaaS（ソフトウェア・アズ・ア・サービス）の事業者経由で攻撃する例も見られます。

中小企業の多くがいま、SaaSを利用しています。そこには膨大な数の企業の情報があるため、犯罪者側からすると効率が非常に良い。
一方、SaaS事業者側のサイバー攻撃対策はピンからキリまで。
顧客企業を守り切れていない事業者もあります。

生成AIを活用した攻撃には注意が必要です。

一つは、ゼロデイ攻撃です。
ソフトウェアに発見された脆弱性をなくす修正プログラムが提供される前に行われるサイバー攻撃です。
脆弱性を発見し修正プログラムを書く作業はこれまで、限られた人が人力で担当してきました。
ところが、脆弱性を発見する役割を生成AIに置き換えられるようになりました。
その結果、脆弱性を発見し、そこを攻撃することが、これまでに比べ低コストで済むようになってきたのです。
攻撃対象は、国の機関が管理する重要施設から民間企業にまで広がりを見せています。

もう一つは、ワンデイ攻撃です。
ソフトウェアの脆弱性は、修正に向けて対策を施した後でも、パッチ解析すれば特定できます。
ただ、その作業は人力で数カ月はかかりました。
ところが、その作業に生成AIを活用すれば、その期間を一気に縮められます。単純なものであれば数時間で済む。
その結果、ソフトウェアの利用者がプログラムに修正作業を施すより早く攻撃を仕掛けることで脆弱性を突けるようになったのです。

OSを古いバージョンのまま使い続けるなんて、あり得ません。いつ攻撃されてもいい、と言っているようなものですからね。

パッチが配布されないため、犯罪者は誰もが利用しているようなソフトウェアに攻撃を仕掛けてきます。
ブラウザもそうですが、それ以上に危険なのはOSです。
サポートが終われば、そこに新たな脆弱性が発見されても修正されません。
これではまるで、多額の現金を家に置いておきながら、戸締りをしていないようなものです。

OSがWindows10以前のバージョンなら、 Windows 11 へすぐにバージョンアップしておくべきです。
サポート切れのOSは、とにかく狙われやすいんです。

第一にやってほしいのは、セキュリティ水準を意識した製品選定です。
OSよりハードウェア寄りの低レイヤー領域になると、どの製品を購入するかで、セキュリティ水準は決まってしまいます。
購入時点での水準から大きくはアップグレードできませんから、購入するタイミングでしか投資できない領域です。

例えばパソコンを購入する場合、様々な判断基準がありますが、ハードウェアのセキュリティ強度、という点は判断軸に含めるべきです。
例えばセキュリティの確保に必要な最新の機能を搭載しているか、という点は最優先してほしい。

欲を言えば、セキュリティ投資の土台とも言えるITガバナンスを利かせる体制にも意識を向けてほしいですね。

米国国立標準技術研究所（NIST）のサイバーセキュリティフレームワークでは、セキュリティ管理の流れを、「特定」「防御」「検知」「対応」「復旧」の順で定めています。
従来は、このうち「検知」「対応」「復旧」に重きが置かれていました。
悪意のあるソフトウェアに感染させられる恐れがあるから、それをどれだけ早く「検知」し、適切な「対応」を取り、被害を受けたらどれだけセキュアに「復旧」させるか、という発想です。

ところがいま、「シフトレフト」という動きが全世界的に起きています。
フレームワークの流れの右に位置する「検知」「対応」「復旧」偏重の傾向を改め、流れの左に位置する「特定」「防御」にも注力していこう、という動きです。

「特定」とは、社内で利用するハードウェアやアカウントを把握すること。
「防御」とは、そこで利用するOSやソフトウェアのバージョンが古ければすぐに更新することです。
サイバー攻撃を仕掛ける側は試行錯誤を重ね、どんどん進化していますから、「検知」以降の流れだけを重視しても対処し切れません。
「特定」「防御」にも注力しITガバナンスを利かせることで確実に対処しよう、という発想に立つようになったのです。

そうです。そのうえで問われるのが、OSは最新バージョンなのか、という点です。
Windowsユーザーなら、「11」へのバージョンアップが不可欠です。

Windows 11 Pro についてもっとお知りになりたい方は、下記の特設ページもご参照ください。
https://www.idaten.ne.jp/portal/page/out/windows11pro/index.html