サイバーセキュリティは情報漏洩対策であり、自分のところには大した情報はなく対策は必要ないと考えているところが多い中、やってきたのがランサム攻撃です。機密情報でなくとも、それが使えないと仕事が止まります。
災害などで情報を失っても同じです。また、攻撃者は次々と新手を考案してきます。デジタル依存が益々高まる中、早く気づき適切な手を打てることが肝要です。基本的な考え方を分かりやすくお話ししたいと思います。
|
株式会社ラック |
株式会社ラックの西本と申します。ラックはサイバーセキュリティを中心に、ITインフラの構築から運用・監視までを一貫して提供する会社です。
私は昨年2月まで代表を務めていましたが、その後退任し、現在は技術顧問として活動しております。
本日は、最近気になっていること5点ほどを中心にお話ししたいと思います。なお、講演内容は私見であり、所属する組織の公式見解ではないことをお断り申し上げます。
最近では、『ランサム(身代金)』という言葉はご存じない方はいないかと思いますが、どれほどの被害が出ているか、いくつかの事例でご説明します。
まず、昨年発生した大手飲料会社グループのケースでは、直接的な被害だけで90億円程度。ある飲料についてはライバル企業にも影響が及び、二次被害を含めて業界全体が大きな打撃を受けることになりました。
大手通信販売業のケースでは、この会社の高度な物流システムに依存していた食品業を含む多くの企業に影響が及びました。直接的な被害を含めておそらく120億円程度、関連費用も含めれば全体の被害はさらに大きいと考えられます。
食品業界関連では、ある製粉メーカーが財務会計システムや販売管理システムに攻撃を受け、オンラインバックアップも被害にあったため、上場企業でありながら決算を3カ月延期する事態となりました。
印刷関連の会社では個人情報を含む受託データが流出し、多くの金融機関や地方自治体が被害に巻き込まれました。攻撃による直接的な被害よりも、あってはならない運用が発覚したことが大きな問題となった事例です。個人情報の取り扱いを禁じている社内ネットワークを使用していた、削除したはずの個人情報が実は削除されていなかったなどです。後にこの印刷関連会社には、個人情報保護委員会から厳しい行政指導が行われています。
ランサムで話題になるのが、『二重脅迫』です。まず、データを暗号化して「取り戻したければ、身代金を払え」と1回目の要求をする。拒否すると「払わないなら、盗んだ情報を公開するぞ」と2回目の脅迫を行う手口です。最近は、最初からデータの一部を暴露して脅してくるケースも増えています。
こうした二重脅迫は、大手企業に多いように思います。身代金を払うとは思えない大手企業が、なぜ狙われるのか。最初から身代金を取るつもりはなく、派手に見せしめにしてメディアに報道してもらうことで、犯人にとっての宣伝効果になることを狙っているのではないでしょうか。
一方で、中小企業は身代金をこっそり払うケースも少なくないようですが、払ったからといってデータが戻る保証はないことも、重要なポイントです。
セキュリティといえば『情報漏えい』と捉え、「個人情報漏えいの対策をしておけばいい」「漏れて困る情報なんてない」と考える経営者の方がまだ多いと感じます。「閉鎖環境だから問題ない」と考える方もいる。特に工場などはそうですね。
しかし、漏れても困らない一般的な情報でも使えなくなれば業務が止まってしまいます。昔はシステムが止まっても手書きやファックスで代行できましたが、今は事業全体をコンピューターなしで復旧するのはまず不可能です。
また、自社が攻撃を受けたわけではなくても、取引先が被害にあえば発注が来なくなってしまいます。自社に原因がある場合は、サプライチェーンから外されてしまうようなことにも発展しかねません。
そして一番悩ましいのは、一生懸命サイバー攻撃に対応する方々の心が折れてしまうことです。ランサム犯はすべての手を一度に出してくるわけではないんですね。何とか対応したと思ったら、すぐ次の手を打ってくる。「もうダメだ」と、復旧ができないところまで気持ちが追い込まれてしまう。こうなると非常に深刻な事態に陥ります。
閉鎖環境だからこそ標的になるというのも重要なポイントです。人質に取りたいような機微なデータは、一般社員がアクセスできない閉鎖環境にあることが多い。犯人にとっての目印になるのです。
VPN(※1)とリモートデスクトップ(※2)も、よく狙われる裏口です。IPA(独立行政法人 情報処理推進機構)の調査でも、ランサム感染経路の約9割がVPNとリモートデスクトップであるという結果が出ています。
※1 Virtual Private Network(仮想専用線)の略。インターネット上に仮想の専用通信路を作る技術
※2 離れた場所にあるパソコンを、手元の端末から操作できる仕組み
VPNやリモートデスクトップに対策がされれば、彼らは別の手段を考えるわけですが、少なくとも攻撃者が現時点で採用しているモデルは、次のようなものであると思われます。
世界中のVPNとリモートデスクトップをリストアップし、パスワード漏洩などがないか監視を続け、スキを見つけたら侵入してくる。つまり、常に犯人から見張られていると思ったほうがいいのです。そのフェーズの理解と対策のヒントを、下図にまとめました。
まず、『侵入を許してしまう』フェーズ。今の対策ポイントはVPNです。次に『侵入者の横展開』。社内の複数システムに同じパスワードを使い回すなどしていると、一気にやられてしまいます。そして、ERPを含めた『内部構成を把握』され、『暗号化を実施』される。さらには、サプライチェーンを伝って『他者に渡る』。こうなると、もはや災害と考えたほうがいいような事態になってしまうのです。
次に『デジタルの浸透』という観点から、サイバーセキュリティを考えてみたいと思います。日本のインターネットの父といわれる村井純先生が、著書『インターネット文明』のなかで「インターネット(サイバー空間)は、もはや、酸素」であると書かれました。
昨今の世界情勢を見ても行政や軍隊、社会インフラ、企業、宗教やイデオロギー、犯罪者まで、あらゆる物事がインターネットに依存しており、まさに『酸素』といえる存在になっているのです。
以下の図は食料システムのサプライチェーンを表したものですが、これを見ると食品業界ではさまざまな課題が山積するなかで、デジタル技術を高度に活用したサプライチェーンが作り上げられてきたことがわかります。
食品産業は社数にして全産業の約20%、約65万社にのぼります。大手企業が数百社、中堅層が数万社、零細・個人事業者が55万社。相互に依存しながら、日本の食を支えるシステムが形成されているわけです。
その1社が止まると、他の数万社が止まってしまいかねない。仕入れ先を分散してリスクヘッジしても、実はその先で同じ下請けメーカーが製造しているケースもあります。そこが止まれば、すべてが停止してしまう。これを『単一障害点(※)』といいますが、サプライチェーンのなかにこうしたリスクがどれだけあるかを把握しておくことが重要になるのです。
※ システム内でその1箇所が故障・停止すると、全体が機能停止してしまう脆弱な部分のこと
サイバーセキュリティを考える次の観点は、『犯罪手口の変化』です。警察庁の統計によれば、2023年から2025年にかけて、犯罪被害額が3倍に急拡大しています。何が起きているのか。下図の棒グラフの黒色の部分が急増しているわけですが、これは詐欺による被害です。2025年は犯罪被害総額の約80%を詐欺が占めるまでになっています。
詐欺はどのようなプロセスで起きるか。まず信頼関係を作り、次に相手の感情に入り込み、行動を制御する。実はこの手順はマーケティングや営業のフレームと同じであり、詐欺とは人の心理を操る認知戦の一つであるといえます。
つまり、詐欺とは人間の心理的な隙や行動のミスを突いた『心のハッキング』なのです。従来は、ハッキングといえば『システムへのハッキング』でしたが、最近では『制度へのハッキング』もあり、法制度や各種規制のグレーゾーンを狙った問題行為がいろいろな分野で起きています。
システムへのハッキングだけならエンジニアの範疇ですが、犯罪はそれでは済まなくなっている。この問題を『三層ハッキングモデル』として考えてみたいと思います。
『テクノロジーハッキング』は、いわゆる従来のサイバー戦です。次に、法律戦である『ノームハッキング』。最後に認知戦の『マインドハッキング』。犯罪の主戦場は、明らかに三層の下に移ってきています。
これまでは、先に述べたVPN経由などのテクノロジーハッキングばかりが着目されてきました。しかし、今後、サイバーセキュリティを考えるうえでは、社会の仕組みそのものを狙ったノームハッキングや心理を突くマインドハッキングなども前提とした対策が必要になるということです。
次の観点は、『内部不正』です。私が所属するラック社での緊急対応実態では、内部不正による犯行が約10%を占めます。この傾向は以前から変わらず、コンスタントに同様の割合で発生しています。
上のグラフのマルウェア(コンピュータウィルスの一種)に関する事案も、基本的には内部で発見されます。つまり、サイバーセキュリティを考えるうえで、内部脅威に関わる対策が重要になるということです。
内部犯行には、『不正のトライアングル』と呼ばれる3要素があります。「お金が欲しい」といった『動機』。「悪いのは会社だ(給料が安い)」という『正当化』。そして、犯行ができる『機会』。この3つが揃うと、実行に至るわけです。
こういう人は、出来心ではなく最初から不正をするつもりだった人です。あるいは、詐欺や恐喝、そそのかしによって実行する人もいます。また意外に多いのは、自覚のないケース。規定を知らないがゆえに、不正をしてしまう事案です。
これらのことから、犯行の『機会』を減らすことが対策のポイントだと思われがちです。しかし、欧米のように個人の職務が明確なら対策も行いやすいですが、日本ではマルチタスクでいろいろな人が複数の仕事に関わるため、機会を減らすことはなかなか難しい。それを理解して、しっかりと見守る必要があるということです。
食品業界でも、ふりかけ関連の企業で元社員が転職時に営業資料を持ち出したケースや、大手食品製造会社で退職前に顧客情報を持ち出して、損害賠償請求にまで発展した事例などが起きています。顧客情報やレシピ、仕入価格などが標的になりやすい情報ですね。
内部脅威の特徴を下図にまとめました。まず、『個人的内部不正と組織的内部不正がある』ということ。組織的内部不正とは、たとえば製品テストなどで「昔からこのやり方だからいいじゃないか」とデータを改ざんするといったケースです。現場では是正しにくい厄介な問題です。
2つ目の『統制のしわ寄せ』は、サプライチェーンの下流にいくほど無理が重なり、不正の背景になりかねないという問題です。そして、『組織的記憶喪失』。担当者が変わり、当初の目的や意図が忘れられ、同じような事件を繰り返してしまうというものです。
次に、AIの観点からサイバーセキュリティを考えてみたいと思います。ChatGPT が2022年11月30日に公開され、その後、AIの普及が圧倒的な速さで進んでいます。
となると今後は、AIによるハッキングや詐欺被害が蔓延する時代がくるかもしれません。村井純先生のいう『酸素』であるべき空間が、『毒物』だらけになる。これは何とかしなければいけないと思うわけです。
まず大事になるのは、『疑う常識』を作るということです。例えば、「レターパックで現金送れ」は詐欺。誰でも知っていますね。同様に「社長がLINEグループを作れ」はすべて詐欺。そういう常識が定着すれば、社長が本当にLINEグループを作りたい時には、本物であることを示さなければならなくなります。
これが何を意味するか実感いただくために、次の問題を用意しました。下図のなかで本物の円はどれか、わかりますか?
正解がわかった方は、『本物』と書かれた円にお気づきだと思います。つまり偽物を見抜く必要はなく、本物だけを探せばいい。本物は、自らが『本物であることを証明』しなければならない時代になるということです。
これをセキュリティの用語で『ゼロトラスト』といいます。「決して信用せず、常に検証せよ」という考え方です。
次に「バックアップさえあれば」という神話について。基幹システムにサブシステムが複雑に絡み合っている状態で、万一の時に、バックアップさえあればスムーズに復旧できるのか。さらにバックアップが攻撃者に削除されたら、これまでに投じたコストは無駄な投資になります。侵入を100%防ぐための投資も同様ですね。何事も100%はあり得ないわけで、費用対効果をよく考えて行う必要があります。
先ほどお話した、『単一障害点』も大切な観点です。基幹システムは無事でも、サブシステムが止まれば業務全体が停止する。どこが単一障害点になりえるかを、経営レベルで認知しておくことが、サイバーセキュリティの対策を考えるうえで非常に重要になります。
最後にまとめとして、以下の5点をお伝えしたいと思います。
日本の食を支えていくうえで、高度なサプライチェーンの構築やフードテックなど、デジタル・テクノロジーの活用は必須です。それにはセキュリティの対策が欠かせず、できるだけ早期の実施、推進が大切になります。本日はありがとうございました。
食品業の経営者・マネージャーの皆さまへ
