国内のランサムウエア被害がしばしば報道され、セキュリティインシデントの発生は企業にとって、いっそう身近な脅威になってきている。サイバーセキュリティ対策は企業規模の大小に関わらず行うべきものだが、では具体的に何をどうすべきなのか。スモールビジネス向けの統合型クラウドERPを提供するfreee株式会社でCISOを務める茂岩祐樹氏が、サイバー攻撃に見るサイバーセキュリティの重要性と、ルールの策定や組織編成、freeeにおける取り組みについて解説する。

※本コンテンツは、2022年11月10日に開催されたJBpress/JDIR主催「第2回サイバーセキュリティフォーラム アジリティとレジリエンスを備えた強固な経営基盤の実現」の特別講演1「freeeが見据える、サイバーセキュリティの未来」の内容を採録したものです。

動画アーカイブ配信はこちら
https://jbpress.ismedia.jp/articles/-/73911

ランサムウエア被害に見るサイバー攻撃の影響と対応ポイント

 大手ネット企業で創業時からインフラ構築・運用を手がけ、長年にわたって同企業グループの情報セキュリティを統括してきた茂岩祐樹氏。その豊富な経験を生かして、2022年4月からはfreee株式会社でCISOを務めている。セッションの冒頭、茂岩氏は「セキュリティをシステム担当者や業務委託先に丸投げしていませんか」と問いかけ、「経営層は、セキュリティ対策が経営上いかに重要かを認識すべきです」と切り出した。

 茂岩氏は、さまざまなセキュリティ脅威の中から、ランサムウエア による被害を紹介する。IPA(情報処理推進機構)が毎年発表する「情報セキュリティ10大脅威」では、その社会的影響の大きさから2年連続で1位となっており、警察庁からも注意喚起が行われている。ランサムウエアはマルウエアの一種で、コンピュータ内のファイルを暗号化して使えなくし、これを復号する条件として身代金(ランサム)を要求するというものだ。

 ランサムウエアは、上図のように着弾、実行、読み取り、暗号化、送出という感染プロセスをたどる。それぞれの段階で防御のための対策が可能だが、最も重要なのは4番目の暗号化に対する対策だ。「バックアップを毎日取得し、オフライン化していれば、ファイルを凍結されても、すぐにバックアップから戻して業務を再開できるのです」と茂岩氏は示唆する。

 ランサムウエアの被害は国内でも年々増加しており、警察庁が発表している報告件数では、令和2年下期に21件だったものが、令和3年下期には85件と4倍になっている。復旧までに要した金額は、1000万円以上5000万円未満が35%と最も多く、5000万円以上も8%ある。米国では2021年5月、東海岸で燃料の約45%を供給するコロニアルパイプラインがランサムウエアの被害に遭い、1週間パイプラインが停止した。同社が最終的に支払った身代金は440万ドルに上ったという。日本でも2022年3月、大手自動車メーカーのサプライチェーンの1社がランサムウエアに感染し、1万3000台の生産に影響が出た。

 茂岩氏は、ランサムウエア被害の実態から見える対策ポイントを2つ指摘する。

「まず1つは、ランサムウエアの攻撃者が多額の身代金を手にしていることです。これは、バックアップが取得できていない企業が多いということです」。経済産業省は身代金の支払いに応じないよう注意喚起しており、また国内のサイバー保険はランサムウエアの身代金を保証対象としていない。それだけにバックアップの有無は、被害後の明暗を分けるともいえよう。

 そして2つ目のポイントは、「ランサムウエアの対応には、技術領域以外の力が必要」ということだ。「業務が止まることによる機会損失・契約不履行への対応はもちろん、機密保持契約違反、顧客情報の漏洩に伴う報告義務、身代金支払いに関するレピュテーションリスクなど、法律的問題への対応が必要になります。またしばしば事業の存続に関わるギリギリの意思決定が必要になり、財務基盤も含めた経営全体の問題に発展しがちです」と、茂岩氏はサイバーセキュリティが経営の危機管理として非常に重要であることを強調する。