NTTチーフ・サイバーセキュリティ・ストラテジスト松原実穂子氏(撮影:宮崎訓幸)
身代金要求型ウイルス「ランサムウェア」による被害やサプライチェーンの弱点を利用した攻撃など、企業を脅かすサイバー事件が後を絶たない。防衛省出身でインテルやパロアルトネットワークスなどの大企業においてサイバーセキュリティ部門の要職を歴任してきたNTTチーフ・サイバーセキュリティ・ストラテジストの松原実穂子氏に、複雑で高度なサイバー攻撃にどのように対処すべきかを聞いた。
ランサムウェアが9年連続「脅威」の1位に
——企業に対するランサムウェア攻撃が猛威を振るっており、IPA(情報処理推進機構)が発表した「情報セキュリティ10大脅威2024」でも1位、9年連続してランクインしています。専門家だけでなく企業においてもランサムウェアに対する脅威の認識は浸透していると思いますか。
松原 実穂子/NTTチーフ・サイバーセキュリティ・ストラテジスト早稲田大学卒業後、防衛省入省。米国ジョンズ・ホプキンス大学高等国際問題研究大学院に留学して修士号を取得。帰国後は日立システムズ、インテル、パロアルトネットワークスでサイバーセキュリティ部門の要職を歴任し、現職。最新刊に『ウクライナのサイバー戦争』(新潮新書)。
松原実穂子氏(以下・敬称略) はい、企業においてもランサムウェア攻撃は経営に直結する大きな問題だという認識が高まっています。
なぜかというと、これだけ業務がDX化されている現在、攻撃を受けたときに企業が受けるダメージは甚大だからです。ランサムウェア攻撃を受けると、日本企業では平均2週間業務が停止してしまうとのトレンドマイクロによる調査結果もあります。それだけの期間、業務停止してしまえば、自社だけでなく、サプライチェーンにもドミノ式に影響が及び、大きな損失を生むことになります。
二次・三次請けを含めたサプライチェーン全体の対策が必要
——同発表では「サプライチェーンの弱点を悪用した攻撃」が2位です。サプライチェーンに対する攻撃は、製造業が主要産業である日本にとって大きな脅威ですが、対策は進んでいますか。
松原 大企業では、サプライチェーンへのサイバー攻撃が経営に直結するという危機感はかなり高まっています。そのため、サプライチェーン全体のサイバーセキュリティ対策の最低限のラインを決めるルール作りを進めています。
例えば、自社グループ以外の取引先に対し、「当社と取引するには、このセキュリティ対策をしてください」という内容を契約書に盛り込む取り組みも進んでいます。
ただし、契約書で縛れるのは一次請けのみです。製造業のように二次請け三次請けと何層にもわたっている場合、それら全ての企業に浸透させるのには苦労しているのが現状です。
これは日本に限った話ではなく、世界共通です。中小企業が、サイバーセキュリティの専門人材を雇い、多額の対策予算を投入することは、現実問題としてかなり厳しいです。攻撃者もそれが分かっているからこそ、中小企業に攻撃を仕掛けてきます。同じ知的財産情報を持っているのであれば、防御の固い大企業よりも弱い中小企業を狙った方がコストパフォーマンスが良いからです。
しかし、中小企業は世界の企業の9割以上を占め、サプライチェーン上、重要な位置を占めています。サプライチェーンを守るためには、国全体として中小企業のセキュリティ対策を考えなければいけない時期に来ていると感じています。
