このシリーズでは、中小企業の多様性(ダイバーシティ)をテーマに、社会環境が激変するなか、中小企業経営にどんなパラダイムシフトが起こり、私たちの暮らしやビジネスがどのように変わるのかを全6回にわたって読み解いていく。
第二回は、日本も他の国と同じように国境のないサイバー攻撃にさらされ、事業継続への脅威が増えつつある現状を、株式会社サイバーディフェンス研究所上級分析官 名和 利男氏と考えた。
米中、そして米ロ対立の中で、競争がサイバー空間にまで広がり、サイバー攻撃が巨大ビジネスになりつつある。こう聞いても、中小企業の経営者にとっては、対岸の火事。遠い世界の出来事でしかないだろう。しかし、政府や大企業をターゲットにしたサイバー攻撃が激化する一方で、近年、脅威が高まってきているのが「サプライチェーン攻撃」だ。これは、セキュリティ対策に力を入れる大企業ではなく、セキュリティ対策への意識が弱い取引先や関連企業である中小企業を攻撃し、それを踏み台に大企業に侵入する手法。中小企業庁によれば、国内の企業のうち中小企業・小規模事業者が占める割合は、全企業の99.7%に相当する357.8万社(2016年6月時点)になる。まさに、日本の経済の基盤が狙われている形だ。株式会社サイバーディフェンス研究所の上級分析官である名和利男氏に、中小企業経営者にとってのセキュリティ対策の重要性や諸課題について話を聞いた。
2018年7月、セキュリティ企業CrowdStrikeが「最新のサプライチェーン攻撃に対する意識調査」の結果を発表した。日本を含む世界8カ国のITセキュリティ担当者1300人を対象に行ったこの調査では、サプライチェーン攻撃をはじめとするサイバー攻撃がより深刻になるとの回答は97%に上った。日本では79%が脅威意識を抱いていたが、一方で具体的な戦略となると37%にとどまり、「戦略やプランが全くない」という回答が8カ国中、最も多かった。
「さらに中小企業となると、『サイバー攻撃、それがどうした』というのが一般的な反応。経営が厳しいこのご時世で、サイバーセキュリティに予算をさけと言われてもやれない。私は、自ら積極的にやるという中小企業の経営者に出会ったことがありません」(名和氏=以下同)
要は、「ウチが狙われるはずがない」「ウチには取られるような情報はない」という考えが、中小企業の経営者の頭にあるのだろう。
しかし、こんな事例がある。2017年、国内の大手製薬会社が目薬の生産を海外取引先に委託していたところ、その取引先がウクライナを中心に世界中で猛威を振るっていたランサムウェア「NotPetya」に感染。その大手製薬会社は、2015年に起こった日本年金機構のサイバー攻撃による年金情報流出をきっかけに、サイバーセキュリティ対策の強化に取り組んでいたが、取引先の感染によって、複数の国で目薬を月単位で十分に供給できない事態に陥った。
これは、中小企業の経営者にとって「我が事」として重く受け止めなければならない事態だろう。「ウチが狙われるはずがない」のではないのだ。製造業が中心である日本企業では、一次請け、二次請け、三次請け……と取引先が何層にも重なる。直接ではなくても、先の取引先に大手企業がある限り、「狙われる」理由はある。
「つまり、サイバーセキュリティは大企業の問題だけではない。中小企業のシステムがマルウエアに感染し多数の情報が流出。その取引先の大企業から説明を求められるものの、十分に応えられない。取引停止になり、賠償責任を負い、後に廃業に追い込まれる中小企業も出てきているのです」
もっと恐ろしいのは、すでにサイバー攻撃を受けているのに、それを認知していない経営者もいること。問題が大きくなり、収拾不能な段階でようやく気付く中小企業の経営者も存在するのだ。
名和氏は、サイバー攻撃の現状が変わってきていることを指摘。まず、サイバー攻撃を仕掛ける攻撃者の層に変化が出てきているのだ。
「かつては、経験、試行錯誤を重ねたレベルの高い攻撃者が中心でした。しかし近年、世界的に経済の循環が停滞している中で、中小企業の現場において、自分の会社、あるいは生活を守るために、サイバー攻撃を仕掛ける側になる者が表れ始めているのです」
従来の攻撃者に比べれば、この新たに登場している攻撃者は「日曜大工」ならぬ「日曜ハッカー」であり、攻撃レベルは低い。彼らは大企業や政府には太刀打ちできないから、初めから狙わない。セキュリティ対策の意識が薄い、あるいは皆無の中小企業であり、さらにどこを狙えばダメージを与えられるかをよく知っている同業他社をターゲットにする。
この傾向を助長させているのが、「攻撃パラダイス」とも言える現状だ。インターネットの検索エンジンに企業名や経営者名を打ち込めば、企業のホームページ、企業が公的にやっているFacebook、ブログ、ツイッター、インスタグラムのみならず、経営者自身のSNSも簡単に見ることができる。ユーチューブに経営者らが積極的に登場し、自社PRをしている企業もあるだろう。
「社員採用のためのページなどは、企業の透明性をアピールするためか、ここまでかというほど企業の情報を流しています。就活生のコミュニティサイトなんて、その企業の実情がたくさん書かれている。私から言わせれば『攻撃者ホイホイ』。情報はいくらでも、簡単に取れる。現に、こういったところから割り出したID、パスワードが今年に入ってだけでもすでに3〜4回、各数億件単位で流出しており、トータルでは30数億件ほどの情報が公開されています」
いや、アナログの我が社ではSNSなどやっていないし、ホームページだって形ばかりのものだ……。そう考える経営者もいるかもしれない。しかし、例えば経営者本人や社員の出張、旅行の申し込みはどうしているだろうか。旅行代理店にメールアドレスやパスワードを登録していないだろうか。名刺交換をする機会は頻繁にあるが、その名刺にメールアドレスをはじめとする連絡先が書かれていないだろうか。ITとは無縁と話す70代の中小企業の経営者で、確かに仕事では使っていなかったが、お孫さんとのやり取りにスマートフォンを使っている方がいた。そのスマホには、取引先の情報が入っており、サイバー攻撃を受けてそれらの情報が流出したケースもあると、名和氏は言う。
加えて、攻撃を〝発注〟したい人を支援する闇サービスが増え、だれもがサイバー攻撃を仕掛けやすくなっている。ゲームのチャットルームでは、「ライバル社をやっつけたいですか?」「お金を出せば請け負います」などの文字が躍る。日本語でも相談ができるので、簡単に、日常的に、サイバー攻撃に手を出してしまう素地ができている。英語やロシア語ができれば、なおさらだ。
「中小企業の経営者は、かつては自然豊かな安全なところにいたが、今は治安の悪い、犯罪が横行する地域に防御なしにいるようなものだと考えた方がいい。それが現在のサイバー空間なのです。自分の会社や家族を守るために、ある程度の投資をしなければならないということが理解できるのではないでしょうか」
中小企業の経営者の前には、資金繰りや人材育成、人材不足の問題など、さまざまな問題が山積している。そういった状況で、「サイバー攻撃のリスクがある」と言われただけでは、問題解決の優先順位を上げるところまでは至らないだろう。
「中小企業の経営者の方に伝えているのは、サイバー攻撃の脅威がすぐそこにあり、どれほどの被害を被るのかを、ストーリーで捉え、疑似経験すること。脅威を認識しないと動かない。逆に、認識すれば、すぐに動くようになる」
名和氏は経営者に対してサイバー演習を行う際、攻撃者の観点から数週間かけ、徹底して情報収集をする。経営者自身や経営者の身辺にいる人のSNS、経歴、家族構成、電子掲示板……。「攻撃者ホイホイ」という言葉を先に挙げたが、狙いを定めた人の情報は次から次へと入ってくる。その上で、起こり得るサイバー攻撃のシナリオを作成。大企業のサイバー攻撃被害の頻度を飛行機事故に例えると、中小企業のそれは自転車事故程度であることを認識していただく。例えば、特定のネガティブな事象を面白おかしく拡散させるネットユーザーがたくさんいること、「ずぼらなセキュリティ対策で情報流出」などと報道するメディアがいること、結果的に取引先において不安が募り、取引停止や契約打ち切り、廃業の「未来」が待ち受けていることなどを、経営者に擬似経験していただくのです。
「サイバー攻撃によって流れた情報は、事実とは異なっていても、尾ひれはひれがついて、あの企業は終わりだとなりかねない。今はちょっとしたことでも、情報の流通がしやすくなり、それに対する風評被害も発生しやすくなっている。擬似経験によって、経営者に自然と脅威が伝わり、それこそすぐに、サイバーセキュリティに動き始める」
中小企業の利点は、社内での情報伝達が速やかに行われることだ。大企業と異なり、経営者の意識が変われば、社員の意識も変わると、名和氏は強調する。
脅威は認識した。懸念は、コストだ。
「お金をかけずにできることは山のようにあります。具体的には、意識に基づいて行動する習慣を身につける。段階的に、まずは、それから始めることを勧めます」
たとえば、受け取ったメールを無造作に開けていないか? いかにも怪しげなタイトルのものは開ける前に躊躇するだろうが、問題は、つい開けたくなるタイトルが多いことだ。中小企業を狙うサイバー攻撃は、その発信者・発注者が身近なところにいるケースが少なくない。ターゲットが行動を起こしてしまう情報を得ており、落とし所を知っている。子供のPTAを装う、上司・同僚・部下になりすます、近隣地域の不審者情報の案内に見せかける……など。100%防ぐことは不可能であるものの、意識を持つことでリスクを減らせられる。
そして次の一手としては、サイバーセキュリティを考えた製品やサービスの導入だ。「100%防ぐことは不可能」と述べた。だからこそ、今、重要視されているのが「レジリエンス」という考え方だ。
「昔の攻撃は1つの領域のうち限られた範囲だけでした。今は虫食い的に複数箇所に及ぶため、『修正』には時間がかかり、それだけ被害が拡大する。今は、攻撃を受けても元の状態に速やかに復旧させる機能を備えたPCも登場しています。こういった製品を取り入れることは、今後不可欠になってくるでしょう」
なお、「自分は分からないから詳しい社員に任せる」ではだめだ。サイバー攻撃へのセキュリティ対策は、情報システム部門など1部門のリスクではない。経営を左右するリスクであるため、その対策は経営者自らが取り組まなければならない。
「それでもITとは無縁」と考えている中小企業経営者がいるだろう。しかし今後、中小企業は深刻な人材不足などから、人間のリソースをテクノロジーでカバーしていなければならず、そうなるとサイバー攻撃は切っても切り離せなくなる。
中小企業の場合は、大企業と異なり、会社ごとに、仕組みや文化、意識はそれぞれ。日本独自のガラパゴスが残っている会社もある。すべてにあてはまる対策はなく、各会社に応じたものを考える必要があるが、それでも共通しているのは、経営者が意識改革しなければならないということだ。
セキュリティ訓練や認識向上プログラムなどを受ける機会を利用するのも手。現在は、経産省や総務省も中小企業に向けたセキュリティ対策強化に動き出している。各都道府県にあるサイバーテロ対策協議会や商工会議所の支援を受けることもできる。「ウチが狙われるはずがない」「ウチには取られるような情報はない」という考えは、もはや古い。会社を、社員を、家族を守るためには、今、動き出さなければならない。
海上自衛隊において、護衛艦のCOC(戦闘情報中枢)の業務に従事した後、航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティ担当(プログラム幹部)業務に従事。 その後、国内ベンチャー企業のセキュリティ担当兼教育本部マネージャ、JPCERTコーディネーションセンター早期警戒グループのリーダを経て、サイバーディフェンス研究所に参加。 専門分野であるインシデントハンドリングの経験と実績を活かして、CSIRT(Computer Security Incident Response Team) 構築及びサイバー演習(机上演習、機能演習等)の国内第一人者として、支援サービスを提供。最近は、サイバーインテリジェンスやアクティブディフェンスに関する活動を強化中。
中小企業の多様性(ダイバーシティ)
このサイトは、朝日新聞社と読者のみなさまが、中小企業経営の今と未来を考えていく場所です。最新テクノロジーがどのように企業経営を良い方向に変え、社会に価値を生み出していくのか。経営、ビジネスの視点を中心に最新の情報をお届けしていきます。