テクノロジーで変革する中小企業の未来

昨今、我が国のビジネス環境は予断を許さない状況になりつつある。少子高齢化による空前の人手不足をはじめ、収益確保や事業継承など、中小企業の経営環境は厳しさを増す一方だ。また、米中貿易摩擦の激化は日本経済全体への影響が懸念され、中小企業にとっても見過ごせないリスクとなる。新しく訪れた令和の時代に中小企業が生き残り、さらに力強く成長し続けていくために、どのような手を打つべきなのだろうか。Business Insider Japan統括編集長・浜田敬子氏が3人の識者にそのヒントを聞いた。

Vol.2は情報システムセキュリティやサイバーセキュリティ、マルウェア対策の研究者として活躍する横浜国立大学の吉岡克成 准教授との対話をお届けする。

Business Insider Japan
統括編集長：
浜田　敬子（はまだ・けいこ）

1966年山口県生まれ。上智大学法学部国際関係法学科卒業後、朝日新聞社に入社。2014年に女性初のAERA編集長に就任。その後、総合プロデュース室プロデューサーを経て、2017年に退社後、ビジネスニュースサイト「Business Insider Japan」統括編集長に就任。

横浜国立大学
大学院環境情報研究院／先端科学高等研究院 准教授
吉岡　克成（よしおか・かつなり）

2005年に横浜国立大学にて博士(工学)取得。2019年現在は横浜国立大学 大学院環境情報研究院／先端科学高等研究院 准教授として活動の傍ら、情報通信研究機構（招聘専門員）、産業技術総合研究所（客員研究員）など、各種研究機関で情報セキュリティ関連の研究に携わると共に、総務省 サイバーセキュリティタスクフォース等、政府有識者委員を多数務めている。

―― 大企業以上に中小企業が狙われている

浜田氏：今日の企業にとって、最大のリスクのひとつはサイバー攻撃といわれています。私も経済メディアとして企業取材が多いので見過ごすことのできない問題です。サイバー攻撃の現在の状況はどうなっているのか、全体像を教えてください。

吉岡氏：非常に高度な、国家の関与が疑われるようなものから、ティーンエイジャーが遊びでやっているようなものも含め、サイバー攻撃は非常に多岐にわたっています。ただし、頻度としては増加傾向にあり、しかも高度化、巧妙化しています。

浜田氏：企業の対策も進んでいるかと思いますが、攻撃は増え続けているということでしょうか。

吉岡氏：確かに大手企業では対策が進んでいますが、イタチごっこが続いているといっていいでしょう。

浜田氏：2年前、朝日新聞社にいた頃は多くのスパムメールが送られてきました。ところが転職したベンチャーではほとんどありません。

吉岡氏：個人宛にメールを送りつける標的型攻撃ですね。攻撃者も狙う価値があるところ、投下したコストや労力に見合う対価が得られる攻撃対象を見極めているのです。新聞社をはじめとする大手企業や官公庁、研究機関などは重要な情報があると考えられるため、標的にされやすいのだと思います。

浜田氏：ということは、中小企業が狙われるリスクは大企業に比べれば小さいと考えていいのでしょうか。

吉岡氏：そうとはいいきれません。大手企業ではコストをかけて攻撃をいち早く検知し、対策できるようになっているため、単純な攻撃は通用しなくなっています。では攻撃者がどうするかというと、大手企業と取引のある中小企業を狙います。そこを踏み台に大手企業に侵入しようとするのです。中小企業はリスクがないかというとそんなことはなく、むしろサプライチェーンの中で取引先に迷惑をかける可能性は大きいといえます。

浜田氏：中小企業を入り口に大企業や官庁を狙うということですね。

吉岡氏：残念ながらそういう状況と考えられます。セキュリティ対策はただ対策ソフトを入れればいいというだけでなく、監視要員やインシデントが発生したときに対策する人材など、人的コストもかかります。体力のない企業には大企業と同じような対策をとることは難しいのかもしれません。

浜田氏：セキュリティ対策にはコストがかかるということは、経営者がどれくらいセキュリティ対策に経営リソースを配分できるか、その意識や決断が重要になると言えそうです。

吉岡氏：私も講演活動などの中で、サイバーセキュリティの実態をお伝えする機会は少なくないのですが、そんなことは知らなかったという方がほとんどです。政府も含め、リスクをしっかりお伝えする活動が必要だと痛感しています。

―― 身近なところにある大きなリスク

浜田氏：吉岡先生が最近実感されたリスクにはどのようなものがありますか。

吉岡氏：私自身が標的型攻撃のターゲットになったことがあります。仕事柄、不特定多数の学生とコミュニケーションをとっており、面談の機会も多いのですが、そのアポイントメントを装った攻撃でした。これはかなり気づきにくいと思いましたね。

浜田氏：学生になりすました標的型攻撃だったのですね。それはすぐに攻撃と気づかれたのですか。

吉岡氏：その時はメール文面の日本語に稚拙なところがあったため、怪しいと気づくことができました。

浜田氏：それは吉岡先生だからこそ気づけたのかもしれないですね。私自身の場合、たとえば記事へのクレームのような真剣に対処せざるを得ないようなメールなら、添付ファイルも開いてしまうかもしれません。こちらの気持ちの裏側を読んだ手口を使われたら本当に騙されてしまいますね。

吉岡氏：かつてのサイバー攻撃はシステムが対象でしたが、PCのセキュリティは格段に進化し、強固になっています。すると攻撃者はシステムではなく人を狙うようになったのです。現代のセキュリティは、システムの対策と人の意識レベルの対策、この両輪が欠かせなくなっています。

浜田氏：サイバー攻撃の実態をお聞きしていると、どんどん怖くなります。個人としてはどんなことに気をつければいいのでしょう。

吉岡氏：最近ではインターネットにつながるIoT家電、家の中の見守りカメラやプリンターなどがサイバー攻撃の対象になり、すでにウィルス感染しているケースが2016年頃から顕著になっています。

浜田氏：スマートスピーカーを利用する人も増えていますが、これも攻撃の対象になりそうですね。

吉岡氏：はい。インターネットへの接続機器にルーターというものがありますが、これが感染して乗っ取られ、他の人への攻撃の踏み台として悪用されていることも明らかになっています。

浜田氏：それは衝撃的です。ルーターはまったく考えたことがありませんでした。

吉岡氏：ルーターやカメラ、プリンターなどにはPCと同じようにファームウェアというプログラムが入っています。これを常に最新バージョンにアップデートしておくことが対策としては有効なのですが、大多数の方はそれすら知らないのが現状です。

浜田氏：生活が便利になっていく一方で、それだけ攻撃の対象が増え、セキュリティリスクも増しているのですね。便利といえば、フリーWiFiが普及してきて、外で仕事ができる環境もかなり整備されていますが、これはセキュリティの観点から見るとどうなのでしょう。

吉岡氏：やはりリスクは高いといえます。たとえばカフェに行って、そこの名前がついたアクセスポイントがあったとして、その名前でアクセスポイントを立てるのは誰にでもできます。本当にそのカフェのサービスなのか罠なのかを見極めることは原理的には不可能です。PC自体のセキュリティと同様、誰がどのように管理するネットワークを介してインターネットにつながっているのか、その途中のセキュリティはとても大事なポイントなのです。

―― セキュリティ対策を戦略的投資と捉える

浜田氏：サイバー攻撃を受けたら、それは自分ひとりの問題ではなく、会社はもちろん、取引先も含めて影響があるということに意識を向ければ、どれほど慎重になってもなり過ぎということはないということですね。ビジネス継続という意味では、企業が生き残りをかけて海外に出ていくということが、中小企業でも当たり前になっています。そこでのセキュリティリスクについても教えてください。

吉岡氏：海外進出するということは、人の流れ、モノの流れが多様化するということです。つまり、それだけ怪しいものが紛れ込む可能性も広がるということになります。たとえば、国内企業との取引ではメールも日本語だけですが、海外進出では他言語のメールも増えるでしょう。そのときに攻撃に気づけるのか、ということがあります。

浜田氏：母国語のメールなら文面が稚拙かどうかで見分けられますが、他の言語ではそれがわからない、攻撃により気づきにくくなるということですね。

吉岡氏：さらに、多様な人がいるということは、社内のセキュリティ意識を高める活動も、今以上に困難になることは容易に予想できます。大学でも、海外の研究者を招聘するなど、人の入れ替わりが激しい部局があり、そこのセキュリティ確保は非常に難しいものがあります。

浜田氏：今日はいろいろなお話をお聞かせいただきましたが、私たちがそういった脅威に日常的にさらされているということを意識し続けるのは難しいですね。

吉岡氏：いかにその意識を持ち続けるかということは、サイバーセキュリティの最大の課題だと思います。

浜田氏：サイバーセキュリティのセミナーなどを見るといつも満員で、担当者の危機感は高いのだと思います。でもそれを一般社員や経営層となかなか共有できていないようです。どうすればよいのでしょう。

吉岡氏：やはり事例を示すというのは効果が大きいですね。脅威は身近なところにあるということ、さらにインシデントが起きてしまったときのインパクトとダメージ、コストの大きさをご紹介すると、みなさん、目の色が変わります。

浜田氏：起きてしまってからの事後処理にかかるコストと、普段から対策しておくコストでは、後者のほうが費用対効果が大きいということですか。

吉岡氏：もちろんです。さらに、セキュリティは万全ということを売りにするという新しいビジネスの考え方もあるかもしれません。

浜田氏：セキュリティ対策を万全にやっているということを強みに新しいビジネスにつなげる――それはまさに経営戦略そのものですね。であるなら、セキュリティ対策はコストというより投資ということになります。

吉岡氏：セキュリティをコストと考えるか、投資と考えるのか。発想を転換していただいて、自分たちの強みにできるような判断をしていただきたいですね。それができるのは経営トップだけです。

「軽視できないサイバー攻撃のリスク」のダイジェスト動画を上映中！