月刊GCJ
GCJパーソンズ

(167) 那須 慎二

サイバーセキュリティ対策は経営戦略の重要な要

中小企業に対するサイバー攻撃は年々増加している。顧客の情報を扱うことが多い印刷会社では、自社の情報だけでなく、顧客の情報も守らなければならず、セキュリティ対策は万全を期して臨まなければならないが、実際に被害は発生している。そこで、株式会社船井総合研究所サイバーセキュリティコンサルティングチーム・チームリーダーの那須慎二さんに、中小企業のサイバーセキュリティ対策について話を伺った。那須さんは昨年1月、著書『小さな会社のIT担当者のためのセキュリティの常識』を出版した、サイバーセキュリティに詳しい経営コンサルタントである。同著はわかりやすい内容から既に増刷5刷という好調な売れ行きを示している。「サイバー攻撃への対策をしっかりと行っている企業は、もはや経営戦略の重要な要です」と語る那須さん。具体的なセキュリティ対策について話を伺った。

那須 慎二氏

那須 慎二NASU SHINJI

PROFILE

1976年生まれ。北海道札幌市出身。大手情報機器メーカーを経て船井総合研究所に入社。ネットワークセキュリティの安全対策と解決策に詳しい。船井総合研究所ではIT業界に対する経営コンサルティングを行う傍ら、「日本一わかりやすいセキュリティ」をモットーに、中小企業を対象にしたサイバーセキュリティ問題や対策に関する啓蒙活動を実施。

売れ行きが好調の著書『小さな会社のIT担当者のためのセキュリティの常識』

中小企業のサイバー攻撃による被害は後を絶たない

——どのような仕事をされていらっしゃるのですか?

那須中小企業向けの経営コンサルティングが主な仕事ですが、サイバーセキュリティの啓蒙や注意喚起も同時に行っています。3年ほど前に、ITやOA機器を販売している企業さんを支援していく中で、それらの企業さんの顧客に当たる地域の企業さん向けのサイバーセキュリティセミナーを開催するようになったのが契機で、サイバーセキュリティ対策の仕事をするようになりました。

——近年のサイバー攻撃の実態はどうなっているのでしょうか?

那須2014年にはネットワークの不正送金被害が激増し、年間で29億円超に上りました。以後同水準で推移していたのですが、2016年の上半期に8億9000万円の被害にとどまり、下降を見せています。減少した背景には、銀行や警察が「テイクダウン作戦」を実施したことが理由の1つに挙げられます。これは私個人では「不正送金撲滅大作戦」と名付けているのですが、簡潔に言えば、インターネットバンキングに関わる不正送金のサイバー犯罪による被害が不正プログラムの利用によって広がっていることを受けて、銀行と警察が連携し、不正プログラムの駆除を促したり、感染端末を減少させるという活動を行いました。その作戦が功を奏し、不正送金被害が減少したのです。

もう1つの理由として、「ランサムウェア」(身代金ウイルス)の登場で、新たな収益源に攻撃者がシフトをし始めた、ということもいえます。ランサムウェアとは、パソコンの中のデータを全て暗号化し、データを復元するためにはお金が必要だからと、データを人質に取ってお金を奪い取るサイバー犯罪です。これが2015年上半期から徐々に増え、2016年は激増しました。攻撃者はネットバンキングの不正送金に代わる、新たな金脈を発見したのです。

事業規模の大小にかかわらず、サイバー被害は増加の一途を辿っています。特に、中小企業へのウイルス攻撃は増加傾向にあるといえます。

——つまり、被害件数は水面下では増えているのですか?

那須はい。被害に遭ったことを発表するのは大手企業や官公庁のような公的機関に限られています。というのは、世間に知られていない中小企業が被害を発表しても、メディアはニュース性がないとか、社会に与えるインパクトが弱いという理由で取り上げないからです。それに、中小企業ではサイバー被害の対策方法がわからずに、被害を受けたことに気づかないことが多いため、表面化しにくい事情もあります。中小企業が発表するのは業界内やホームページ上で発表するのにとどまります。しかも、発表してしまうと、今後の取引に影響が出ますから、そんな風評被害を招く恐れがあるので発表しないケースが多いのです。しかし、実際の被害件数は増加の一途を辿っています。

——サイバー攻撃者は大手のみならず、なぜ無名の中小企業も狙うのでしょうか? 

那須中小企業であっても、身代金ウイルスはサイバー攻撃者にとって大変な儲けになるからです。例えば、印刷会社であれば、お客様からデータを預かって仕事をしていますよね。サイバー攻撃者はウイルスによってお客様から預かった重要なデータを暗号化して使えないようにします。そして、データを戻してほしかったら、ビットコイン等の仮想通貨でお金を支払うように要求してくるわけです。特に重要データが暗号化されてしまった場合、印刷会社では何とかしてデータを取り戻したいので、仕方なく身代金を払うからです。しかし、払ったからと言ってデータが使えるようなるかと言えば、それは誰にもわかりません。

ソフトは最新状態にしてデータのバックアップ等の対策を

——では、泣き寝入りするしかないのでしょうか?

那須そうですね。データを定期的にバックアップし、そこから復元することができなければ、お金を払うか、復元のための鍵が出回るのを待つしかないということになってしまいます。しかも、海外から攻撃を仕掛けてくるので一層やっかいなわけです。これは単に企業だけが標的にされているのではなく、ネットワークに繋がっている全PCが攻撃の対象になります。

——攻撃はアトランダムに行っているということでしょうか?

那須そうです。身代金ウイルスなどはアトランダムにばらまくだけで、お金が入ってくる仕組みになっています。しかも身代金ウイルスそのものは数分で簡単に作れて、メールでばらまいたり、Webサイトにあるセキュリティの穴を突いて、あっという間にネット上に拡散することができるのが特徴です。そこから多額のお金を得ることができるため、今後も被害が増えることでしょう。メール攻撃の場合は、添付ファイルを開いてしまうとウイルスに感染するようになっています。要求する金額はいろいろで、5万円とか30万円とか、場合によっては数百万円の額になることもあります。ですから、数万円の要求であれば、それで済ませることができるのであればと、ついつい払ってしまうケースがあるのです。

——払ったらデータが元に戻って使えるようになるのでしょうか?

那須先ほどもお伝えしたように、データが使えるかどうかは誰にもわかりません。特に気をつけないといけないのは、サイバーセキュリティ対策をほとんどしていない中小企業です。簡単に侵入できますから、サイバー攻撃のターゲットになりやすいのです。今日ではメールを送り付けてくるだけでなく、Webサイトのバナー広告を表示しただけでウイルスに感染するケースもあります。

——では、防ぎようがないのでしょうか?

那須全くないわけではありません。セキュリティパッチであるとか、修正プログラムでしっかりとサポートすることで防げるケースもあります。JavaやFlashなどのソフトの脆弱性を突く攻撃をしてくる場合もありますから、修正プログラムを定期的に更新していくことが求められます。メールの添付ファイルの開封にも十分ご注意ください。

——自社でできる具体的なセキュリティ対策について教えてください。

那須まず、WindowsのOSは常に最新の状態にしてください。また、ブラウザも最新状態にしておくことが肝要です。Internet Explorer(IE)は未だに利用者が多いブラウザですが、格好のターゲットになりやすいので、一層注意が必要です。それからウイルス対策ソフトは統一して、一元管理にして常にパターンファイルが最新状態になっているかどうかをチェックすることをお勧めします。

——当組合ではクラウドでデータのバックアップ体制を築き、組合員へ利用を促そうとしていますが……。

那須それは良いことです。是非ともクラウドでデータをバックアップするようにしてください。ランサムウェア等でデータを暗号化されてしまった場合でも、履歴管理されていれば、過去のデータを呼び戻して復活利用できることが考えられますから、安全性が高いと言えるでしょう。ですから、履歴管理できるバックアップ体制を構築されることを推奨します。それと各企業ではウイルス対策ソフトは不可欠ですし、それだけでなく、前述したように、JavaやFlashは常に最新の状態にしておくことが重要です。

サイバー攻撃対策はビジネスチャンスにつながる

——いくらセキュリティを強化しても、さらに巧妙な手口で仕掛けてくれば、結局、イタチごっこのような気がするのですが……。

那須確かにそうなのですが、先ほどお話ししたセキュリティ対策をしっかりと実践していくことで、危機的状況が回避できる可能性は高まります。大切なことは、経営者がサイバーセキュリティ対策の重要性を認識し、全社一丸となって取り組むことです。完全に防ぐことは難しいでしょうが、普段から社員一人ひとりがセキュリティの意識を高く持ってパソコン業務に臨み、インターネットと付き合っていくことで、かなり防ぐことはできます。社内でセキュリティ対策の啓蒙を行うことが必要になってきます。

——印刷会社もインターネットによるワークフローを構築するようになってきましたから、セキュリティ対策は不可欠だと、ひしひしと感じます。

那須今すぐにしっかりとしたセキュリティ対策を始めていただきたいです。まずはサイバー攻撃の現状を知るための情報収集をして対策を講じてほしいです。それから印刷業界で実際にあった話を聞いたのですが、某大手教育系出版社の個人情報流出事件があった際、ある印刷会社ではセキュリティ対策をしっかりと講じていることを、Webサイト等で告知していました。すると、当事件の後に仕事が一気に増えたそうです。発注元としては事件があった場合、外注先からの情報流出などを心配しますよね。外注先の見直しが入ります。その時にセキュリティ対策をしっかりと実践している印刷会社だということを謳っていたので、安心できるという見方から外注先に選ばれたというのです。

機密情報や個人情報などデータの漏えいを恐れる発注元にとって、印刷会社が「当社はしっかりとセキュリティ対策をしていますから大丈夫です。安心して仕事をお任せください」という言葉があれば、何も謳っていない企業よりも心強く思うはずです。発注する顧客が増えて売上の向上につながっていくことでしょう。

つまり、サイバーセキュリティ対策を万全にしておくことは、受注されやすい状況をつくることになるわけです。サイバー攻撃のリスクを回避するための投資は、コストではなくビジネスチャンスになるという考えで、是非ともサイバーセキュリティ対策を進めてください。私もセミナーや講演、個別のご相談でサポートさせていただきますので、ご用がありましたら、お気軽にお声をおかけください。

サイバーセキュリティ対策を万全にしておくことは、ビジネスチャンスになる

———— 那須 慎二