深刻化するサプライチェーン攻撃、サイバー攻撃は常にチェーンのほころびを狙う

　ダークウェブ（闇ウェブ）といわれるネットワーク上では、企業や個人の重要な情報にアクセスするためのＩＤとパスワードがセットで販売されているという。「ネットワークセキュリティは、１００点満点が非常に難しい。近年、『サプライチェーン攻撃」が激増し、子会社や関連企業、仕入れ先や発注先、あるいは、業務委託先など、同じネットワークを使って情報をやり取りするサプライチェーンの一角が狙われて、本体のネットワークに侵入されるケースが増えている」（ＳＯＭＰＯリスクマネジメント取締役執行役員の宮嵜義久氏＝写真）――損保ジャパン日本興亜とＳＯＭＰＯリスクマネジメントが７月８日に東京・日本橋で共同開催した「サイバーセキュリティセミナー」には、企業の情報管理担当者が詰めかけていた。

　インターネットの世界は、グーグルやヤフーなどの検索ツールで自由にアクセスできる「サーフェスウェブ」というスペースに比べて、ＩＤとパスワードの入力等によって入ることができる未公開サイト「ディープウェブ」の方が圧倒的に大きい。特定の人しか使えないはずの「ディープウェブ」も、そこに入るためのカギさえあれば、誰でも侵入し、重要な情報を盗み出すことができる。そのカギの代表がログインＩＤとパスワードのセットだ。ログインＩＤとパスワードが漏れれば総当たり攻撃が繰り出され、個人のクレジットカードの不正利用に使われ、ＳＮＳの管理画面がのぞかれ、企業内サイトへの侵入なども許してしまうことにつながる。

　ＳＯＭＰＯリスクマネジメントの宮嵜氏は、「１３０社のディープウェブを調査したところ、９１％の企業に何等かの情報漏れが見つかった」というほど、会社のネットワークにも穴がある。「サイバーセキュリティは、たとえ９５点の対策ができたとしても、翌日には２０点にセキュリティレベルが下がってしまうこともある。常に、どこが脆弱かということに目を光らせて、情報漏えいがないかということをチェックし続けていく必要がある」という。

　そして、「２０１４年から１８年までで、サイバー攻撃の件数は８倍に増えた。その中で近年、狙われているのはサプライチェーンだ。取引先や業務委託先など、ネットワークにつながることが可能な会社の中に、脆弱な部分があれば、そこから侵入され、本社のネットワークにまで入り込まれるという事案が年々増えている」という。

　同セミナーで講演したＡＮＡシステムズの阿部恭一氏が、「近年のサイバー犯罪は、日本のサプライチェーンの全体を狙っている。たとえば、ＡＮＡマイレージは楽天ポイントやＳｕｉｃａなどと交換できる。不正に取得されたポイントは、複数のポイントとの交換を経てロンダリングされて、どこからが不正なポイントなのか見極めるのが非常に難しい。これらは、１つの組織だけでは対応できない。ネットワーク全体、つまり、日本全体で取り組まないと防ぎきれない」と危機感を持って業務にあたっていると語っていた。

　サイバー犯罪は、大手コンビニのモバイル決済が不正利用される事件が起こったばかりだ。一般にＩＤにはメールアドレスが使われるケースが多く、パスワードの使い回しはなかなかやめられない。良く知っている企業のオンライン・チケット販売や予約、ＥＣでの買い物などから情報が漏れることもある。ユーザーは、自分の情報が漏れる可能性があることを常に意識して、その際に、被害を最小限に食い止める備えをする必要がある。

　一方、情報を取り扱う方の企業は、常にサイバー攻撃を受けているという危機意識をもって、特にサプライチェーン攻撃に対しては、グループ各社や取引先等のセキュリティ対策の現状等についてアセスメント（環境調査）を継続的に行い、「リスクの見える化」を行っていることが何より重要になる。「ボヤのうちに対応し、すぐに消火できる体制を構築していることが大事だ」（阿部氏）という言葉が印象的だった。

　損保ジャパン日本興亜では、サプライチェーンリスクに備えた保険も組成している。また、サイバー保険には「緊急時サポート総合サービス」を自動付帯。保険金の支払いと合わせて、事故判定の調査から、広報支援、信頼回復支援など一連の対応を外部の専門機関と連携することで事故対応をスムーズに実行する。さらに、ＳＯＭＰＯリスクマネジメントが、緊急時に必要となる各種サポート機能を総合的に調整するコーディネートも実施する。事故への対応は、早期に実施することで被害を抑制し、信頼回復も早い。インターネットの便利さが抱えるリスクから、誰もが決して目をそらしてはいられない。（写真は、損保ジャパン日本興亜の「サイバーセキュリティセミナー」でＳＯＭＰＯリスクマネジメントの宮嵜義久氏）