これまで日本企業は「日本語」という言語の壁によってサイバー攻撃から守られていたが……(写真:redpixel/PIXTA)

顧客情報の漏洩、ランサムウェア(身代金要求型ウイルス)感染による業務システムの停止など、サイバー攻撃によるセキュリティ事故が相次いでいる。はたして企業の備え、対策は十分だったのか……。

元日本マイクロソフト業務執行役員で、現在は圓窓(ensow)代表取締役の澤円氏は「インターネットを通じて世界に開かれた状態でITインフラを使う企業は、意に反してサイバー攻撃ビジネスのエコシステムに顧客として組み込まれてしまっている」と話す。セキュリティをはじめ組織マネジメントに詳しい澤氏に、企業に対するサイバー攻撃の現状を聞いた。

サイバー犯罪は「安心・安全に儲かるビジネス」

――企業を狙ったサイバー攻撃が目立つ現状をどう見ていますか。

インターネット黎明期からしばらくの間、サイバー攻撃は個人の愉快犯が趣味的に行うものでしたが、近年は企業から効率的に金を得るための組織的なビジネスへと変化しました。

サイバー犯罪を行う組織は、リモートワーク前提、グローバルなバーチャルチーム、スキルを発揮できる環境という点で、企業のお株を奪うようなエンジニアにとっての理想的な働き方を提供し、人材を集めています。

さらに違法カジノや違法薬物の取引などに比べて、リアルの世界での移動がなく、リスクの低いサイバー犯罪は「安心・安全に儲かるビジネス」になっています。しかも、コロナ禍の移動制限の中で勢いを増し、その完成度を高めています。

インターネットを通じて世界に開かれた状態でITインフラを使う企業は、意に反してサイバー攻撃ビジネスのエコシステムに顧客として組み込まれてしまっているのです。

これまで日本企業は、日本語という言語の壁によってサイバー攻撃から守られていた面がありました。メールに書かれた不自然な日本語の文章は一目で怪しいとわかりましたが、生成AIの登場で、日本語が母語ではない外国人でも自然な日本語の文章を簡単に作ることができるようになりました。今後、日本企業は世界中のサイバー攻撃者から狙われやすくなるでしょう。

攻撃の成功を前提にしたセキュリティ対策を

――企業は、どうしたらサイバー攻撃の脅威から身を守ることができるでしょうか。

約10年前ですが、数千万人分の顧客情報が流出した米国の大手小売りチェーンをターゲットとしたセキュリティ事案は、出入り業者経由で社内システムに侵入されたとみられています。つまり、どこからリスクが忍び寄るのかわかりません。

企業が、攻撃者の侵入経路をすべて予測して、ふさぐことは困難です。仮にすべての侵入経路をふさごうとして、リスクのある行動をかたっぱしから禁止してしまうと業務に不便をきたします。

すると、社員は効率的に仕事をするために「抜け道」に走り、個人向けサービスを使うなど、さらに大きなリスクを生んでしまうので逆効果です。

セキュリティ対策は、攻撃者に侵入されることを前提に、また禁止事項ばかりで社員が不便さを感じることがないよう「デザイン」することが望まれます。

――経営陣は、セキュリティ強化のために何ができますか。

IT部門に丸投げだと、IT部門の権限としてできることは禁止事項を増やすことくらいになりますので、社員を抜け道に追いやるだけになってしまいます。

セキュリティ対策は、誰かがやってくれるものではありません。現場の社員から経営陣まで全員が当事者として考えなければならない全社的な課題です。

そのうえで、セキュリティ強化には社内にどんなデータがあり、どのように利用しているのか。漏洩したらどんな影響があるのか……といったビジネスの仕組みを理解した「ビジネスを語れるITエンジニア人材」が必要です。

ところが、日本では、エンジニアがITベンダーやSIerに偏在して、IT企業以外にいるエンジニアは少ないのが現状です。


エンジニア出身の経営メンバーとなると、なおさら少なくなっています。日本企業は、セキュリティ事故が起きると経営者が謝罪し、社員に禁止事項を増やして対応しようとしますが、「謝罪と禁止の文化」では、セキュリティ問題は解決できません。

私は、自社のビジネスのフレームワークとセキュリティの両方を語ることができる、たとえ若手であっても優秀な人材をボードメンバーに入れ、経営陣がセキュリティ投資の必要性などをディスカッションできるようにすることがセキュリティ強化の近道と考えています。

ただ、日本の年功序列制度の下では抜擢人事のハードルは高く、こうした日本の企業文化がセキュリティの脆弱性につながることを懸念しています。

「致命傷」を負わない仕組みに

――攻撃者にシステムへの侵入を許してもセキュリティを担保できる対策を「デザイン」するポイントはありますか。

私は空手をしているのですが、格闘技ではスピード、パワーで劣っていても、相手の得意技や攻撃パターンを知り、攻撃されても致命傷になるのを避ければ、ダウンすることはありません。その点、何をされたら組織として致命傷になりうるのか知っておくことが大切です。

企業にとって致命傷となるセキュリティ問題の1つに顧客情報の漏洩があります。顧客の信用を失えばビジネスは大ダメージを負います。逆に言えば、顧客情報が漏洩しても信用が低下しなければ、大きな問題になりません。


澤円(さわ・まどか)圓窓 代表取締役(元日本マイクロソフト業務執行役員)/生命保険のIT子会社勤務を経て、1997年に日本マイクロソフトへ。2006年にマネジメントに職掌転換。幅広いテクノロジー領域の啓蒙活動を行うのと並行して、サイバー犯罪対応チームの日本サテライト責任者を兼任。2020年8月末に退社し、2019年より現職。日立製作所など、数多くの企業の顧問やアドバイザーを兼任し、テクノロジー啓蒙や人材育成に注力している(写真:本人提供)

例えば、漏洩した情報が氏名だけなら、個人が特定され、情報を悪用されるおそれは高くありません。しかし、氏名、電話番号、クレジットカード番号、生年月日などがセットになった顧客データは、攻撃者にとって利用価値の高い情報になります。

そこで氏名、電話番号、クレジットカードなどの個人情報をそれぞれ別々に管理し、それらをつなげて使えるのは、社内ネットワーク内に限定します。さらに社員の生体認証が必要な場合に限ります。こうしたデザインにすれば攻撃者は、社員の“身体”を盗んで生体認証することは困難なので、セキュリティは格段に高まるはずです。

一方で、使い道が難しいデータを盗むのではなく、データをロックして身代金を得ようとするランサムウェア攻撃も流行しています。侵入を完璧に防げるようなセキュリティ対策はありません。

それでもビジネスを継続していこうとするのであれば、OSやソフトウェアは常に最新のものに更新して、現時点で「最強」を保ち続けるようにする。サプライチェーンの一部がサイバー攻撃で停止しても、すぐにリカバリーできるようなプランを用意しておく――といった対策が必要でしょう。

セキュリティはIT部門だけの問題ではなく、ビジネス継続の基礎でもあり、災害等に備えたBCP(事業継続計画)の一部なのです。ビジネス継続を望むことを諦めないのであれば、経営者はセキュリティをコストではなく、不可欠な投資と考えたほうがいいと思います。


東洋経済Tech×サイバーセキュリティのトップページはこちら

(新木 洋光 : フリーライター)