企業にとって、一連の商流、“サプライチェーン”上の弱点が狙われて侵入される攻撃が無視できなくなっている。中小企業が知るべき現状と、具体的な対策について、サプライチェーン・サイバーセキュリティ・コンソーシアム 中小企業対策強化ワーキンググループの座長を務める森井昌克氏に聞いた。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
「サプライチェーン攻撃」が重要なキーワードとなっている。ランサムウェアによる被害が多数報告されている中、その侵入方法をより詳しく見ると、被害に遭った組織ではなく、そこにつながる関連会社を経由し、内部に入り込んでいる事例が増えてきた。先日話題となった大阪急性期・総合医療センターにおけるランサムウェア被害についても、関連する給食提供会社のサーバを通じて侵入されたという報道もある。
企業にとって、一連の商流、“サプライチェーン”上の弱点が狙われて侵入される攻撃が無視できなくなっている。その状況認識と今後の対策のために、産業界が一体となって、中小企業を含むサプライチェーン全体のセキュリティ対策を推進することを目的とした、「サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)」が設立されている。
今回はSC3内で、2020年12月に設置された「中小企業対策強化ワーキンググループ」(WG)座長の森井昌克氏に、中小企業が知るべき現状と、具体的な対策について聞いた。
「サプライチェーン攻撃」という言葉をよく聞くようになったが、それが指すものは幅広い。一般的に使われるこの言葉の定義について、森井氏は「一連の商流、つまりサプライチェーンにつながる企業群における“関係”を突く攻撃」と表現する。関連企業を利用した攻撃の前提には、階層化された企業のつながりを利用し、下位に存在する中小規模の企業を攻撃してトップティアに侵入したり、サプライチェーンで構成された企業活動を妨害したりするような攻撃を、サプライチェーン攻撃と定義する。
大きな影響を与えたのが、2022年3月に発生したトヨタ自動車における事例だ。内装部品を手掛けるサプライチェーンの一つ、小島プレス工業のシステム障害が起点となり、トヨタ自動車の国内全工場が稼働を止めた。
「サプライチェーンの一つが止まってしまったことで、トヨタ自動車の事業全体を止めることになった。製品供給が途絶えることで全体が止まり、事業体全体に被害が及んだ」(森井氏)
サプライチェーン攻撃と呼べるものが大きな被害を発生させている理由について森井氏は、「やはり中小企業の対策が十分ではないからだ」と指摘する。特に日本ではその傾向が強い。
「国内から国内のサイバー攻撃が一般的ではなく、やはり海外からの攻撃が多い。これまでは海外の攻撃者も日本の産業構造を学習しておらず、著名な企業が狙われる時期もあった。その現状が明らかになるにつれ、日本の中小企業がサイバーセキュリティ対策を講じていないことが、国際的にも明らかになったのではないか」(森井氏)
中小企業の対策が進んでいないのは、急速なIT化の影響だけではなく、「カネ、人、知識がないというのが、失礼ながら実態としてはあると思う」と森井氏。どうしてもセキュリティ対策が後回しになるだけでなく、そもそもその重要性が理解されていないために、対策がおろそかになっているのが現状だ。
その状況で、「セキュリティ対策を講じろ」と言われても無理がある。ITベンダーに相談しようとしても、セキュリティ対策には多額のコストが要求されてしまう。そのコストは利益に結び付かないので、経営者も二の足を踏む。この悪循環を断ち切らねば、サプライチェーン全体を強くすることができない。
「大事なのは、なんとかしてサイバーセキュリティに対する意識を高めること。それに対して、コストが大きな負担にならないような支援が必要だ。そのような、可能な限りの支援策を作り、浸透させるのが大事なのではないか」(森井氏)
ここでいう可能な限りの対策とは、「最小限の対策だ」(森井氏)。「コストがかかる対策をやるか、何もしないか」という2択ではない、その間を埋めるような対策が求められる。それこそが、SC3の中小企業対策強化WGの狙いだ。
SC3、そして情報処理推進機構(IPA)による中小企業対策の一つが、「サイバーセキュリティお助け隊サービス」だ。
IPAやSC3はこれまでも、「中小企業情報セキュリティ対策ガイドライン」といった無料のガイドライン群、そしてチェックリストとして活用可能なセキュリティ対策自己宣言「SECURITY ACTION」などを、中小企業向けに提供している。「しかし、それらの対策はなかなか届かない」と森井氏は力を込める。
「情報システム部が存在するなど、かなり体力があるところならば、これらのガイドラインや指導を理解できる能力がある。しかし9割以上は10人以下の企業で、ガイドラインなどの対策がまだ行き届かない。『理想』ではなく、『現実』を届けなければならない。その対策の一つが、サイバーセキュリティお助け隊サービスだ」(森井氏)
「サイバーセキュリティお助け隊サービス」は、実証実験を踏まえ、10人以下の中小企業にもマッチするワンパッケージで安価なサービスに対し「お墨付き」を与えるものだ。このサービスに登録されている製品は、条件として相談窓口が用意されていることや24時間監視の仕組みがあること、さらにはネットワーク監視型なら月額1万円以下、端末監視型なら1台につき月額2000円以下で提供するなど、中小企業でも手が出せるレベルの要件が設定されている。既にこれらの要件を満たしたサービスが、地域の商工会議所や保険会社など複数登録されている。
「コストが最小となるよう、具体的な支援策として提供している。月額1万円なら、社長が1回飲みに行くのをやめればなんとかなるレベル。その中で、できるだけ有効なサービスとなるように、セキュリティベンダーなどの協力を得ながら作り上げた」(森井氏)
この価格の中で相談や駆け付けサービスも含まれており、これらのサービスは“破格”といえるレベルだ。ただし、「それだけで全てが守れるわけではない」と森井氏は話す。
「あくまでこれは最小限。『少なくともここまではやってください』というレベルを1万円で設定している。中小企業は、これまでもウイルス対策ソフトウェアは導入していた。本格的なセキュリティ対策をベンダーに頼むと価格が1けた、2けた上がってしまうが、その中間となるようなサービスとして、サイバーセキュリティお助け隊サービスを導入してほしい」(森井氏)
2022年12月現在、サイバーセキュリティお助け隊サービスは27の事業体、800以上のユーザー企業を抱えるほどの規模となり、毎月その数字は増えているというが、まだ広報も足りず、さらに高い導入目標を持っている。
サイバーセキュリティお助け隊サービスは、製品導入だけでなく相談窓口としての機能もある。登録サービスの多くは月次レベルでのレポートを作成するサービスもあり、それらを読むことで、サイバーセキュリティに対する脅威と現状の理解度を上げてほしいという狙いもある。
「まずはサイバーセキュリティお助け隊サービスを導入して、対策を動かし、学ぶことから始めてもらいたい。そしてこのサービスをベースにして、知識を高め、さらなる深い情報にアクセスしてほしい。そういった発展的な役割も持たせたい」(森井氏)
サイバーセキュリティお助け隊サービスでレベルアップを図れれば、これまでIPAが公開している各種ガイドラインも生きてくる。サービスでの体感を通じ、ガイドラインを基に「次は何をすればいいのか」について、身をもって必要性を感じられるはずだ。
また、「SECURITY ACTION」の「セキュリティ自己宣言」によってIT補助金の申請も可能となっている。
特に「SECURITY ACTION」に関しては、現在「ニつ星」レベルまで可視化しているが、さらにそれを拡張し、「三つ星」レベルを用意することも検討しているという。
被害事例が多く報道されていることから、利用者からは「ランサムウェア対策も入れてほしい」という声も多い。これに関して森井氏は、「ランサムウェアで使われるツールはマルウェア対策の一種といえる。マルウェアを防ぐことができれば、ランサムウェアにも対抗できる。サイバーセキュリティお助け隊サービスはランサムウェア特化というより、ランサムウェアを含むマルウェアについて対策を講じている。加えて、バックアップやパスワード強化など、サイバーセキュリティお助け隊サービスを足掛かりとして、さらにプラスして対策もできる」と述べる。
中小企業におけるサイバーセキュリティ対策は、サプライチェーン攻撃対策の要だ。しかしこれまでは「道筋が分からなかった」状況だ。そこにサイバーセキュリティお助け隊サービスと、そこに参加する事業者たちと一緒に道を作る。
「しっかりと審査し、信頼できる企業たちにお助け隊のブランドを提供する。信頼できる仲間に『相談できる』という道筋をつけ、コストをかけなくても、知識がなくても始められる。小さな企業の経営者はよく『うちは小さ過ぎて狙われないよ』と話すが、たまたま被害が見えないだけ。SC3は国全体、国民全体を守る上で、サプライチェーンの視点でも考えていきたい」(森井氏)
コロナ禍を経て、私たちのビジネスの“弱い部分”が明確に狙われるようになりました。“サプライチェーンを狙う攻撃”は製造業をイメージするものだけではなく、企業と企業が協業しビジネスを行う、全ての業種における課題です。いまではむしろ中小規模の企業に狙いが定められ、その規模の企業であれば総合的なセキュリティ力の向上を、それを束ねる大企業はサプライチェーン全体を守るためにガバナンスを効かせなければなりません。これは果たして“ひとごと”なのでしょうか。本特集ではサプライチェーン攻撃が当たり前のように行われる現状を基に、あらゆる業種、あらゆる規模の組織が“自分事”として捉えられるよう、「サプライチェーン攻撃」の現状と対策を整理します。
Copyright © ITmedia, Inc. All Rights Reserved.