中堅・中小企業のための サイバーセキュリティ対策の新常識
この本の前書きには、こう書かれています。
ほとんどの中堅・中小企業は、サイバー攻撃に遭ったことがありません。そのためセキュリティ対策を他人事のようにとらえています。しかし、一度被害に遭うとその日からたいへんな状況に見舞われます。本書は「サイバー被害に遭うとどうなるのか」「攻撃者は何故襲ってくるのか」「日本が企業のセキュリティを守ってくれないのはなぜか」「内部からの情報漏洩はなぜ起こるのか」「情報事故に遭わないためにやることは何か」「万が一被害に遭った時に何をすればいいのか」「サイバーの近未来はどうなるのか」
まさに知りたいことが簡潔にまとめられており、期待が高まります。ただ、「今後、本書を読んでいるかいないかが、自社がサイバー攻撃に遭うか遭わないかの分岐点になるでしょう」 とは、随分と大きく出ましたね……。
セキュリティに対する投資判断は経営者にしかできないのは事実ですが、個人的には、こうした本を社長が自ら読むかというと、正直「否」ではないかと思います。社長が考えるべきことは多岐にわたり、その中にセキュリティの知識まで詰め込むのは大変なはずです。 そのために企業にはセキュリティ担当がいて、経営層に現状を上申するのが彼らの仕事です。担当者が責任を持って本書の内容を伝え、経営層に危機感と認識を持ってもらい、予算を確保する。それこそがミッションではないでしょうか。「経営層がお金を出してけない」と嘆くのではなく、それを自分の責任として引き受ける覚悟を持ちたいところです。
僕は中小企業に勤めていますが、大企業からの仕事も請け負っています。大企業からのセキュリティ要望はまさに「水も漏らさぬ厳しさ」で、現場としては正直かなり疲弊しています。しかし逆を言えば、これほど堅牢な環境で働けることは、不便さはあっても大きな安心感に繋がるのだと感じます。
事実、最近の調査では大企業に対するランサムウェア攻撃は減っているという話もあります。一方で、日本の全企業の99.7%を占める中小企業への攻撃は増加しているというニュースもあり、この本のタイトルは非常にタイムリーと言えます。
第1章では、著者の会社にセキュリティインシデントを起こした企業が相談に来る、という形で実際の被害事例が紹介されています。読んでいるだけで「もし自分の身に同じことが起こったら」と考え、心臓がキュッとなりました。フォレンジック調査に1,000万円かかるなんて、自分の口から経営層に報告したくありません……。本書にある通り、DXのように価値を生む投資ではなく、ただ原因を調べて報告するという「何も生み出さないもの」のために1,000万円払うわけですから。
実際、こうした攻撃が増えていることは日々のニュースや総務省の報告からも確かだと言えます。 総務省:令和6年版 情報通信白書 本書に登場する被害企業も、決して無頓着だったわけではなく、それなりの対策は行っていました。しかし攻撃側はそれをあざ笑うかのように、「ClickFix」などの手法で防御をすり抜けてきます。奴らはこちらの策を熟知しているのです。ランサムウェア攻撃が儲かるビジネスである限り、攻撃が止むことはないでしょう(だからこそ、身代金を支払うことはNGとされるわけです)。
続く章では、サイバー対策が進まない理由が分析されています。日本の法律や「日本は安全だ」という意識、経営層の高齢化による感度の鈍さなど、要素は様々です。ただ、「日本が悪い」「外国が悪い」と他責にしても問題は解決しません。セキュリティ担当、経営者、国の機関、それぞれが自分の立場でできることをやる。それがセキュリティ強化の近道です。
今や一つの製品やサービスが単独の会社で完結することはありません。いわゆるサプライチェーンにおいて、鎖の弱い部分からセキュリティが破られ、侵入を許してしまうのです。 実のところ僕も、「大企業と取引を継続するためには、この対策が求められています」という言い方でツールの導入を進めたことがあります。これもセキュリティ担当が果たすべき立派な役目だと思います。単に「強化しましょう」では通らなくても、企業の目的が「利益を上げること」であれば、「既存の取引を維持し、新しい取引を堂々と進めるために必要だ」と伝えることで、結果的にセキュリティを強化できるのです。
とはいえ、自戒を込めてここに記しておきますが、セキュリティ対策はあくまで「手段」であり、目的は「企業の利益(成長)」です。 対策によって金銭的損失を抑え、企業の信頼価値を高め、取引先との関係を継続・拡大させる。それが本来の目的です。そのため「やりすぎ」な対策も考えものです。過剰なコストをかけず、成長を妨げずに強化する施策とは何か。本書に書かれている対策はどれも基本中の基本であり、弊社でもかなりの割合で対応済みであると自負していますが、その「基本」を社内全体に広く普及させることの難しさも、日々実感しています。
具体的な事故防止策も紹介されていました。例えばGoogle Chrome以外のブラウザをインストールできないようEDRで制御し、「Chrome Enterprise Core」を導入すれば、業務PCの統制がかなり効きそうです。また、僕はAWSのセキュリティ専門知識(およびソリューションアーキテクト・プロフェッショナル)を保持しているので、自社の全AWSアカウントの状況確認、最低でもチェックシートによるセルフチェックは改めて実施すべきだと思いました。体は一つしかありませんが……。
個人的に気になっていた第6章「被害に遭ってしまった場合のインシデント対応マニュアル」についても触れておきます。誰もが目を背けたい部分ですが、手元にあれば「初動でどう動き、何をやってはいけないか」を確認できます。最初に対応をミスると、その後の収拾がつかなくなりますから。平時のうちに「緊急対策本部」の設置について関係者に伝えておく必要性を感じました。取引先から問われる質問のリストも非常に参考になります。 (ただ、この章のボリュームがもう少し詳しければ、なお良かったのですが……)
最後に、未来のサイバー攻撃の予想について。これは未来の話というより、すでに現在の話でもあります。生成AIを使えば攻撃ツールやディープフェイクを誰でも簡単に作れることは、周知の事実です。最近の僕は、高度な技術的攻撃よりも、SNSを利用した「認知戦」や「征脳戦」の方に大きなリスクを感じています。フェイク情報を垂れ流す方がスキル不要で圧倒的にコスパが良いからです。本当に嫌になってしまいますね。