相談件数は1年で5倍、サイバー攻撃の脅威にどう対抗すべきか
コロナ禍でリモートワークが急速に普及する中、システムの脆弱(ぜいじゃく)性を突いたサイバー攻撃が増加している。電子メールを媒介に感染するマルウエア(悪意あるプログラム)について情報処理推進機構(IPA)に寄せられる累積相談件数はこの1年で約5倍になった。ただ、報告に至る例はごく一部とみられ、被害件数は把握しきれない。被害拡大を防ぐには、経営者レベルでの強いリーダーシップが不可欠だ。(大阪・園尾雅之)
「外部有識者によるセキュリティー監督委員会を設置した。当社がつかんでいる情報だけでは、最終判断はできない。現時点では回答を控えたい」―。カプコンが1月末に開いた決算会見で原因説明を問われた野村謙吉最高財務責任者(CFO)は、こう答えるほかなかった。
同社は2020年11月までに、犯罪グループ「ラグナロッカー」からランサムウエア攻撃を受けた。
ランサムウエアとは、社内の機密データを“人質”にとって見返りに金銭を要求する手法。カプコンは警察との連携の上、金銭供与には応じない対応を取ったとみられ、結果として1月時点で約1万6400件の個人情報が外部に流出する事態となった。
サイバーディフェンス研究所の名和利男専務理事は「カプコンの経営層が海外のサイバー攻撃の動向を十分に認識していなかったとみられる。現場だけに責任を押しつけてはいけない」と指摘する。
ではどうするべきか。対策の考え方自体は非常にシンプルだ。「常にセキュリティーをアップデートすること」と「使用するサービスやデバイス(機器)が信頼できるものであるかを確認すること」だ。最新の設備投資はもちろん必要だが、それよりも大事なのは“人間の意識”そのものだ。
となると、数あるセキュリティー製品の中から、適切なものをどう選べば良いのかが重要となる。一例としてシンガポールでは、効果的なセキュリティー製品を政府が認定し、中小企業に割安価格で提供できるような支援策があるという。
サイバーセキュリティー企業であるセキュアエイジのジェリー・レイ社長は「中小企業は製品を評価する時間も知識もない。国が評価して推進するのが一番良い」と指摘する。
日本政府は被害の報告要請や啓発イベント開催などはするものの、実質的な支援策はあまりない。名和専務理事は「日本では国家の中枢が『サイバー脅威は国民の命に影響する』と認識していない。諸外国が大学生レベルなら、日本は幼稚園児レベル」と痛烈に批判する。
だからこそ企業に求められるのは確かな情報収集力だ。欧米諸国では、対策関連情報を政府が簡潔にまとめており、企業が容易に情報へアクセスできるよう整備している例も多い。日本は官庁の縦割りもあり膨大な情報をまとめきれていない。
セキュリティー対策の必要性自体を否定する人はもはやいないだろう。それを現場の担当者に対応を丸投げにせず、経営層自身が対策に乗り出す意識改革が求められる。