中小企業・中堅企業における情報セキュリティ対策--被害者なのに"加害者"

こんにちは、合同会社たいがの小西です。皆様は、いかがお過ごしのことでしょうか。

先日、あるお客さまの所で、クラウドのセキュリティ対策について、ベンダーも含め、検討して意見を交わす機会がありました。

最近のクラウド=その時は、弊社も導入支援をしているOffice365というグループウェアについてだったので「すべてのクラウドが」とは言えないのですが=は、セキュリティ対策もよくできていて、下手な自社内システム環境(ITの世界では、自社内システム環境のことをクラウドの対語として「オンプレミス」と言います)より安全・安心です。

昔は「クラウドはインターネット越しの環境にあるから、セキュリティ面で不安がある」という声もあったのですが、少なくとも、ベンダーの話を聞いて、「逆にオンプレミスでシステムを構築するより、セキュリティ面でも安上がりになるのでは・・・」と改めて思いました。

と同時に、私は自社のセキュリティ対策に関する「説明責任」という点においても、セキュリティのしっかりしたクラウドを使うことは有効ではないか?と思ったのです。

この「説明責任」の重要性については、詳しくはテーマを改めて話しますが、私はセキュリティ対策においては結果責任もさることながら、説明責任も重要なポイントだと考えています。

何故なら、万一、セキュリティ事故が発生した際に必ず言われるのは
リスクに対し、どんな対策をしていたのか?
です。皆様も、マスメディアで、一度は目にしたことがあるかと思います。

これは、基本的には大企業と違い、新聞沙汰にはならないと思われる中小企業・中堅企業の皆さまにおいても、何か事があった場合、お客さまや取引先様への説明は必要になるからです。

その意味で、既にある程度のセキュリティ対策が講じられているクラウドであれば、どのような対策を講じていたのかの説明もしやすい、また、必要なら、追加のセキュリティ対策オプションをつけることで(もちろん、追加費用はかかりますが)、より強固な対策を講じていたという納得感ある説明ができるからです。

というわけで、閑話休題、本題に入りたいと思いますが、実は、今日のテーマはそんな「説明責任」に関しても間接的に関係があるお話です。

今日はハンドブックの第4章「被害に遭わないために、加害者的立場にならないために」です。
ここでの重要なポイントは
セキュリティ被害の遭い方によっては、被害者であると同時に、悪意はないが、加害者になりうる
ということです。

どういうことかと申しますと
  • サイバー攻撃でコンピュータ機器が乗っ取られた場合、悪い奴は、乗っ取った皆様のコンピュータを使って、別の事業体/個人にサイバー攻撃をしかけることで、みなさまが「攻撃者になってしまう」こと
  • お客さまや取引先様の情報を盗まれた場合、悪い奴は皆様から盗んだ情報を悪用して、そのお客さまや取引先様に対し、だましたり、攻撃を仕掛けることで、皆さまが「お客さま、お取引様にご迷惑をかけてしまう」こと
です。悪意は全くない、むしろ、皆さまは被害者にも関わらず。

で、第4章では、これを踏まえ、サイバー攻撃の手口や第1章に記載された対処法などを改めて書いているのですが、もう、ここについては興味とお時間のある方はハンドブックをお読みください。

私は別の観点から、この「被害者であると同時に加害者」のことを申し述べたいと思います。

大企業より、業務委託先の中小企業・中堅企業さまが狙われつつある

私は以前の「中小企業・中堅企業における情報セキュリティ対策---セキュリティ事故の前提」という記事で、IPAの「情報セキュリティ10大脅威 2019」をご紹介いたしました。

そこで組織、つまり事業体における10大脅威の4位に「サプライチェーンの弱点を悪用した攻撃の高まり」というものが挙げられています。

なんか小難しい言葉ですが、これは要するに、ある企業の委託先/買収先である企業でのセキュリティ事故が引き金となり、委託元/買収元企業が被害を受けることを言っているんですね。

具体的には、
  1. 委託元企業のお客さまの情報を預かっていた委託先企業がサイバー攻撃され、委託先企業から委託元企業のお客さまの個人情報が流出した
  2. IT企業(これはなんと、大手セキュリティベンダーです)が買収したソフトウェア開発企業がサイバー攻撃され、悪いハッカーが、そこのソフトウェアにマルウェアを仕込んだ。大手セキュリティベンダーはそれに気づかず、そのソフトウェアは一般に流布され、結果、そのマルウェアは多くの大企業をサイバー攻撃した。
などというものです。


何故、委託先や買収先企業を狙うのか。
ひとつはそれらの企業が、部品なりソフトウェアなどの製造を請け負っている(上記2のケース)からです。

もうひとつは、委託元/買収元企業を狙うより、一般的に規模の小さい委託先/買収先企業を狙うほうが、悪い奴にとって効率が良いからです(上記1のケース)。
で、何故、悪い奴にとって効率が良いかと言うと、規模の小さい企業の方がセキュリティ対策レベルが大企業より低いからです。

業種にもよりますが、1のケースは中小企業・中堅企業様にとって可能性として高いのではないでしょうか。
実際、弊社はIT企業ですので、両方のケースが想定されますが(私たちはソフトウェアの構築も請け負うので)、どちらが可能性が高いかと言われれば圧倒的に1です。

あっ、念のため申し上げますが、弊社では、これまでセキュリティ事故を発生させたことはありません(苦笑)。

結局は・・・攻撃する悪い奴ら側も、一般の経営者の皆さまと同じように、考えることは「費用対効果」なんですね。

大手企業は、持っている機密情報も莫大(効果大)ですが、だからこそ、セキュリティ対策にも相応のお金をかけているんです。何重にも防御ラインを作っているので(ITではこれを「多層防御」と言います)、破るにも相当の苦労が必要です(費用も大)。

大企業がセキュリティ強化に力を入れるのは、個人情報漏洩等の結果責任もさることながら、前述したように説明責任、つまり一般市民や官公庁含め、社会的に説明する責任も大きいですから。

中小企業・中堅企業においては、一般論としては、大企業に比べ、持っている機密情報は少ないが(少ないからこそ)、セキュリティ対策もそれほど講じません。

で、昔は、悪いハッカー(攻撃者)は、ある意味、自分の腕試しのような気分で、セキュリティ対策の強固な大企業にチャレンジ?していたのです。
しかし今は、サイバー攻撃の道具は、Webで探せばいくらでも転がっているような時代になりました。
従って、それほど技量のない者でも、悪いハッカー(攻撃者)になれる訳です。

また、目的も、腕試しと言うより営利目的になりました。

そうなると「費用対効果」を考えますよね。だから、大企業よりもセキュリティレベルが低い(費用は小)が、その割に機密情報を持ち合わせている(効果は中)中小・中堅企業に狙いを定めるのは、経済合理性の観点からもうなずけます。
(この風潮は個人的には「嘆かわしい」と思いますが。カネが全て、ということが)

なので、この攻撃パターンが10大脅威の4位に急浮上したわけです。
「急浮上」と言うのは、2018年度では10大脅威に入っていませんでしたから。

従って、中小企業・中堅企業の経営管理者の皆様におかれては、
サイバー攻撃は、他人事ではなくなりつつある
ということは、ご理解いただきたいと思います。

セキュリティ事故が発生したら、連絡・通報を

あまりセキュリティ対策を講じていない企業においては、サイバー攻撃されていても、なかなか気づかないものです。
セキュリティにお金をかけている大企業でも、相応の期間、気づかないということがありますから、当然ですね。
「攻撃」と言っても、武器等で身体的に攻撃されるわけもないですから。

ただ、もし自社がサイバー攻撃を受けている、或いはそうではないかという兆候が発見されたら、直ちに関係機関に通報・連絡することを強くお勧めします。
これは、私が前述した「説明責任」の一環でもありますから。それに、自社だけで「どうしよう・・・」と悩んでいるより、公的な専門家の意見を聞いたほうがいいですから。

また、個人の機密情報が漏洩したと判明した場合には、最寄りの監督官庁および該当する場合は、認定個人情報保護団体に連絡することも忘れないでください。

ハンドブックにも記載がありますが、以下に最低限の連絡先を記載いたしますので、万一の場合は連絡・相談・通報をお願いいたします。

-------------------------------------------
◆セキュリティ事故の兆候があるときの対策などを聞く場合
IPA「情報セキュリティ安心相談窓口

◆サイバー攻撃の兆候があるときの通報・相談窓口
都道府県警察本部のサイバー犯罪相談窓口等一覧

◆個人情報の漏洩があった場合の報告
個人情報保護委員会「漏えい等の対応(個人情報)」
-------------------------------------------

ということで、次回はハンドブックの「第4章. 会社を守る、災害に備える、海外での心構え」について、ポイントをお伝えしたいと思います。

では、また次回、よろしくお願い申し上げます。