会社がランサムウェア攻撃を受けたらどう対応する？ 「事業継続」に関わる重大リスクに、専門家2人が提言

中谷　アメリカでは国防総省がサイバーセキュリティーの水準を調達案件の条件にしています。まさに、インセンティブとサンクションを紐付けています。決められたセキュリティーの水準を満たしていないと国防総省とはビジネスはできないとなるわけです。しかも直接の契約者だけでなく、そのサプライヤーにも同じ基準の遵守を求めていますので、サプライチェーン全体のサイバーセキュリティ強化に大きなプラス効果を生んでいると思います。

──日本は中小企業が圧倒的に多いが、そこまで対応できるのか。

山岡　中小企業で言えば、警察庁のデータで分かるサイバー攻撃の傾向を把握し、優先順位を付けて対策を進めることが有用でしょう。例えば警察庁のデータによると、ランサムウエア攻撃ではVPNが最大の侵入経路です。リモートワークの普及に伴って導入されたVPNが不正アクセスの侵入経路に使われる。そうであればVPN機器の管理を重点的に進めることが有用です。

中谷　VPN対策は単純ですが、国を挙げて行えば、中小企業は数が300万以上あり規模のメリットが働くので、効果は絶大だと思います。中小企業の対策では、イギリス型が参考になります。イギリスでは、国家サイバーセキュリティーセンターが、国として中小企業にサイバーセキュリティーの支援を行っています。セキュリティサービスも提供しています。

ただ全ての企業が難しいなら、重要インフラ15業種とそのサプライチェーンを国で支援する形でもいいでしょう。

ただし、現在のサイバーセキュリティの主流の考え方は、VPNなどによる境界型の防御から、多層防御に移っていますので、リスクが高い事業や企業はいわゆるゼロトラストセキュリティを実装することが不可欠です。簡単に言えば、ネットワーク、エンドポイント（サーバーやパソコン）、そしてクラウドのセキュリティ対策をリスクに応じて実装するものです。たまたまですが、この３つの英語にして（Network、Endpoint、Cloud Security）、頭文字を繋げるとNEC Securityになるんですよね（笑）。

──いま企業がまずやるべき対策はどのようなものか。

山岡　多要素認証の徹底と脆弱性対応の2点だと思います。これらは先ほどのVPN機器の対策にも当てはまります。これらを徹底するだけで大幅にサイバーリスクを減らせます。

中谷　ネットに対する見方を変えたほうがいいと思います。インターネットにつなぐと「盗まれる」「だまされる」「脅される」「邪魔される」のです。それを理解しておくことは大事です。例えば学校で防犯教育をするように、デジタルセキュリティー教育もやるべきだと思います。