｢身代金｣｢初動対応｣､"KADOKAWA事件"の教訓 凄腕ホワイトハッカーが語る日本企業への警告

ただ、経営者がきちんとニュースや情報に日頃から接していれば、危機感は持つはずだ。あとは専門家の数が重要だが、セキュリティの専門家は足りていない。アメリカでは余っているほどだが、国内では待遇が良くないわりに、資格の維持にお金がかかるという背景がある。

――KADOKAWAの事件を受けて、日本企業はどのようなことを教訓にすべきですか。

杉浦 インターネットにつながっているものはすべて狙われる。上場企業や、従業員が1000～2000人規模の会社なら、1人は常勤のセキュリティ担当者を置くべきだ。そして、その人の判断と責任でシステムやネットワークを止められる権限を持たせることが重要だ。

KADOKAWAの場合はシステム基盤がとても大きいのでさらにその必要性は高かった。それが機能していれば、暗号化される前に止められたはずだ。ただし、体制を整えてもすぐに成果は出ない。最低2年くらいはかかるだろう。

基本を押さえれば9割の攻撃は防げる

セキュリティの対応には、技術面とマネジメント面の両方の施策が求められる。

技術面では、外部から一発で入れるような脆弱性が常にない状態を保つ必要がある。そのためには、各システムの弱点をきちんと把握して対処しなければならない。マネジメントでは、一般の従業員のミスを防ぐ施策を考え、やっていいこととやってはいけないことに分けて、違反者が出ないような仕組みを作ることが肝要だ。

重要なシステムほど、アップデートによって動かなくなるリスクを恐れてアップデートが後回しにされがちだが、きちんとアップデートする、適切なパスワードを設定するという基本を押さえていれば、サイバー攻撃の9割以上は防げる。

田中 理瑛：東洋経済 記者

真城 愛弓：東洋経済 記者