｢ぽっと出｣のセキュリティベンダーが危ないワケ 高度化するサイバー攻撃から自社を守るには

新しい技術にだけ焦点を合わせる「ぽっと出」のセキュリティベンダーには要注意（写真：ふじよ / PIXTA）

企業を狙うサイバー攻撃が急増している。2024年6月、大手出版社KADOKAWAがランサムウェア攻撃を受け、主力サービスが停止する事態が発生。もはや規模を問わず、すべての企業がターゲットとなる時代だ。1つのIPアドレスに対して年間約226万パケットものサイバー攻撃関連通信が観測されている今^※、企業はどのように身を守ればよいのか。

【写真を見る】「現在はプロの犯罪者が仕事に困っている技術者をたくさん雇い、お金を盗むために無差別的な攻撃を仕掛けている」と語る門林 雄基氏

プロの犯罪者による組織的な攻撃から、国家レベルの経済テロまで――。深刻化するサイバー攻撃の最新動向と、企業が取るべき対策やセキュリティベンダーの選び方について、奈良先端科学技術大学院大学の門林雄基教授に話を聞いた。

※ 国立研究法人情報通信研究機構 NICTER観測レポート（2023年）より

プロ犯罪者と国家による経済テロ化が進むサイバー攻撃

――最近のサイバーセキュリティに関する傾向で、注目すべきものは何でしょうか。

やはりランサムウェア被害の深刻さです。「最悪、身代金を払えば元に戻るだろう」と思っている方が少なくありませんが、お金を払っても元に戻りません。

敵は犯罪者なので壊すのは得意ですが直すのは不得意です。しかも一度支払うと「追加で払え」と脅され続けます。

もう1つ、最近脅威となっているのがマルウェアの一種であるワイパーです。これはシステムやファイルを全部壊してしまうもので、データが一掃されるため元に戻しようがありません。

2022年2月、ロシアがウクライナに侵攻すると同時にこのワイパーが発動し、ウクライナの政府機関や発電所などの重要インフラに攻撃が行われました。

つまり、対策していない状態で戦争が起これば、データは全部飛んでしまう恐れがあるわけです。

――台湾有事の懸念が高まっている現在、日本企業も他人事ではないように思います。

「バックアップさえ取っていれば大丈夫」と思っている方がいるかもしれませんが、そもそもランサムウェアはバックアップの設定から壊しにかかります。なので、社長が「ランサムウェアにやられたからバックアップで元に戻せ」といっても、「半年前のバックアップしかありません」という事態が生じます。

以前のサイバー攻撃は技術に興味のある人たちが遊びでやっている側面がありましたが、現在はプロの犯罪者が仕事に困っている技術者をたくさん雇い、お金を盗むために無差別的な攻撃を仕掛けています。

「そこまでひどいことはしないだろう」と甘く考えがちですが、現在は中小企業でも経済テロの脅威が高まっていると認識すべきです。

――一昔前と比べ、パソコン以外にもクラウドやモバイル、OT（生産ラインなどの制御・運用技術）など、守るべき領域が広がっているという問題もあります。

最近のパソコンはハードウェアからセキュリティ対策をしているので、パソコンでサイバー攻撃を成立させるのがどんどん難しくなっています。

それは攻撃者と対策を行う側が長年にわたって“いたちごっこ”を続けた結果の積み重ねによる、セキュリティの厚い層ができたからです。もちろん詐欺メールを踏んだりすればアウトですが、相対的にセキュリティレベルは高くなっています。

しかしWindowsが30年の蓄積があるのに比べ、クラウドなどはいたちごっこが始まったばかりなので、セキュリティのレベルが比較的突破されやすい状況にあります。

守れる領域の幅と蓄積した技術の深さが重要

――このような環境を踏まえると、セキュリティベンダーはどう選んでいけばよいですか。

現在はパソコンだけでなくプリンターやVPNルーター、クラウド、IoTなど攻撃を受けるポイントがどんどん広がっています。守る側からすると総力戦となっているので、自社に必要な防御ポイントをカバーしているかどうか。

また、セキュリティベンダーの料金は守るポイントを追加するごとに積み上がっていくので、それらを実際に支払えるレベルの費用で提案してもらえるかも重要です。

気を付けたほうがよいのは、「ぽっと出の会社」は危ないということです。IT分野はスピードが速いので「クラウドだけ守ります」といった、新しい技術に焦点を合わせたポイントソリューションがたくさん出てきますが、前述したようにセキュリティは総力戦であり、守りたい領域は多岐にわたります。

しかもそうしたポイントソリューションは、10年前の古い攻撃手法を仕掛けると通ってしまったりします。新しいがために過去の蓄積がないので、一昔前の攻撃が通用してしまうのです。

セキュリティを「ジョブゼロ」とするアマゾンの強さ

――守れる領域の幅と、サイバーセキュリティの歴史の中から蓄積した技術の深さが重要ですね。全体として、日本企業のサイバーセキュリティに対する投資は十分でしょうか。

企業間で大きな格差があります。実はそれぞれの業界でサイバーセキュリティのリーダー的な企業があり、そうした会社では100人単位でセキュリティのチームが組織され、予算を何億円単位で使っても文句を言われません。

なぜ本業がITではないのにそんなに大きいセキュリティチームを抱えているのか、と思われるかもしれませんが、こういう会社は事故を起こしません。だから成長できるのです。

アメリカでも同様で、例えばアマゾンは非常に多くのセキュリティエンジニアを採用しており、有名な人もたくさんいます。その結果、事故を起こさず安定して事業を継続でき、他社が個人情報漏えいやランサムウェアでつまずいているうちに引き離していくんです。

アマゾンの創業者であるジェフ・ベゾスはセキュリティが「ジョブゼロ」（最優先事項）だと言っています。結局、ビジネスの成功の秘訣はサイバーセキュリティのような泥臭いところにきちんと投資し、真面目にやること。だからこそブランドが守られて、顧客や取引先との良好な関係が維持できるのだと思います。

攻撃者は中小企業が油断しているところを狙ってくる

――大企業に比べ予算の制約が大きい中小企業はセキュリティ投資をどう考えるべきでしょうか。

いまやデジタルツールなしでビジネスを成立させるのは困難です。例えば海外に工場があって現地とのやり取りはVPNを通じて行っているとき、十分なセキュリティ対策を行わないでいると、サイバー攻撃を受ける可能性は十分にあります。

それなのに、「同業他社がやられるまでうちは様子見」という中小企業が少なくありません。攻撃者はそのあたりもよくわかっているので、油断しているところを狙って攻撃を仕掛けます。大企業はガードが堅いので侵入できないが、油断している中小企業を経由すれば侵入できると考えるのです。

こうした攻撃が増えている今、大企業から「セキュリティ対策をしないなら取引をしない」と言われるかもしれません。そんなリスクがあるのにセキュリティ投資を見送るのは、経営判断としてはまずいでしょう。地震はいつか起こるものなのに対策をせず、いざ地震がきたら“ぺしゃんこ”になる会社と誰が取引するでしょうか。それと同じです。

あらゆる企業は成長を目指して活動していると思いますが、成長をくじく要素はいろいろあって、それらを上手にコントロールするところに成長の秘訣があります。例えば火は非常に危ないものですが、それをコントロールすることで安全に火力発電や鉄鋼生産ができるようになります。

目に見えず、ものすごいスピードで情報が動くITも本質的には非常に危険なものですが、うまくコントロールできればこれほど便利なものはありません。ITを安全に使う技術がサイバーセキュリティで、ここに必要な投資を行ってビジネスに活用することが非常に重要だと思います。

宮内 健：ライター