カテゴリーごとに見る
Interview企業のサイバーセキュリティの動向と求められる対応・教育
山岡 裕明 氏
八雲法律事務所
弁護士
いまや企業におけるサイバーセキュリティ対策は、企業の重要な経営課題の一つになっています。ランサムウェアやEmotetなどの被害報告が多く挙がるなか、企業はどのような対策が必要になるのでしょうか。日本・海外におけるサイバーセキュリティの動向から、サイバー攻撃を受けた企業の良い事例・悪い事例、インシデントが起きる前にやっておくべきことなどを中心に、内閣サイバーセキュリティセンターのタスクフォースも務め、多くの企業のサイバーセキュリティに携わってきた八雲法律事務所の弁護士である山岡 裕明氏に自身の経験をもとに語っていただきました。
1.サイバーセキュリティの動向について
―日本の過去・現在・未来サイバーセキュリティの動向について、山岡先生の考えをお聞かせください。
2010年代のサイバーセキュリティは、どちらかというと情報漏えいがフォーカスされていました。その中でも特に個人情報ですね。しかも、ベネッセ事件に代表されるように内部者による情報の持ち出しが中心であったように思います。外部からのサイバー攻撃は、日本年金機構への不正アクセス事件あたりから注目されるようになった印象です。
2020年代に入ると被害の質が大きく変わり始めました。もはや、サイバー攻撃による被害というものは情報漏えいだけにとどまらなくなっています。昨今話題になっているランサムウェア攻撃の場合ですと、電子ファイルが暗号化されます。そうすると、電子ファイルによって構成される工場制御システムや医療システムなども暗号化の対象となり、工場・病院などの業務は停止し、事業継続が脅かされ得るようになりました。
つまり、サイバーリスクは、情報の漏えいだけでなく事業継続性に大きなインパクトをもたらすという点で企業の存続を脅かすほどのコーポレートリスクになりつつあります。サイバーリスクの質が大きく変わってきたといえるでしょう。
今後は企業の事業継続を脅かすサイバーリスクが拡大していくとみられます。経営層はこれまでコーポレートガバナンスのなかでフィナンシャルリスクや災害リスクといった既存のリスクに相応の注意を払ってきたと思いますが、サイバーリスクも同様に重要な経営課題になっていくと予測しています。
―海外のサイバーセキュリティの動向についてはどうでしょうか。
海外においては2000年代からサイバー攻撃は発生していました。単に情報を盗むだけではなく、その盗んだ情報を使って自国や自社の技術力を上げる、というように使われていました。その他にも、サイバー攻撃によって入手した情報を使ってインサイダー取引をするなどの使い方もありましたね。
サイバー攻撃で入手した情報を最大限に有効活用する、ということは2010年代ぐらいから海外、特にアメリカにおいてよく報じられていました。なぜアメリカでサイバーセキュリティが進んでいるかというと、中露との関係で必然的にサイバー攻撃を受ける機会が多かったことが理由として挙げられます。
2010年代は国家や大企業がサイバー攻撃の対象となることが比較的多かった印象ですが、昨今世界的に増えているランサムウェア攻撃は、企業の規模や産業を問わず攻撃対象としています。身代金の支払いによる犯罪収益を獲得する目的、換言すればビジネス目的でのサイバー攻撃が増加しています。
このような目的のハッカー集団からすれば、攻撃対象はアメリカだけにとどまりません。むしろ世界中の企業を広く攻撃をすることで、1円でも多く金銭を奪うことを目的としています。そのなかで、日本企業も相対的に被害に遭う可能性が高まっています。
―狙われやすい企業の特徴などはあるのでしょうか。
従来は大きな企業、例えば軍事機密を扱う企業が狙われやすい傾向にありました。しかし、近年では上述のとおりハッカー集団の目的が変わっていることから、産業・会社の規模を問わず攻撃が仕掛けられています。
そのようなハッカー集団は、侵入するためのID及びパスワードといったアクセス情報がダークマーケットで流通している企業を狙います。特定の企業を狙い撃ちにするのではなく、侵入するためのアクセス情報が安易に入手できる企業を優先的に狙っている、ということです。泥棒に例えると、豪邸を狙うというよりは、泥棒仲間から合い鍵を購入できる家屋に対して、当該合い鍵をもって、正面玄関からシンプルに侵入するという事例です。
昨今、コロナ禍でリモートアクセスが増え、VPNが使われるようになりました。それに関連して、VPN機器の脆弱性により利用企業のアクセス情報が多く漏洩してしまいました。利用企業の中には日本企業も多数含まれていました。そのため、日本企業も他人事ではなくなっています。
―このような攻撃に対して、有効な対策方法や気をつけることはありますか?
鍵となるアクセス情報とはID・パスワードといった認証情報のことであるため、認証情報が漏えいすることを前提とする取組が重要です。定期的に認証情報を変更することも有用ですが、特に有効なのは2段階認証です。IDとパスワードが盗まれたとしても、2段階目の鍵を盗む難易度は高いため手堅い対策になるでしょう。
しかし、2段階認証の導入には現場からの反対の意見が出ることがあります。ビジネスの現場において毎回二段階の認証を入力しなければならないのは不便で面倒だと。ビジネスの利便性とセキュリティはトレード・オフの関係にあるため、両立させることはなかなか大変です。
なお、パスワード管理について、例えばGoogle Chromeなどのブラウザに記憶させ、オートフィル(自動入力)で入力する機能を利用する方も多いと思いますが、この機能にも注意が必要です。ランサムウェアと並んで被害事例が多く挙がる“Emotet”は、感染した端末からメールソフト内の情報を盗むと言われています。しかし、深刻な事案においては、ブラウザに保存されている認証情報までも盗むのです。
もしも、ネットバンクを普段扱っている経理のご担当者がEmotetに感染してブラウザに保存してある認証情報が盗まれてしまうと、当該ネットバンクのアカウントに不正アクセスされて不正送金されてしまうリスクが考えられます。
―サイバー攻撃の被害金額について教えてください。
前述の情報漏えいの時代であれば、被害金額は限定的でした。氏名・住所といった個人情報の漏えいですと、裁判例上の慰謝料の相場は一人当たり3,000円から5,000円です。最近では裁判になること自体少なくなっています。仮に個人の方に500円のクオカードを人数分交付しても、企業の損害額はそんなに高額にはなりません。
しかし、ランサムウェア攻撃の場合は事業停止を引き起こします。事業停止に伴い売上が減少します。また、取引先を含むステークホルダーに対して何が起こったのか説明する責任があり、そのためには徹底した調査が必要になります。自社の信用を取り戻すために再発防止策も講じなければなりません。こうした調査や再発防止策に要する費用は高額となり、ケースによって億にも届くほどです。実際に2021年に発生したランサム攻撃と思われるサイバー被害を受けたある企業の有価証券報告書によると「システム障害対応費用」として16億円以上が計上されています。
なお、ランサムウェア攻撃では身代金が要求されます。身代金額も昔は数十万~数百万円が多かった印象ですが、近年ではこちらも数千万円から数億円規模で要求されることもあります。
2020年に公表されたデータによれば、ランサムウェア被害にあった日本企業の3割は身代金を支払っているということでした。やはり企業の存亡が関わるときに、一定数の経営者が支払うという選択をせざるをえない状況に追い込まれているということには留意が必要だと思います。
2.サイバー攻撃を受けた企業の対応
―サイバー攻撃を受けた企業の事例で、対応が良かった事例・悪かった事例について教えてください。
最も良い対応例としては、有事の際の責任者が明確に決められている場合です。例えば、CISO(Chief Information Security Officer)が定められていたり、CSIRT部門がしっかりしている企業は有事の際に非常にクイックに対応できています。
さらに最近では“サイバーリスクBCP”というサイバーリスク用の有事対策マニュアルを作成する企業も増えており、このような事前の準備ができているところは非常にスムーズに動けます。
反対に、現場で後手に回る企業の事例では、前述のような準備が十分にできていません。準備ができていないと、役割分担が定まらず、対応がバラバラになってしまいます。
上場企業の場合であれば、経営層・情シス部門・法務部・広報部門などの連携が必要であり、その他にも総務や財部などの部門も連携しなければなりません。サイバーリスクBCPのようなマニュアルを事前に準備しておかなければ、スムーズに連携して対応することは難しいでしょう。
特にランサムウェア事案の場合は身代金の支払い期限が例えば48時間や72時間というように区切られますし、2022年4月1日に施行された改正個人情報保護法では3日~5日以内に速報をしなければなりません。インシデント発生直後から迅速かつ組織的に対応するための体制整備の重要さが増しています。
―経営層における対応としてはどのようなことが求められるのでしょうか。
ランサムウェアを例に挙げると、他のサイバー攻撃のなかでも特異な特殊性があります。それは身代金を支払うか支払わないかという意思決定が迫られる点です。そして、この意思決定をできるのは経営層だけです。つまり、ランサムウェア攻撃は経営層を巻き込むという特殊性があるのです。
ランサムウェア攻撃が経営層を必然的に巻き込むサイバー攻撃である以上、企業経営においてサイバーセキュリティは避けて通れない分野になりました。経営層は経営会議や取締役会において、平時にはどのような体制を構築するのか、有事の際には身代金の要求をいかに扱うか、事業復旧にどう取り組むかといった点の意思決定が求められます。
経営層が合理的な意思決定を下すためには、事実関係がしっかりとした情報が必要です。そのためにはしっかりと情報が経営層まで上がってくる体制を整備しておかなければなりません。また、経営層と現場では情報に乖離が発生しやすいため、そのギャップを埋める存在としてCISOやCSIRTチームの存在が必要です。もちろん、技術面が理解でき、かつ経営に理解のある人材は現段階では非常に限定的ですが。
経営層がサイバーセキュリティに対する知識・知見を身につけることは重要です。ただし、多忙を極める経営層が技術の知識をゼロから習得するのは非現実的です。そこで、出発点としてサイバーリスクが事業継続にかかわるコーポレートリスクであるという認識を持つことが重要です。ここ数年、企業の役員研修においてサイバーリスクをご説明差し上げる機会が増えましたが、研修後に経営層の方から「サイバーリスクの深刻さがようやく理解できた。これからは予算をもっと充てるようにする」といったお声や、情報システム部門の方から「経営層からのサイバーセキュリティに関する質問や指示が具体的になった」という感想をもらうことがあります。
次に重要なのは、サイバーセキュリティに明るい人材を経営層又はその近い位置に置くというのが有用だと思います。そのような人材がいれば、現場と経営層の間の橋渡しができるため、適切に経営層にサイバーセキュリティの知識・必要性を伝えることができます。
CISOに関しては、社内の人間を任命する場合と社外取締役のように外部から非常勤で招聘する場合が考えられますが、私の経験上、できれば内部の方がよいと考えています。その理由としては、サイバーセキュリティにおいて重要なのは平時からの体制整備と有事の際の連携です。いずれも社内のセキュリティインフラに精通し、かつ関係部署と信頼関係を構築しておくことが重要になります。そして、これらには時間が掛かります。社内プロバーの人材の方が、この観点からアドバンテージがあるように思います。
外部から招聘する場合には、一定期間しっかりと現場とのコミュニケーションの場を設け、システムの認識・知見を深め、その会社のオーダーメイドのセキュリティ体制を把握し、かつ足りないところを構築する必要があります。「外部の人材を連れてきて完璧」ということにはならず、その組織において最適なセキュリティ体制を構築するには時間が掛かるということが最近経験からわかってきました。
―担当部門における対応としてはどのようなことが求められるのでしょうか。
有事の際には、まずはシステム部門の方がサイバー攻撃の原因調査と復旧に向けたオペレーションの中軸を担います。また、個人情報保護法が改正されて対応が必要になったことから法務部門の対応も必要です。ランサムウェアであれば身代金を支払うことの適法性の検討が必要であり、法務の方の関わる重要性は高まっています。
また、上場企業の場合では適時開示の問題もあるためIR部門・広報部門が連動して重要なミッションを背負う必要があります。
平時の際には、監査部門、内部監査の方と体制整備でコミュニケーションを取ることが多くなります。コーポレートガバナンスの構築や運用においてサイバーリスクをどう扱うかという観点から監査項目としてセキュリティを加えたり、実際に技術面での監査に関わることがあります。
あと、営業部門も非常に重要です。なぜなら、サイバー攻撃を受けて情報が錯綜している段階において、取引先から説明を求められることが多いからです。場合によってはNDA(機密保持契約)違反や履行遅滞を理由に取引先から損害賠償請求を受けたり契約を解除されるリスクもあります。その際に矢面に立って説明を重ね、取引先の信用を確保するのが営業の方々の役割となっています。私がサイバーインシデント事案に関わるときは、営業部門の担当者が取引先に持参するための説明資料やFAQを用意して差し上げるようにしています。
3.インシデントが起きる前にやっておくべきこと
―インシデントが起きる前にやっておくべき事前準備としてはどのようなことが挙げられますか?
事前準備としては3つ挙げられます。一つ目は繰り返しになりますが責任者・責任チームの明確化、二つ目は有事に備えたサイバーリスクBCPの作成、三つ目は外部専門機関の確保です。
一つ目と二つ目は重複する点が多く、二つ目のなかに一つ目を落とし込むことも多いですね。
三つ目の外部専門家の確保は調査機関や弁護士などの確保が該当します。やはり、サイバーインシデントという新しい事象に対して社内のリソースだけで対応することは困難であり、外部の専門家の力がどうしても必要になります。また、外部の専門家と平時からコミュニケーションを取り、社内のネットワーク構成を伝えたり、セキュリティインフラを伝えておくと有事対応が更に迅速になります。例えて言えば、有事の際にいきなり病院に駆け込んでも医者が円滑な処置をするのは困難であるのに対して、掛かりつけ医であれば持病や直近の検査結果を把握しているためスムーズな処置が期待できるのと同様です。
4.社内の教育について
―サイバー攻撃に対する社内教育の重要性についてはどのようにお考えでしょうか。
前述のEmotetは、今年の3月頃から爆発的に感染が拡大しました。Emotetの特徴はメール経由で感染が拡大する点にあり、日常的にメールを利用している全従業員がこのサイバーリスクに晒されます。
メール経由でのサイバー攻撃に対するセキュリティ製品は数多く存在しますが、Emotetはシステムだけで完全に防げるものではありません。例えば、Emotetが添付されたメールを学習して迷惑フォルダなどに振り分けるタイプの製品では、初期の段階においては学習が済んでいないため受信ボックスにそのまま届いてしまいます。二回目以降は迷惑ボックスに振り分けられるとしても、学習には一定のタイムラグが存在することを理解しておかなければなりません。
実際に、Emotet被害を受けた企業の公表文を見ていると、セキュリティリスクを重要なリスクとして捉え重層的にセキュリティ商品を導入していたにもかかわらずEmotetに感染した事例も散見されました。
先述のようなタイムラグが発生する以上、サイバー攻撃を防げるかどうかはラストワンマイルとしての従業員個々の注意力に掛かっています。どれだけシステムにお金をかけても、最後は人の注意力が問われます。その注意力を向上させるものはセキュリティ教育です。サイバー攻撃にはトレンドがあるため、セキュリティ教育は半年ないし1年に1回ぐらいの頻度で定期的に実施することが重要です。
ランサムウェアは経営者が巻き込まれるサイバー攻撃と申しましたが、Emotetは全役職員を巻き込むサイバー攻撃ですので、個々の注意力を向上させるためにも教育が重要になります。
5.読者へのメッセージ
近年のサイバーリスクは、コーポレートリスクとして経営層を巻き込み会社の事業継続を脅かすリスクになっています。そのリスクに平時から対処するためには、内部統制の一環としてサイバーセキュリティ体制を構築・運用するという側面があるため、そこで陣頭指揮に経っていただくのは監査部門・内部統制部門の方が非常に適任だと思っています。
これまでコーポレートリスクとしてサイバーリスクをあまり意識されてなかった場合はしっかりと目を向けて、技術的なことを勉強する必要があります。そして、その先にはC-suit の一角であるCISOというというキャリアプランも今後広がっていくと予想されます。CISOという新しいキャリアプランを目指してサイバー分野に着目頂けますと幸いです。
▶ profile
Hiroaki Yamaoka
University of California, Berkeley, School of Information修了(Master of Information and Cybersecurity(修士))。内閣サイバーセキュリティセンター タスクフォース 構成員(2019年~2020年、2021年~)。サイバーセキュリティ協議会運営委員会「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」検討委員(2022年~)。企業のサイバーインシデントレスポンスを専門とする。
TOP
