日本企業を狙う｢身代金ウイルス｣が増える背景 専門家が解説､企業が取り組むべき対策は

欧米では被害額がさらに高額になっている。アメリカでは今年5月に著名な法律事務所が攻撃され、約45億円が要求された。欧州では病院が保管する電子カルテが標的にされ、さらに巨額の身代金が請求される事件も起きている。身代金ウイルス自体もどんどん進化しており、対策ツールでは間に合わない。

サイバー攻撃のリスクはゼロにはならない

――企業にはどのような備えが必要になりますか。

まず大事なことは、サイバー攻撃のリスクはゼロにはならないという認識を持つことだ。新種のウイルスは次々と誕生するし、コンピューターの不具合やバグをすべて防ぐことはできない。そうした認識のうえで、日頃から備えをしておくことが必要になる。

おおこうち・ともひで／1994年から現在まで26年間にわたり「情報セキュリティ」「サイバーセキュリティ」および「サイバーインテリジェンス」事業に従事。国際的な情報セキュリティ･プロフェッショナル認定資格であるCISSPの取得者（写真：大河内氏提供）

大企業を中心に専門チームを作る動きが広がっている。専門チームは、 コンピューターセキュリティ事故対応チームの略称であるCSIRT（Computer Security Incident Response Team、シーサート）と呼ばれる。

平常時から脅威情報や脆弱性情報の収集と分析、社員への啓蒙活動、外部からの攻撃の監視や内部の社内不正の監視などを行う。そのほかにも定期的に脆弱性の有無を確認するための診断業務や規程類の改定など、その業務は多岐に渡る。

そしてインシデント（事故）が起きたときは、シーサートを中心に経営企画部、法務部、広報部門、人事部などが連携して全社的に対処する。経営者からの権限移譲、緊急支出上限額などを事前に取り決めておくことも重要になる。

日本シーサート協議会に加盟するチーム数は、大企業を中心に406組織（2020年12月時点）。加盟社は毎月増え続けている。セキュリティ対策にかける最低限の予算としては、社員数が1万人を超えるような大企業で年間2億～5億円、それ以下の大企業・中堅企業で年1億～2億円程度。国もサイバーセキュリティ対策の強化を推奨しており、経済産業省は2017年に「サイバーセキュリティ経営ガイドライン」を策定し、経営者のリーダーシップのもとで対策を強化するよう、企業の背中を押している。

一方で、大企業の間でもサイバーセキュリティに対する認識には大きな格差があるのが実情だ。中小企業では人材も資金も不足しており、何の対策もとられていないことも珍しくない。日頃からの備えがないので、ウイルスに侵入されていても気づかず、取引先や消費者からの指摘ではじめて被害を知るというケースは少なくない。

――攻撃を受けてしまった場合、企業はどのような初動をとるべきでしょう。

繰り返すが、リスクはゼロにならない。だからといって何の対策もしていないと、サプライチェーンに属している場合は、他社に影響を与え、結果的に取引停止になる恐れがある。集団訴訟などを受けて、賠償額のケタが増えてしまうこともあるだろう。

やはり日頃からの備えが大切だ。経営者の責任のもとでシーサートを運用し、経営者と技術者の会話をつなぐ資格保有者を雇う。こういった予算がない場合は、少なくともセキュリティ専門会社と基本契約を締結しておくべきだ。