「サイバー攻撃の種類や手口はさまざま。無差別に送信されたばらまき型メールの添付ファイルをうっかり開いてしまい、マルウェアに感染するという誰にでも起こりうるタイプのものから、標的型攻撃といって特定の企業・団体・個人をピンポイントで狙うものまで多種多様です。また、攻撃者グループの規模やバックグラウンド、目的、技術レベルも千差万別です」と指摘する吉岡氏。「ただ、最近とくに目立つのはランサムウェア（身代金要求型不正プログラム）と呼ばれる経済的対価を得ることを目的とした攻撃です。重要な情報を暗号化しアクセスできない状況に陥れ、元に戻してほしければ仮想通貨などを払えと迫る手法です。しかも、攻撃者は支払いに応じなければその情報を公開すると脅す『二重脅迫型』が現れるなど、手口が悪質化しています」と続ける。

システムやパソコンに侵入する経路も多岐にわたる。が、リスクにさらされているのはパソコンだけではない。「気をつけたいのは、カメラやプリンター、ルーターなどのIoT機器」だと、吉岡氏がこんなエピソードを披露する。「われわれは脆弱な機器を装ったおとりシステムを使って攻撃を観測していますが、インターネットに接続してから数分でウイルスに感染するデバイスもあります」。

また、ばらまき型のマルウェア添付メールの中でも、最近まで猛威を振るっていたものに「エモテット」があるという。感染するとエモテット自身がメール情報を盗み取り、ビジネスなどでやり取りをしたことがある相手に、これまでのメールの一部を流用した偽メールを自動生成して送りつける。受け取った側は偽メールだと気づきにくく、また心当たりがあるため警戒心が緩み、添付ファイルを開いて感染するという、ねずみ算的拡散を招く仕組みだ。

こうしたサイバー攻撃のターゲットは、政府関係機関や大企業だけとは限らない。実はセキュリティの甘い中堅・中小企業なども標的となる。

「攻撃者は侵入して、盗んだ情報から相手の価値を見定めることがあります。例えば財務情報がわかれば、支払い能力に見合った金額の身代金を要求してくるし、大手企業とつながりがあれば、踏み台として利用しようとするケースもあるでしょう」

大手企業のようにセキュリティ対策に十分な費用をかける余裕がない、あるいは対策が不十分のまま急場しのぎのテレワーク環境を放置していると、実質的な損害のみならず、社会的信用も損なう可能性がある。

では、どうすべきか。吉岡氏は「やはり『人』にかかっているのではないでしょうか」と語る。

攻撃を一発で撃退できる、いわゆる「シルバーブレット」はないというのがサイバーセキュリティの世界だ。どんなに守りを固めても、攻撃する側はあの手この手でセキュリティの網目をすり抜けようとする。

それでもさまざまな攻撃によるダメージを最小限に抑えるためには、パソコンにセキュリティソフトを入れる、システムやアプリを更新してつねに最新の状態にしておく、予算に応じて最先端のセキュリティ技術を導入する、機密情報にアクセスできる権限の制限といった適切なデータ管理を行うなど、基本的な対策を重ねなければならない。

「しかし、経営陣がその必要性を認めなければ、無為無策のまま攻撃されることになります。DXや5Gという新しい時代を迎え、ICTと企業経営が一体化していく中で、マネジメント層はサイバーセキュリティ対策の重要性を理解し、これを経営戦略の一環として捉えていくべきです」と吉岡氏は強調する。

「サイバー攻撃によるリスクとインパクトは正確に把握することが難しく、これまで大した対策はしてこなかったものの何事もなかったという企業では、どうしても先行投資しにくい部分があります。ですが、サイバー攻撃が増加し、手口も巧妙化している状況を踏まえれば、最悪の事態を想定して先々を見通すような思考が必要です。セキュリティ対策はコストではなく、絶対に必要な投資だと考えを改め、リーダーシップを発揮して社内の意識を変えていくことがとても大切です」

吉岡氏が言う「人」とはマネジメント層だけではなく、企業で働く従業員側も含まれる。

「社員にサイバーリテラシー教育を行ったり、標的型攻撃メールを模した訓練を行ったりすることで人が強くなれば、組織全体もサイバー攻撃に強くなれます」

時代はどんどん移り変わっている。働き方や組織のあり方も、今や終身雇用型から専門領域を持った人が副業やフリーランスで活躍するプロジェクトベースの働き方へと軸足を移しつつあるし、上意下達の組織よりも従業員の心理的安全性を重視する組織のほうが成長するといわれるようになっている。

企業の価値を生み出す形そのものが変容するDX時代において、ITおよびセキュリティのリテラシーは経営者にとって財務諸表を読むことと同等の、最低限身に付けるべき能力の1つといえるだろう。