日本マイクロソフト
企業から情報を盗み出すサイバー攻撃は継続している。近年、その手口はますます多様化しており、サプライチェーン攻撃として、大手企業の取引先の中堅・中小企業が狙われるケースも目立っている。その結果、会社の規模に関係なくほとんどの企業が攻撃の対象となっている。セキュリティに割ける人材や予算が限られる中、中堅・中小企業はどのようにして対策に取り組むべきなのか。制作:東洋経済企画広告制作チーム
「個人情報などのデータは闇市場で買い手が付き、マルウェアをパッケージ化して販売する人もいる世の中です。ひと昔前まで、ハッカーは自己顕示欲を満たすことに目的がありましたが、今ではビジネスになっています」
こう警鐘を鳴らすのは日本マイクロソフト マーケティング&オペレーションズ部門ビジネス開発部の部長、藤本浩司氏だ。
テクノロジーが進化してもサイバー攻撃がなくならず、むしろ日々巧妙化している理由はまさにここにある。攻撃が成功すれば、おカネになってしまうのだ。ハッカーのROIは1000% 以上というデータもあり、立派なビジネスになっている。
中堅・中小企業の経営者の中には「わが社には盗むほど価値のあるような情報はない」と考える人もいるようだが、それに対して藤本氏は「個人情報を持たない企業はありませんし、いま注意すべきは、大手企業に侵入するための『踏み台』として中堅・中小企業が狙われるケースが増えていることです」と話す。「サプライチェーン攻撃」と呼ばれるこの手法で、日本の中堅・中小企業が狙われているのだ。
大手企業はセキュリティにも相当の投資を行っており侵入が容易ではない。そこで狙われるのが、大手企業のサプライチェーンの中にあるセキュリティが脆弱な取引先企業だ。攻撃に成功すれば、そこを足がかりに、大企業に詐欺メールを送ったり、直接侵入したりとさまざまな手法を試みる。
製造業などでは取引先が何層にもなっているため、委託元となる大手企業がサプライチェーンにある企業をすべて把握し、セキュリティのケアをするのは事実上不可能だ。犯罪グループはそのどこかにあるであろう、脆弱性という「穴」を日夜探している。
「ビジネスメール詐欺」はすでに日本企業を襲っている。この詐欺は、まず中小企業の脆弱性を突いて、メールを盗み見るところから始まる。大企業の担当者とのやり取りをしばらく見続け、実際に請求が発生するようなタイミングを見計らって偽のメールで請求書を送るのだ。長期間盗み見しているため当事者たちがどのような商品について話しているか、あるいは、どのような言葉遣いをするのかという「温度感」までも合わせることができるため、偽のメールを詐欺と見抜くのは容易ではない。実際に被害を受けた日本の大企業が4億円近い金額を振り込んでしまったことも大きなニュースになった。
最終的に狙われるのは大企業であることが多いが、攻撃者の侵入を自社のセキュリティの脆弱性ゆえに許すようなことになれば、顧客に迷惑をかけるだけでなく、取引先としてふさわしいかどうかも問われることになる。
別の角度の問題もある。欧州連合(EU)が今年5月に施行した「一般データ保護規則(GDPR)」のように、個人情報保護の厳格な対応が世界の潮流になりつつある。違反時には巨額の制裁金が科せられるため、一気に経営問題になるだろう。ビジネスのグローバル化によりEU居住者の個人情報を収集することは日本企業にとっても珍しいことではない。企業規模の大小にかかわらず、これは日本企業にとっても対岸の火事ではないのだ。
マーケティング&オペレーションズ部門
Microsoft 365ビジネス本部
セキュリティ ビジネス開発部
部長
藤本 浩司
そんな中、注目されるのが「IDを基盤としたセキュリティ」だ。日本マイクロソフト マーケティング&オペレーションズ部門の広瀬友美氏は次のように話す。
「ここで言うIDは、ユーザーIDだけではありません。企業データ、使用するデバイスやアプリ、場所など、企業資産にIDを割り振り、アクセス管理や監視を行う仕組みの基盤のことです。たとえば、担当者が日本で作業しているにもかかわらず、同じ時間にその担当者のIDで海外からサインインするようなことがあれば、それはおかしい。IDを基盤とした仕組みでは、このような異常を自動的に検出できます」
メールにファイルを添付する際に、パスワードをかけることをルールにしている企業も多いが、ハッカー集団はおろか、個人でもパスワードを破れる時代になってきている。これを、IDによる管理にすればどうなるか。
ファイルにアクセスできる人をIDで管理し、アクセス時に権限がある人かどうかを認証するため、より安全に情報のやり取りをすることができる。パスワードを発行したり、パスワードを解除したりする手間もなくなり、何よりもメールが意図せず転送されても、権限のないユーザーはファイルにアクセスすることもできないため安心だ。仮に情報流出が発生した場合もそのファイルに対するアクセス権を剥奪し誰もアクセスできない状態にすることもできる。
ローカルの Active Directory でIDを管理している企業も多いと思うが、今はクラウドの時代。ID管理もクラウド (Microsoft Azure などの ID as a Service) を利用すれば、広範囲にわたるサービスでの監視を行うこともできる。前述した異常検知も世界中のセキュリティ脅威データを利用して自社を守ることができ、より安全性が高まる。オンプレミスで、自社だけでできることは限られているのだ。
「マイクロソフトの最大の強みは世界中から収集する攻撃データとそれをもとにした脅威インテリジェンスです。世界中で使用されている12億台以上のWindowsデバイス、コンシューマー向け、企業向け合わせて200を超えるクラウド サービスの運用を通じて得られる毎月4500億件の認証と4000億通のメールなど継続的に得られるデータは1日当たり約6兆5000億件です。このデータをAIや行動分析でセキュリティ脅威の状況を可視化し、社内のセキュリティ専門人材 3500名がプロアクティブなセキュリティ強化を行っています」(広瀬氏)
マーケティング&オペレーションズ部門
Microsoft 365ビジネス本部
プロダクトマーケティングマネージャー
広瀬 友美
中堅・中小企業は本業で精いっぱいであることも多く、セキュリティに対応するための人手や費用が不足しがちだ。その結果、「過去には1人のユーザーのIDとパスワードが流出したにもかかわらず、気が付かず不正にアクセスされ情報流出につながったケースも起こっています」(広瀬氏)という。
だからといって多額のコストを捻出するのは難しい。藤本氏は次のようにアドバイスする。
「セキュリティに詳しい人材を雇用し、すべてを自前でやっていくのには限界がありますので、クラウドやSaaS(Software as a Service:ネットワーク経由でのサービスの利用)を利用して、必要な範囲内でセキュリティに関する対応を外部に任せていくのも一つの方法です」
「Microsoft 365」は、300ユーザー以内の「Microsoft 365 Business」プランであれば、利用料は1ユーザーあたり「月額2180円 (参考価格)」となっている。これをどう見るかは企業次第だが、専門性の高いIT技術者や巨大なハードを自前で持つ必要なく、世界レベルのセキュリティ対策が中小企業でも実現できるのは魅力的ではないか。
藤本氏は「あらゆる企業がいつ攻撃されてもおかしくない状況。かといって、攻撃を恐れて、インターネットを使わないという選択肢は今はないわけですから、今すぐにでも対応に着手すべきでしょう」と指摘する。実際、経済産業省と情報処理推進機構が発表している「サイバーセキュリティ経営ガイドライン」には次のようにある。
「セキュリティ対策の実施を『コスト』と捉えるのではなく、将来の事業活動・成長に必須なものと位置づけて『投資』と捉えることが重要」
また、政府からも「クラウド・バイ・デフォルト原則」 の発信があり、政府情報システムでもクラウド サービスを有効活用する方向にある。中堅・中小企業の経営者も、この機会に信頼できるクラウド サービスの活用を検討してみてはどうか。
お問い合わせ
日本マイクロソフト