増加するランサムウェアの攻撃
写真はイメージです
企業が持つ情報を“質”に身代金を要求するサイバー攻撃・ランサムウェアによる被害が後を絶たない。警察庁の犯罪白書によると、20年下半期の被害報告は21件だったが、21年上半期は61件と3倍に増加。同下半期は85件に上った。22年には大手自動車メーカーの取引先企業や、大手製菓メーカーが攻撃を受け、医療機関への攻撃も相次いでいるという。
攻撃の頻度を高め、内容も巧妙化しているサイバー攻撃。働く現場でもその脅威をひしひしと感じている。日経BPコンサルティングが大企業・中堅企業(従業員301人以上)に勤める従業員150人、中小企業(従業員11~300人)に勤める従業員150人を対象に実施した「勤務先のサイバーセキュリティ調査」によると、勤務先のシステムへのサイバー攻撃やその被害について懸念を感じると回答した人は、大企業~中小企業全体で87%にのぼり、近年話題となるランサムウェアに対する認知は100%近いことがわかった。
被害の多くは中小企業
日経BPコンサルティング「勤務先のサイバーセキュリティ調査」(2022年4月実施)
同調査では、ランサムウェアを認知し脅威を感じつつも、実際に対策を実施しているのは、大企業・中堅企業で53.3%、中小企業ではわずか33.3%にとどまるという。この調査結果を受けて、神戸大学大学院・工学研究科の森井昌克教授は以下のようにコメントする。
「ランサムウェア被害には経理会計や顧客データ、また営業に関わる一切のデータが使えなくなることで、経営が成り立たなくなる可能性があります。またデータが漏洩して、発注元や営業先から訴えられる可能性もあり、信用の大失墜につながります。ただ一般にセイバーセキュリティ対策を講じても直接的な利益を生じないこと、そして予算が必要なことから及び腰になりがちです」
調査データによると、中小企業のセキュリティ対策への予算額は大企業・中堅企業と比較すると低く、特に100万円未満と回答している企業は中小企業の46.0%にも及んでいる。
日経BPコンサルティング「勤務先のサイバーセキュリティ調査」(2022年4月実施)
そして、「中小企業の場合、コスト以外にも人材の不足という側面も否定できない」と語るのは、日本マイクロソフト・セキュリティビジネス本部本部長の冨士野光則氏。
「総務の方が総務の仕事をしながらセキュリティ対策も兼務という方が多いです。特にコロナ禍でリモートワークが当たり前になったことで、個々の社員が会社から支給されるデバイスだけでなく、個人で利用していた端末を使用して仕事することも増えてきています。個人でお使いの端末のウイルス対策が不十分で、そこからウイルスが侵入となると、セキュリティ対策担当者のカバーする領域が増え、業務量のキャパを超えてしまうケースも見受けられます」
日本マイクロソフト・冨士野光則氏
「被害を受けてから対応すればいい」では手遅れのワケ
被害を受けるかどうかわからないモノに対して限られた予算と人員を割くくらいなら「被害を受けてから対応すればいい」とする経営者や上層部の意見もあると思われるが……。
「ランサムウェアによる身代金は数十億円という要求も珍しくありません。サイバー攻撃は至るところに蔓延っているため、常にその危険と隣り合わせです。最低でも現実社会での安全を確保するための警備費や保険費用、それに安全対策を行うための設備費らの総額と同等以上の費用はセキュリティ対策に必要です。一度被害にあえば被害額は膨大になり、その被害額を想定できないことが一番の問題です。被害を想定したうえで適切なセキュリティ対策を行うことが肝要です」(森井昌克教授)
また、すでにセキュリティソフトを導入していることで、ランサムウェア対策を出来ているとする考えもあるが「現在の情勢をみると、それでは不十分です」と前出の冨士野氏は続ける。
「ランサムウェアの攻撃はどんどん巧妙化、高度化しています。今はランサムウェアを仕掛けるセットのようなものも裏で売られていて、技術的な知識がなくても、攻撃ツールを買うだけで誰もが仕掛ける側になれるという状況です。今後、サイバー攻撃も加速度的に増えていくことが予測されます。それに対して、すでに導入しているセキュリティソフトはアップデートし続けることが必須ですが、サイバー攻撃でマルウェアなどの脅威が侵入する入口となる、エンドポイントと呼ばれる社員の各端末まで指示は及ばず、管理しきれません」
セキュリティソフトのアップデートには最新OSへのアップデートも必要となってくるが、個々の趣向や使い勝手などでOSのアップデートを意図的にしない社員も当然いる。OSのアップデートすらおぼつかない状況では、セキュリティソフトのアップデートだけ万全に進むことがないのは自明だろう。
写真はイメージです
中小企業向けに特化したセキュリティソフトが登場
多くの中小企業が、コスト、人材不足等でセキュリティ対策に積極的になれない問題を解決してくれる新製品が
「Microsoft Defender for Business」だ。近年被害が増えているランサムウェアをはじめとするマルウェアやフィッシング、そのほかの脅威から会社のデバイスをより適切に保護できる。1ユーザーから購入が可能(月額363円/1ユーザー)で、導入しやすい価格帯に設定している。
「製品設計の基本的な考え方となるのが、ビルトインセキュリティです。セキュリティ対策のためにセキュリティ製品を導入するのではなく、普段使っている製品にセキュリティ機能が含まれているという状態です。Windowsの端末を使う方が法人では大半ですので、Windowsの最新OSであるWindows10、Windows11にビルトインされたクラウド型のセキュリティサービスです。インストールは不要、デバイスを登録するだけですぐに使えます。懸念されている最新セキュリティへのアップデートも、Windowsのアップデートと同時に行われます。1日の通信データ量も5MBで済むので、トラフィックにも負荷をかけずに導入することができます」(前出・冨士野氏)
「Microsoft Defender for Business」
具体的には端末がサイバー攻撃のアタックを受けるとシステムが検知、自動応答してネットワークを遮断したり、ウイルスが侵入したファイルを検知して使えないようにする。いわば無差別攻撃に対するミサイルの自動迎撃システムだ。
「セキュリティに関しては性悪説が前提です。つまり“攻撃を受けなければいい”ではなく“攻撃されるもの”という認識が必要となります。この製品を導入された企業のセキュリティ対策の担当者の方には、自社がどれほど攻撃を受けているかをダッシュボードで確認することが可能ですが、現在進行形で常にアタックが仕掛けられている現状に皆さま驚かれます」(同)
自分の働く会社が、サイバー犯罪集団を利することとなってはいたたまれない。企業のセキュリティ対策担当者のみならず、すべての現役世代が、セキュリティの重要さを認識し、導入に二の足を踏む会社に働きかけるべきだ。
<提供/日本マイクロソフト>