米OpenText傘下でセキュリティサービス事業を手がけるウェブルートは2月28日、政府の「サイバーセキュリティ月間」(2月1日~3月18日)に合わせて記者会見を開催し、中小企業に「サイバーレジリエンスを知ってほしい」と、セキュリティ対策の強化を呼びかけた。
「サイバーレジリエンス」は、ITにまつわる脅威や悪条件、攻撃、ストレス、侵害などを予測して備え、被害などへ迅速に対応して早期の復旧・回復を図ったり、あるいはその状況へ適応したりすることを指す。米国国立標準技術研究所(NIST)の文書「SP 800-160 Volume 2」で定義され、近年はセキュリティの啓発などにこの言葉を用いるITベンダーも増えてきている。
「サイバーレジリエンス」の解説
ウェブルートは、ウイルス対策ソフトベンダーとして1997年に創業し、日本法人も2005年に設立された老舗のセキュリティ企業。2019年2月にバックアップ製品を手がけるCarboniteに買収され、同年11月にはそのCarboniteもOpenTextに買収されたことで、現在のウェブルートは、OpenTextのサイバーレジリエンス事業領域を担当しているという。
この日は、代表取締役社長の伊藤誉三氏が会見を予定したが、急な事情で欠席し、シニアマーケティングマネージャーの丹羽史明氏が説明した。丹羽氏は、さまざまなサイバー攻撃動向を示す資料を引用して、サイバー攻撃の増加傾向が続いており、ランサムウェア攻撃がその一因であること、コロナ禍に伴う急なリモートワークの導入によりセキュリティ対策の取り組みが遅れがちなこと、大企業のセキュリティ対策が堅牢なためセキュリティの予算や運用などの点で制約があり脆弱な中小企業がサイバー攻撃者に狙われる傾向にあることなどを指摘した。
ウェブルート シニアマーケティングマネージャーの丹羽史明氏
ランサムウェア攻撃では、攻撃者が標的とする組織の機密情報のデータを暗号化したり、機密情報をインターネット上に暴露したりするなどと脅して金銭の支払いを要求する。あからさまな手口のため被害が分かりやすいものの、攻撃者は密かに機密情報を窃取するスパイ行為、最終目標の組織に侵入するための“踏み台”といった他の目的でも攻撃を行う。攻撃による被害では、調査や対応、法令などによる罰則、再発防止、信用失墜、収益機会の逸失など直接的にも間接的にもさまざまな損害を伴う。
サイバー攻撃などの被害に遭った組織では、被害に遭う前と同じ状況でビジネスを続けることが難しい。被害を未然に完全に防ぐことが理想だが、現実には攻撃や被害を100%絶対に防ぐことができないため、攻撃や被害の発生を前提に備えて万一の時にも迅速な対応でビジネスを早期に立て直すサイバーレジリエンスの考え方が提唱されている。
丹羽氏は、中小企業におけるセキュリティ対策の課題として、予算や人材の不足、それに伴うリモートワークの整備や従業員が自発的に便利なITツール、サービスを使ってしまう「シャドーIT」などへの対応の難しさを挙げ、その原因に経営者の認識不足があると指摘した。自社は攻撃に遭わない、セキュリティ対策費用は無駄といった感覚が根強くある。
中小企業のセキュリティ課題
記者会見には、ゲストとしてサイバーディフェンス研究所 専務理事 上級分析官の名和利男氏も登壇。名和氏は、現代のサイバー攻撃が高度に組織化されたグループによって実行され、単体のセキュリティ対策方法では防げないこと、業務のIT化やデジタルトランスフォーメーション(DX)の取り組みでセキュリティ対策を講じなければサイバー攻撃や被害に遭いビジネスが脅かされるリスクが高いことなどを挙げた。
名和氏は、日頃から中小企業のセキュリティ相談に応じているという。現場のセキュリティ担当者の意識や意欲は高いが、丹羽氏が指摘したように経営者の意識が低く、現場が疲弊していると指摘する。経営者の間でサイバーレジリエンスの考え方が少しずつ広がり始めている感触はあるが、まだ不十分とした。
ゲスト登壇したサイバーディフェンス研究所 専務理事 上級分析官の名和利男氏
経営者には、「具体的な損害金額あるいは、被害で取引を打ち切られ倒産するといった、数字や現実感のある影響を経営者に伝えなければ理解を得にくい」(名和氏)とし、「予算などの制約がある中でも効率的に賢くセキュリティ対策を進めていただきたい」と述べた。