本連載は、企業を取り巻くサイバーセキュリティに関するさまざまな問題について、ビジネスの視点から考える上でのヒントを提供する。
長期化する新型コロナウイルス感染症の影響により、2021年も多くの企業・組織がインフラやサイバーセキュリティの領域での対応を余儀なくされた。同時に企業・組織の多くがサイバーリスクを痛感する年でもあった。今回は、企業・組織のサイバーセキュリティに関して、2021年のセキュリティインシデントの傾向や投資、施策を振り返り、2022年にビジネス視点で注意すべきポイントを予測してみよう。
ステークホルダーへの影響と海外拠点のリスクの顕在化
2021年もランサムウェアが猛威を振るい、国内外でさまざまなインシデントが発生した。恐喝の手口も、データを暗号化した上で応じなければ情報を暴露すると脅す「2重恐喝」から、恐喝に応じなければ、ウェブサイトにDDoS(分散型サービス妨害)攻撃を仕掛ける、顧客や取引先、マスコミに情報をリークすると脅す「4重恐喝」にシフトした。被害組織の目に見える形で被害に気付かせ、混乱を招く手法に加え、被害組織の外側から混乱を招く脅迫の手口も悪質化している。
身代金の要求額も高騰し、2021年は1件当たり平均約530万ドル(約6億円)と対前年比で約5倍増加した(パロアルトネットワークスの速報値)。海外ではサイバー保険で穴埋めすることが身代金の高額化を促しているという見方もある中、事業継続を担保にすることが犯罪成立に有効な手段として確立されてしまった。
2021年に国内外で顕著だったセキュリティインシデント
2021年に世界で発生したセキュリティインシデントの全体的な傾向として、2つの懸念点がある。
1つ目は「ステークホルダーへの影響を伴うインシデント」で、国内でも決算報告の延期、減収予測や特別損失の計上、病院では新規患者の受け入れが困難になるなどの被害があった。海外では物流・交通への影響、食品スーパーの大規模休業、食品・飲料の製造停止、燃料供給停止などの被害が出た。
これまでサイバー攻撃により、誰にどんな不利益、不都合があるのかが疑問視されてきたが、現状では二次的被害、三次的被害として株主あるいは株式市場全体、消費者、サプライチェーンなど社会全体に影響が及ぶケースが常態化し、単なる事業継続への影響の範囲を超えている。
2つ目が、日本企業の海外子会社・関連会社に潜むリスクの顕在化だ。言葉や文化、マネージメントスタイルの差異から海外拠点にはガバナンスを効かせにくく、結果的にセキュリティが比較的緩いという課題を抱える企業は多い。海外拠点経由での国内拠点・本社での被害が年間を通じて確認された。
侵入後に攻撃者が、縦横無尽にネットワーク内部で活動を行う横展開(ラテラルムーブメント)のような攻撃手法は新しいものではないが、ネットワーク内部や拠点間の通信や挙動を検査していない企業は多く、ゼロトラストの観点からも懸念すべきポイントだ。またサイバーリスクの観点でも、組織全体での意思決定方法やガバナンスの重要性が浮き彫りになった。
