猛威を振るうウイルス「ランサムウェア」

一方的に送りつけられてくる迷惑メールやショートメール。さらにはPCウイルス感染の危機にさらされた経験を持つビジネスパーソンは多くいるのではないでしょうか。

独立行政法人情報処理推進機構(IPA)は中小企業向けのセキュリティー対策をまとめたガイドラインを作成した理由について、ランサムウェアの脅威がきっかけだったと話します。

ランサムウェア：感染するとパソコンやサーバー内部のデータを盗んだ上で暗号化し、使えなくする。暗号解除と引き換えに金銭を要求し、応じなければ盗んだデータを暴露すると脅迫する。脅威が世界的に注目されたのが、21年5月の米最大級の石油パイプライン、コロニアルパイプラインへの攻撃だった。

――「中小企業の情報セキュリティー対策ガイドライン第3.1版」を発行した狙いや、背景を教えてください。

江島：2019年に3.0版を出した後、今年4月に最新版を発行しました。

この間、新型コロナウイルスの感染拡大やDXの推進、ランサムウェアなどの脅威が非常に高まり、インシデントも発生しています。

中小企業でもテレワークが普及しました。

それまで「社内でパソコンを管理しておけばよかった」という環境から、社外管理になったり、個人の所有端末を使っての業務になったりしたほか、社内の情報を持ち出す機会が増え、働き方も変わってきています。

DXの推進に合わせて、クラウドを活用する企業も増えています。
中・小企業を取り巻く環境は大きく変わっていることから、ガイドラインを発行しました。

――以前のガイドラインと変わっているポイントを教えてくだい。

江島：今回、大きく2つのポイントが変わっています。

1つ目がテレワークへの対応、もう一つが、インシデント対応です。事故が起きた後、いかに対応し、素早く業務を再開させるかというところをまとめています。

猛威を振るっているランサムウェアに感染し、いったん暗号化されると、データが戻ってこないことがあります。また、業務が復旧するまで、数カ月かかるというケースが多くあります。

いかに早く業務に戻るかというのは、大事な事業課題、経営課題になりますので、インシデントが発生した際の対応について書かれています。

狙われているのは中小企業

――ランサムウェア感染による被害は、中小企業でもあるのですか。

江島： IPAも調査を行っていますが、恐喝事件のようなものですので、警察に相談が相次いでいます。警察によれば、ランサムウェア被害の半数以上は、中小企業がターゲットです。

大企業を狙った方が効率よく高い金額を要求、請求できるのかもしれませんが、セキュリティーが甘い中・小企業や、大企業に商品を卸している製造下請けなどを狙えば、大企業にまで影響が及びます。

それゆえに、中小企業は狙われるのだろうとみています。

対策はリーダーシップとサプライチェーンのリスク

――中小企業の経営者や管理職は、どんなセキュリティー対策に留意する必要がありますか。

江島：中小企業のセキュリティーでは、経営者の意識が極めて重要です。中小企業特有の事情ですが、お金の問題やシステム担当者がいなかったり、いたとしても少数だったりします。

その中で、経営者はしっかりと指示を出し、リーダーシップをとって、自社のセキュリティー対策を進めていただくことが非常に大事です。

IPAが対策ガイドラインで示した経営者の心構え（概略）

1：情報セキュリティー対策は、経営に大きな影響を与えます！
情報セキュリティー対策を疎かにしたためにシステム障害が発生して事業活動が停止することがあります。情報漏えいの場合は、顧客や取引先の信頼を失い、業績が悪化することも。さらに、顧客や取引先に被害が及んだ場合は高額な賠償金を請求されることもあります。

2：対策の不備により経営者が法的・道義的責任を問われます！
現代社会では情報にも価値や権利が認められます。個人情報保護法では、事業者に対して個人の権利利益の保護、安全管理措置などの管理監督が義務付けられており、違反は罰金刑の対象。取締役や監査役は、会社法上の忠実義務の責任もあります。

３：組織として対策するために、担当者への指示が必要です！
情報セキュリティー対策は、経営者が主導し、必要な範囲を網羅し、組織的に実施しなければ機能しません。経営者はこれらを認識したうえで、情報セキュリティー対策の取り組みを担当者に指示する必要があります。任せきりにしてはいけません。

もう１点、自社だけで対策を取るのではなく、取引先のセキュリティー対策まで留意することが重要だと考えています。

サプライチェーンのリスクです。

以前、トヨタの全工場が止まるという事案が起きました。その時、大手部品メーカーのシステムがランサムウェアで止まりました。

感染のきっかけは、そのメーカーの子会社が使っているVPNルーターの脆弱性を突かれたことでした。順次、攻撃が広がり、最終的にトヨタの業務も止まりました。

流通、取引先、ビジネスパートナーまで含めて、セキュリティーに留意しなければなりません。

――中小企業の一箇所で穴を開けられるだけで、しわ寄せが大企業に及ぶわけですね。

江島：その通りです。大手のスーパーゼネコンなどは、取引先が数万に上ります。その取引先の中に「一人親方」の会社や社員数人の会社があって、サプライチェーンを構成しています。

本当に、小さい所でのインシデントが、そのまま大手に響く可能性があります。

盗まれるカード情報　被害額は数千万円のケースも

――セキュリティー対策をないがしろにすると、どのような不利益が生じますか。

江島：最近は、脅迫して直接的な金銭被害というのが多く見られます。先ほど話したランサムウェアが実例として挙げられますね。

支払いを求めるのもありますし、コロナ禍以降、ECサイト（電子商取引）を巡る事案が非常に増えています。

各ECサイトのメンテナンスができてないため、脆弱性を突かれてクレジットカード情報を盗まれるパターンです。

例えば、普段は千円や2千円の商品を売っていたとしても、カード情報が持っていかれて、限度額の100万円まで使われるという事案です。

クレジットカード会社がいったん補填しますが、最終的にECサイトの運営会社が悪いという判断になれば、請求は運営会社にいきます。

なかには、数百万円、数千万円を請求されるということも出てきます。セキュリティー対策を怠ると、そうした直接的な被害に見舞われる恐れがあります。

そうした事案に巻き込まれると、その後のビジネスにも影響が出てくると言うことも、間接的被害として確認しています。

恐れている風評被害と業務遅延

――中小企業が警察に届け出ることなく、内密に処理するようなことはありますか。

江島：あくまでも私の感覚値になりますが、警察にあまり相談されてないケースが多いのではないかと思っています。警察には言わず、内々に処理したというケースも実際に聞いております。隠れた被害は多くあるのではないかと推測しています。

調査を行ったり、各地でセミナーを開催し、経営者らとお話をしたりすると、「ランサムウェアに感染したが、警察には言いづらい」との声をたまに聞きます。

風評被害を恐れるケースもありますし、サーバーを調査するとなれば、業務が止まってしまう。そういう、さまざまなマイナスの側面を憂慮して、届け出ない事例があるようです。

今回のガイドラインでは、被害にあったら届け出をしてほしい、それが社会全般のセキュリティー強化につながる、ということも書いています。

以前は、個人情報の届け出が必須ではありませんでしたが、改正個人情報法が施行されて、届け出が必要になりました。

確実に法的責任が問われます。コンプライアンス（法令順守）の観点からも対応する必要があります。

心掛けるのは取引先とのコミュニケーション

――経営者が心掛ける点は、他にはどのようなものがありますか。

江島：取引企業などの関係者と、セキュリティーを巡るコミュニケーションを普段から取っていただければと思います。

インシデントが発生した際、「こんな経緯で、こうした事が起きました。被害が出るかもしれないので、気を付けてください。今後は、対策をしっかり取るので事業や取引を継続してください」などと伝えられるコミュニケーションです。経営者がこうした状況を把握できていることが非常に重要です。

また、委託や外部サービスを使う際のセキュリティーに関する責任の範囲を明確にすることも大切です。中・小企業もやはり何かを委託されていますし、クラウドのような外部サービスも利用しています。

クラウドサービス利用にあたり、ログインIDやパスワードは、利用者側の責任として管理しなければいけません。

委託先に業務を委託する時も、委託先の責任と委託元である自社の責任を明確化しておくことが求められます。

この記事はドコモビジネスとNewsPicksが共同で運営するメディアサービスNewsPicks ＋ｄより転載しております 。
取材・文：小西一禎
デザイン：山口言悟（Gengo Design Studio）
編集：比嘉太一、野上英文