組織化するサイバー攻撃　企業はどう立ち向かう？

攻撃・防御・人材・保険まで、待ったなしのセキュリティ

サイバー攻撃が高度化・巧妙化し、規模や業種を問わず深刻な被害が後を絶たない。事業継続に多大な影響を及ぼす事案も多発し、インシデント対応やBCP・IT-BCPを含めサイバーセキュリティ体制の整備・運営は喫緊の課題となっている。しかし一方では「どこから手をつければいいのかわからない」といった声も。ITネットワークシステムと損害保険の領域から５人の専門家に集まっていただき、企業を取り巻くサイバーリスク環境とセキュリティの課題、解決策、今後の展望を語ってもらった。（※文中敬称略）

――まずは最近のサイバー攻撃の傾向と、企業において特に懸念されるリスクを教えてください。

石本　最近はサプライチェーンが狙われるケースが非常に多く、ターゲットはいまや中小企業にまで広がっています。背景の一つには、いわゆるRaaS（ラース：ランサムウェア・アズ・ア・サービス）の影響があると思っています。

RaaSは、クラウドを介してランサムウェアを提供する犯罪形態です。攻撃者はランサムウェアを開発する必要がありませんから、攻撃コストを大幅に下げられます。サイバー犯罪が組織化、ビジネス化してきたことで安価な攻撃が可能となり、中小企業相手でもコストをペイできるようになってきたわけです。

そのため大手企業は、自社のセキュリティ対策を引き続きしっかり行うこと、のみならず、グループ会社を含め、サプライチェーン全体にガバナンスを効かせていくことが重要となってきています。

田中　我々保険会社の立場から見ても、中小企業のサイバー事故は増えています。特にランサムウェアについては、情報漏えいの見舞い金、賠償金がかかるイメージが強いと思います。それにも増して、事業停止のリスクが大きく、そしてそのリスクが広がっています。

石川　保険代理店の我々も同じ見方です。当社のお客様は大半が中小企業ですから、やはりサプライチェーンリスクが最も注視するところです。経営者の方々によくお話するのは、3つのリスクがあるということです。

第1は個人情報漏えいリスク、第2はシステム・サービス停止リスク、第3は取引先への賠償リスクです。損害が明らかに甚大化していますので、サイバーリスク＝事業が立ち行かなくなるリスク、と認識していただくよう働きかけています。

DXの進展でIT環境の脆弱性も多様化

――サイバー犯罪が組織化し、攻撃の手段、対象が拡大、リスクが顕在化したときの損害も大きくなっている、と。これに対し、企業側にはどのような動きがありますか？

田中　情報システム部の人材が不足しているという声をよく聞きます。人も時間もないなかでDXが進み、IT資産だけが増え続けており、そこにどう対応していくかが企業の深刻な課題となっています。

そのため、当社としては、予防対策（Attack Surface Management）とサイバー保険の導入を推奨しております。予防対策では、ハッカー目線で自社のリスクを可視化する「MS＆ADサイバーリスクファインダー」というAttack Surface Managementを用意しており、効率的に外部から狙われやすいところを明らかにし、ハッカーの侵入経路を遮断するサポートを行うサービスです。また、サイバー攻撃は100％の防御はできないため、インシデント発生時に迅速な対応が可能な体制を構築することが重要です。サイバー保険の導入を通じて、復旧支援を迅速に行い、企業の事業継続をサポートします。

安澤　確かに、情報システム部門がある企業でも、セキュリティに特化した人材は多くないでしょう。意識はあっても、対処すべき脆弱性の情報をどう入手するか、そこにどう対応するか、具体策が定まらずに悩んでいる企業は多いと感じます。

キーワードは、やはりDX。企業のITシステムやネットワーク、その使い方が急速に変わっています。

ITインフラでいえば、大きいのは通信機器の変化です。以前は１秒あたりどれだけの量を処理できるかが重視されましたが、現在は１秒あたりどれだけの数を処理できるかが重視される。それほど通信システムに求められる性能が変わっているということであり、これに呼応するかたちでセキュリティシステムに求められる性能も高度化しています。

また、DXにおいてはクラウドの活用が大きなポイントです。以前はインターネットへのアクセスは社内ネットワークからだけだったので、そこをファイアウォールなどによって守ればある程度の防御ができました。しかし現在は、テレワークにはじまりモバイル端末など複数経路からのアクセスがあります。

IT業務を完全にクラウドに移行してクラウドセキュリティだけを考える手もありますが、いまはまだ過渡期です。オンプレミスのシステムも生かし、ハイブリッドで運用している企業が多い。将来的には高いレベルでゼロトラストを実現すべきですが、いまは守るポイントがなかなか絞れないのが現状だと思います。

肥野　企業によって、あるいは業界によって、システムやネットワークの構成が違うということですね。何が重要な情報資産なのか、それをどう守るのかも個々のビジネスによって違う。一律に当てはまる対策がないのがセキュリティの難しいところです。

技術的には自社のネットワーク構成図を見ながらウィークポイントをつぶしていくと思うのですが、それだけでは企業全体としてなかなかイメージの共有ができない。特に事業部門は業務内容ごとに重点が違います。そこを勘案しないと、技術的対策を行うだけではセキュリティは浸透しないと思っています。

技術面の対策はしっかり押さえるとして、同時に、人や仕組みの面からの現場に即した対策が不可欠です。そこで有効なのが訓練です。当社でもインシデント訓練の研修コースを提供していますが、実際、多くの気づきが得られます。

単純な例ですが、社用スマートフォンを紛失した際、「どんなリスクが想定されるか？ どう対応するか？」。こうしたことも、実は社員にあまり理解されていないのが現状で、事故があった際のステップの踏み方を共有するだけでもとても有効的です。

政府機関からの呼びかけも強まる

――サプライチェーン全体にガバナンスを効かせて取り組む必要があるというお話でしたが、そのためには技術面だけでなく、経営層、事業部門、情報システム部門が共通の問題意識を持ち、人や仕組みの面からもセキュリティに取り組む必要があるということですね。

石本　そうですね。ただ、セキュリティ対策を経営層に理解してもらうこと自体がそもそも難しい。特にインシデント対応訓練のようなソフト施策は、費用対効果が見えづらいところがあります。担当者はやりたいけれど、稟議のハードルが高い、経営層の承諾が得られない、というのはよく聞くところです。

当社で提供しているインシデント対応教育・訓練コースは、受講者の特性に合わせたシナリオを用意していますが、ひとたび訓練を受けていただくと、満足度は非常に高く、インシデント発生時の流れを経験できるのは非常に参考になるという感想を多くいただきます。

――訓練を行うことでさまざまな気づきが得られるのに、そこに至るまでのハードルが高いというのは、ジレンマがありますね。

石川　我々販売代理店のPR不足もあるかもしれません。当社は約3700社の法人のお客様と取引させていただいていますが、サイバー保険の普及率は20％程度。セキュリティの重要性について、まだまだご案内し切れていないというのが実状です。

例えば、運送業界へは、これまであまりサイバー保険を提案できていませんでした。なぜなら、パソコン保有台数が少なく、対外的なやり取りも電話・FAXが中心の会社が多かったからです。ところが、最近ある百貨店に出入りしている会社が情報漏えい事故を起こして取引停止になったというニュースが出たところ、サイバー保険の引き合いが急増したのです。

つまり、経営層の理解にはインシデントを身近に感じてもらえたかどうかが大きく関係します。ですから、目の前にある経営リスクをどれだけ具体的に伝え切れるか、弊社側で勝手に判断して「お伝えしない不親切」を無くすことができるかが我々の使命ですので、認識し直さないといけませんね。

石本　サイバーインシデントのニュースがこれだけ世間を騒がせていても、自社に火の粉が降りかからないとなかなか自分事としてとらえられないのが現実かもしれません。

ただ、セキュリティに関する経営へのプレッシャーはどんどんきつくなってきています。経済産業省は「サイバーセキュリティ経営ガイドラインver3.0」でセキュリティリスクの評価・特定と対策の実装を企業に要求していますし、サプライチェーンのセキュリティ対策評価制度も近く始まることが決定しています。この２～３年で状況はかなり変わるでしょう。

肥野　昔からセキュリティはコストといわれ、企業が率先して対策に取り組む流れにはまだ至っていません。しかしここへきて国が動き始め、先のガイドラインや評価制度のような推進体制を整えてきました。

同時に、IT導入補助金のようなセキュリティへの経済的支援制度も増えています。セキュリティ対策の実装は、そうした支援の条件にもなってくるでしょう。プレッシャーとインセンティブによって、企業が率先して対策に取り組む流れができつつあります。

保険がカバーする安心領域は大きい

――サイバーセキュリティも過渡期ですね。先ほどからのお話にもありますが、セキュリティにはインシデント対応体制やBCP体制も含まれます。事業継続を考えれば、保険の役割もますます大きくなりそうです。

田中　保険の役割は大きく二つあり、一つは自社で対応し切れないリスクをカバーすることです。先ほど申し上げたように、サイバー攻撃を100％防御するのは不可能ですから、万が一損害を被ったらこれを金銭的に補てんします。例えばサイバー攻撃による大きな損害は事業停止によって取引先に損害を与えることが挙げられます。

製造業であれば、工場が止まって製品の供給ができなくなり、取引先も事業をストップせざるを得なくなります。こうしたケースでは数億円規模の賠償が求められるかもしれません。繰り返しになりますが、情報漏えいだけでなく、自社の事業が止まったらどうなるかのイメージを持ってほしいと思います。

もう一つは、サイバー保険を通じて、初期対応から事故解決までのサイバー事故対応を支援することができます。多くの企業が自社へのサイバー攻撃を受けたことがないため、どうしたらいいのか、どこへ連絡すればいいのかわからないケースが多いと思います。

その点、我々は多くのお客様の事故を扱っていますから、対応に関して知見があります。サイバー事故に精通している弁護士事務所とも提携しているので、法律の観点からのサポートもできます。また個人情報保護委員会への報告にはレポート提出が必要になりますが、それには原因を究明するためのフォレンジック調査が必要となり、保険に加入いただければ、フォレンジック調査会社等の選定をサポートすることも可能です。

このように、迅速な事故対応は早期復旧につながるため、保険のメリットは非常に大きいと思います。

石川　そうですね。事故対応はほとんどの企業が未経験ですから、そこを差配してくれる窓口があることを知っていただくのは非常に重要です。

三井住友海上火災保険のサイバー保険は、賠償損害は10億円まで、費用損害は５億円まで、利益損害はオプションになりますが1億円まで加入することができます。

賠償金が数億、10億というのはけっして極端な話ではありません。補償額（支払限度額）が上がることで保険料が上がると言っても、それが本当に許容できないコストなのか、きちんとご判断いただけるよう十分説明をしていきたいと思います。

また、情報漏えい事故を起こした場合、フォレンジック調査費用、委員会報告、復旧費用、見舞金や賠償金といった具合に、経営に与える直接的損害を財務インパクトベースでお示しすることも我々は可能ですので、その辺りをしっかりサポートしていきます。

田中さんが最後に触れられましたが、保険未加入の場合、フォレンジック調査会社が依頼を受けてくれないケースが実際にあります。調査費用の支払い能力がないとみなされてしまうのでしょう。サイバー保険への加入には与信の効果があると言えます。

個々の企業に寄り添う支援まず相談を

――最後に、企業のセキュリティ担当者、あるいはリスク管理担当者の方々に伝えたいことを聞かせてください。

田中　石川さんのお話のとおり、サイバー保険加入率は依然として低く、まだ浸透していません。プレッシャーとインセンティブによって徐々に意識が変わっているというお話もありましたが、我々も多くの情報を持っています。セキュリティの必要性に気づいていただけるようしっかり伝えていきたいと思います。
石川　本日同席いただいたみなさんは、同じ方向を向いて仕事をする仲間だと思っています。今後も連携しながら、セキュリティの普及に努めていきたいと思います。

安澤　ITインフラに関してですが、セキュリティシステムの見直しと脆弱性の対策に、可能なところから取り組んでいただきたいです。いま運用しているセキュリティ製品の設定を確認し、バージョンアップできるようなら、そのまま生かしてもいいと思います。

新たなシステムを導入する場合は、例えば我々の「Allied SecureWAN（アライド・セキュア・ワン）」はクラウド型のUTM（統合脅威管理）とインターネット接続などのネットワーク機能を設計から構築、運用まで支援します。お客様のニーズに合わせて必要な対策をカスタマイズし、スモールスタートできるのが特徴です。

いっしょに取り組めればうれしいですが、当社のサービスを導入しないとしても、新たなシステムを導入する場合は、必要な対策を優先付けしてから着手してほしいと思います。

石本　セキュリティ対策と災害対策の考え方は、根本的には同じです。災害対策は安全配慮義務などの観点からやってあたり前になってきましたが、セキュリティ対策も少しずつその方向になっています。ただ、自社が被害に遭わないとなかなか重要性を理解できないのは、両者にいえることでしょう。

これに対し我々は、先ほど申し上げたとおり、インシデントを疑似体験できるさまざまな訓練メニューを提供しています。低額で手を付けやすいコースもあるので、人数を絞ってトライしてみるところから始めていただきたいです。必ず気づきが得られますから、長期計画を立て、少しずつ訓練活動を広げてほしいと思います。

肥野　まずは相談していただきたいというのが一番です。最初にお話したとおり、それぞれの企業がそれぞれの課題を抱え、ポイントを一律に絞れないのがセキュリティの難しさ。お客様の課題解決に何がふさわしいのかをいっしょに考えていきたいと思います。

安澤が説明した当社の「Allied SecureWAN」は、セキュリティに必要な人的リソースをかなりの割合で削減することができます。石本が説明した訓練は、セキュリティにかかる組織のボトルネックを可視化するのに役立ちます。ただ、それ以外にもお客様はさまざまな悩みを抱えています。それこそ、経営層をどう説得するかという悩みもあるでしょう。

我々は単純にサービスを提供するだけでなく、お客様にいろいろな情報を提供し、相談に乗ることができます。どうすれば課題を解決できるのか、何から手を付ければいいのかも含めていっしょに考えていきます。まずはお話の機会をいただきたいと思います。

――時間となりました。ありがとうございました。