サイバー攻撃による大企業の事業停止が頻発(イメージ:写真AC)

SIer丸投げで欠落するスキル、哲学、理解

ランサムウェア攻撃が、本格的に日本の上場企業やそのグループ会社をターゲットにし始めました。攻撃を受けたシステムが長期間復旧せず影響範囲が拡大しているにも関わらず、原因はいまだ調査中という報道に、既視感を覚えるのは筆者だけではないでしょう。これではステークホルダーや取引先からの信用失墜は免れません。

ランサムウェア攻撃に対しては、セキュリティに疎いと言われる日本においても、さすがに上場企業ではそれなりの対策を取っているはずです。しかし、インシデントがこれだけ連続して報道を賑わす状況を見ると、何かが欠けていると思わずを得ません。

セキュリティ対策は技術だけでなく人や仕組みなど運用体制も重要(イメージ:写真AC)

サイバー攻撃に対するシステム上の対策として、ネットワークやアクセス制御に関わる脆弱性を排除し、フィッシングメール対策を打つなどしていても、インシデンの発生には、例えば情報システム担当者や情報セキュリティ担当者が極めて少ないなど、運用体制の脆弱性も関係しています。

近年の傾向として、ERP(Enterprise Resource Planning:統合業務システム)のように、業務プロセスを統合し効率的に運用できるとしてシステムの範囲を拡大する企業が増えています。範囲は事業全体に広がり、結果、委託業者(SIerなど)への依存度も高くなります。SIerもライセンス料や保守運用費用が毎年入るわけですから、企業丸抱えでベンダーロックし、長期に渡る太客として手厚いサポートをするでしょう。

ERPの導入でシステム障害の影響範囲が拡大、一方で外部への依存度も高まっている(イメージ:写真AC)

通常ERPは、会計・財務管理、人事・給与管理、販売・購買管理、在庫・物流管理、生産管理(OT)、顧客管理(CRM)などが統合連携され、業務効率が向上すると期待されて導入・展開されます。少ない運用担当者でも委託業者のリモート保守などを通じて何とか運用できていることで、おうおうにしてCIOを含む経営陣はそのリスクに気がつきません。

こうしたシステム運用のなかで欠落していくのが、情報システム担当者や管理職のスキル、開発・導入哲学、業務フローの理解であり、さらにはソフトウェアに内在するセキュリティ対策です。

近年では、セキュリティ対策として開発時にDevSecOps(デブ・セック・オプス)を組み入れたりしますが、先に述べたような欠落があると、ベンダーが開発したパッケージソフトにセキュリティ的脆弱性が内在していても、検証することなく、言われたままカスタマイズし利用することになります。

※デブ・セック・オプス:ソフトウェアの開発、テスト、デプロイ(システムを稼働可能な本番環境に置くこと)のサイクルを、セキュリティチェックを包含させて高速でまわすスタイル

このような統合型ERPでは、Single Point of failure(SPOF:単一障害点)として、システムのある単一要素にいったん障害が発生すれば、影響範囲も企業の事業全体に及び、トラブルの原因究明も複雑性のために難航し、長期に当該企業の基幹業務が停止となるのは必然です。