リスクに対し鈍感な経営者が多い

2022年5月25日から27日の3日間にわたり、サイバーリーズン・ジャパン主催のオンライセミナー「Cybereason Security Leaders Conference 2022春 トップランナーと考えるこれからのサイバーセキュリティ」が開催されました。

本イベントの最終日には、松下電器(現:パナソニック)情報セキュリティ本部長や政府内閣府・経産省の情報セキュリティ諮問委員を歴任し、現在、「日本政府認定技術情報ろうえい防止措置認証機関」 一般社団法人情報セキュリティ関西研究所:代表理事を務める金森喜久男氏が登壇。「頻発するサイバーインシデント。経営者に理解させたい情報セキュリティの進め方」と題した講演を行いました。

冒頭、金森氏は企業のリスクマネジメントについて2つの心配事があると述べます。
1つ目の心配事は、高まるさまざまなリスクに対し、企業のリスクマネジメントへの取り組みが弱いことだといいます。

「帝国データバンクが国内企業1万社に対して、自然災害に対するアンケートを取ったそうです。これによれば、73%の企業がほとんど対策をしていないと。温暖化が進みつつありますが、この温暖化は(平均気温が)1℃上昇すると、空気中の水分が4~14%増えると言われています。当然、空気中の水分が増えるわけですから、集中豪雨や豪雪、大型台風が起きるのは当然だと考え対策が必要です。」

「また多くの脅威があります、例えば地震大国日本は一定の期間ごとに大地震が起こることを前提とした対策必要です。そのような自然災害に加えサイバー攻撃は直近の問題です核兵器が使えない時代戦争の最大の武器は新しい細菌兵器か、IT関連などサイバー攻撃が重要武器として台頭しています。ところが、こういったリスクに鈍感な経営者が少なくない。そしてリスクに鈍感ということはチャンスにも鈍感ではないか、というのが私の心配事の1つ目です。」

2つ目は企業の営業秘密に関する意識です。「大学で教鞭を取っていた際に行った経営者アンケートでは、回答があった約600社のうち、77%の経営者が『悪意ある第三者が各企業の営業秘密を狙っている』という認識を持っていないと回答しています。昨年、経済産業省でも同様なアンケートを取っており、やはり78%の経営者が意識していないという結果が出ており、大半の経営者が自社の営業秘密が狙われているという意識が低いことです。」

これに対し金森氏は松下幸之助創業者の言葉を引き合いに出し、こう述べます。「幸之助創業者は『夜泣きうどんを見習え』とよく言われていました。夜泣きとはいわゆる屋台のうどん屋さんのことですが、どういうことかというと、『うどん屋さんによって、出汁(だし)、味、ゆで方、かまぼこやネギの切り方が全部違う』。たった一人でやっているうどん屋さんでも、それぞれ特徴があるんだと言うわけです。『どのような小さな組織を担当しても特徴を持ちなさい。それが技術やな、新しいことやってみなはれ、大事にしなはれ』と言われたわけです」と。

そして「このように小さな屋台のうどん屋さんでも得意な技術と手法があるのに、長く続いている企業の経営者が『秘密にしておく情報資産がない』訳がない、というのがもう一つの私の心配事です」と語ります。

情報の電子化、ネット化で情報セキュリティの進め方に大きな変化

 この『情報資産』に対する情報セキュリティの進め方が、昔と今では大きく変わったと金森氏は指摘します。

「昔は業種によって情報資産の種類や場所など形態が異なっていました。例えば製造業であれば技術情報や製造方法がそれぞれ技術部や工場の中に、金融業であれば個人情報や決済情報、食品や農業、養殖業では遺伝子情報や栽培情報などがあり、その場所も、紙に記録されていたり、一部は電子化されていたり、社員の頭の中にある場合もありました。また化体物(かたいぶつ)と呼ばれる試作用の金型など、さまざまな形で情報資産が存在していました。ところがこれらの情報資産の電子化が進み、全てインターネットにつながった結果、企業における脅威が致命的になってきました」。

また、ECの拡大も大きな影響があるといいます。「従来、製造業は卸業や小売業を通して消費者に品物を届けていました。それが10年ほど前からアマゾンや楽天といったECサイトが普及し、今では20%近くがこれらのECサイトで購入されています。さらに近年では、製造業が直接ECプラットフォームを使い、直接消費者とダイレクトに結ぶようになりました。ここまで拡大すると、ECは事業の枠を超え、全く新しい産業になりつつあると申し上げたいと思います。」

そして、金森氏はECの産業化に伴う新たな脅威、それはリテラシーの問題、サイバー攻撃という脅威に対処しなければならないと指摘します。

サイバー攻撃、情報漏洩への備えは十分か

金森氏はこの一年でたくさんの企業からサイバー攻撃、特にマルウェアに関する相談を受けているといいます。「代表的なのはEmotet。なりすましメールで侵入して、攻撃相手のいろいろなシステムを破壊していく。そしてランサムウェア。コンピュータに感染して乗っ取り身代金を要求する。ContiLockbit、Rysaなどです」と。

「昨年、海外支社がランサムウェアに感染して身代金を支払ってしまったという企業から相談を受けました。その時にいろいろと調べてわかったのが、身代金の金額が、海外支社長が決裁できる最高金額だったということです。つまり、その犯罪集団が、事前に調べていたか、社員が関係していたという可能性が考えられるわけです。似たような話は他にもありました。要は何らかの形で情報が外部に漏えいしているわけです」(金森氏)。

こうなると対策がまるで変わってくると金森氏はいいます。
「情報漏洩の例として象徴的な事件があります、新日鐵住金(現:日本製鐵)が韓国のポスコ社に対し企業秘密である方向性電磁鋼板の製造方法を盗まれたとして、2016年に300億円の和解金で合意したという事件です。これはポスコの社員が中国企業に方向性電磁鋼板の製造方法を売り渡したということにポスコが気づき発覚するのですが、この裁判において情報を売り渡したポスコの社員が『元々この技術はポスコのものではなく、新日鐵住金のものであり、ポスコ技術を盗んだわけでないから無罪である』と主張し、初めて新日鐵住金は自社から企業秘密が漏えいしていたことに気づくわけです。

つまり、ポスコは漏洩にすぐ気づき、新日鐵住金は全く気づかなかった。気づく仕組みの有無の差は10年以上前から出来上がっていて、現在も何も変わっていないというのが日本の現実です」。

「情報資産は企業にとって市場で打ち勝つ有利な情報を指します。また外部に流出した場合の自社に与える損失の大きさによって、厳秘か秘か区分を分けるわけです。そして国際的には情報セキュリティを実施していない企業は得意先から信頼されなくなりますし、秘守管理をしていなければ裁判では勝てません」。

つまり「情報を盗られたら分かる仕組みを作り、インシデントが発生した場合はどのように対応するか決めておく。このような情報資産管理を行うこと」が重要だと金森氏は指摘します。

情報資産管理を成功させるには

金森氏は「長らく情報資産管理、セキュリティのコンサルタントをやっていますので、情報資産管理がうまくいかない理由は目的が理解されていない事である」といいます。よくある質問への答えは以下になります。

  • Q:目的が理解されていない?A:働きやすい職場づくりのためです。
  • Q:誰のためか?A:これはお客様、そして従業員全員のためです。
  • Q:情報資産管理は面倒だ?A:そのとおりです。
  • Q:時間がかかる?A:良い職場づくりのためなので我慢しましょう。
  • Q:誰の責任で実施するのか? A:それは社長・管理職の責任です。自分の上司が熱心でないのなら、その上の上司にちょっと訴えましょう。
  • Q:機密区分と連動していない?A:機密区分の考え方を再整理しましょう。

ここで金森氏は一つの例を挙げます。ソフトバンクによる楽天モバイルの訴訟です。
「ソフトバンクで5Gの情報通信技術研究を行っていた技術者が年末に辞め、年明けから楽天モバイルで同じ技術の開発に当たりました。それに気づいたソフトバンクの孫正義会長は、楽天モバイルに対し、損害賠償10億円、損害賠償請求は1000億円で提訴します。この際、孫氏は「訴訟は大変な労力だが、甘い企業が狙われる」と言いました」。

そして孫氏は次の4つの対策を行います。

  • 情報資産管理の再強化(情報資産管理を実行していたこと判ります)
  • 退職予定社のアクセス権限停止、利用制限の強化(未だ不十分な状況でした)
  • 全役員・全社員を対象としたセキュリティ研修(未受講者は情報資産へのアクセス不可)
  • 業務用OA端末の利用ログ全般を監視するシステムの導入

金森氏は「これらの対策は非常に的を得たものだ」と評価しています。

最近のセキュリティ相談に思うこと

ここで金森氏は最近のセキュリティ相談を通して思うことを挙げます。
「一つは、自動車産業の新しい情報セキュリティ基準への対応です。ヨーロッパ、特にドイツのVDAを中心としたTISAX、これによって自動車関連の部品・装置を納めている日本メーカーは今ものすごく新しい基準づくりを行っています。日本自動車工業会もアメリカ自動車工業会も、新しい審査基準を2023年春までに発表する予定になっています。そしてこれは自動車産業関連で終わるわけではありません。すべての業界で情報セキュリティの新基準づくりが始まりますから、今からちゃんと取り組み始めたほうが良いと思います」。

「2つ目は、先ほど申し上げたECのリスク問題。ECは新しい産業になると申し上げましたが、ECを立ち上げた企業は、自動車業界同様、新しい基準づくりが始まると考えてください」。

「3つ目は自社技術情報の保護。中国の検索サイトBaiduにはいろいろな企業の技術情報が載っています。そこに自社の情報が掲載されているという相談を受けます。
仕組みは、ある人間が技術情報を載せると金貨が1枚もらえる(例えです)。その情報を誰かが欲し購入すると金貨が2枚もらえる。その金貨をどのように換金するのかははっきりしませんが、こんなことが行われておりその企業社員が関係している可能性は高いと思われます」日本や欧米では違法でありできませんが!

情報セキュリティを全社で取り組むために

このように情報漏洩が企業の大きなリスクになっている今、情報セキュリティに対してどのように全社で取り組んでいけばよいかを、金森氏は次のように解説しています。
「われわれが全企業に対して情報資産管理に取り組む場合、情報資産の棚卸しを行った上で、ITセキュリティ、物理的セキュリティ、そして組織セキュリティ、人的セキュリティの管理レベルをそれぞれ強化していきます」

「進め方としては、アセスメントを実施して、その企業の実態を知り、情報セキュリティの方針を作成し、就業規則の見直しを行う。情報資産の整理を行い、企業内ルールを整備したら、従業員の教育をトップまで含めて行います。このようにして企業活動に定着させ、事故の把握やインシデント対策を打っていく流れです」

「うまくいかないリスクマネジメントの共通点を言うと、『企業を守る』というメッセージで活動を始めることです。これがうまくいきません。今、いろいろな不祥事例えば品質偽装など、すべて内部告発によって発覚します。社員は社会正義を重んじるようになっていますし、企業と従業員の関係も変わっていますから、目的はお客様のために、社会のためにやっていこうというスローガンでやっていただきたい訳です。」

このような背景のなかで、日本の経済に貢献してきた中小企業に元気がなく、なかなか進まない情報セキュリティなどの問題を解決し、再び活力を持ってもらおうと国が取り組み形にしたのが、産業競争力強化法だと金森氏はいいます。「国家予算により、技術情報管理専門家を無償で派遣、自社の強みと弱みをレーダーチャートにして経営トップにわかりやすく見える化する、見える化することで、経営者にも課題を納得してもらえれば情報セキュリティ対策も取りやすくなるという考えで「専門家派遣事業」といいます。ぜひ、活用してもらえればと思います。また相談事があればぜひご連絡ください、即訪問させていただきます」と述べて話を締めくくりました。

【ホワイトペーパー】最新の脅威分析から読み解くランサムウェア対策〜ランサムウェアとサプライチェーン攻撃から情報資産を守るには〜

世界中で猛威をふるうランサムウェア。
その最新の攻撃にはどのような特徴があり、またどのような脅威があるのか。

本資料では、ランサムウェア、サプライチェーン攻撃、Emotetなど最新の脅威分析から傾向を読み解き、あらゆる企業・組織が今取るべき効果的な対策についてご紹介します。
https://www.cybereason.co.jp/product-documents/white-paper/8261/