目次

  1. 事例から見るランサムウェアの恐ろしさ
  2. 情報セキュリティとは
    1. 機密性とは
    2. 完全性とは
    3. 可用性とは
  3. なぜ中小企業が狙われるのか
  4. なぜ防げなかったのか
  5. 中小企業のための情報セキュリティ対策
    1. 予算と人材を確保する
    2. 情報セキュリティ意識の教育
    3. 緊急時の対応や復旧のための体制を整備する
  6. A社の教訓

 ある日、私がITコンサルティングを担当しているA社の担当者から電話がかかってきました。「大変です。今朝から、従業員のPC上のファイルを開けないのです!」

 A社は、40人ほどの従業員を抱えている物流関連の中小企業で、ここ数年売上高も経常利益も、ともに右肩上がりの成長が続いています。

 他の同規模の企業と同様に、ITと言っても社員のPCと、クラウド上の自社Webサイト、社員メールくらいです。サーバもネットワーク機器もありません。

 PC上のファイルを開けないというのは非常に困ります。

 取引先との契約書がPDFだったり、経理上の帳票がExcelだったりするので、これらが全部参照できなくなるからです。

 私が現場に駆けつけて確認したら、すぐに原因を突き止めました。そう、ランサムウェアに感染したのです。

 ランサムウェアとは、「誘拐犯」みたいなものです。

 犯罪者によって、メールを通じてひっそりとPCに送り込まれます。そして、勝手にPC上のありとあらゆるファイルに暗号をかけてしまうのです。

 この暗号を解くことができるのは、ランサムウェアを仕込んだ犯人だけです。

 A社は、自社のPCが攻撃されることを夢にも思わなかったそうです。

 どこにもあるような中小企業で、目立つことはない。国の機密情報を預かっているわけでもない。

 なぜ攻撃の標的になったのでしょうか?そして、セキュリティ対策ソフトが全員のPCに導入されているのに、なぜそれでも防げなかったのでしょうか?

 A社の事例は、まさに情報セキュリティ上の重大インシデント(インシデントは、「事件」「出来事」という意味で用いられる語)です。

 では、「情報セキュリティ」とは、そもそも何を指しているでしょうか?

 まず「情報」とは、単にPC上のデータ、ファイルのことだけではありません。紙に印刷されたものや、ホワイトボードに書かれたもの、さらにエレベーターでお客様と会話した内容もすべて「情報」です。

 一方で「セキュリティ」とは安全のことです。つまり、情報セキュリティとは、企業に関するあらゆる情報の安全を守ることです。

では、どうすれば情報が安全なのかというと、これはよく「機密性」「完全性」「可用性」の3要素で定義されています。

 機密性とは、許可された人のみ情報にアクセスできて、部外者に漏れていないことです。

 機密性は、情報セキュリティにおいて最も重要な要素であり、情報セキュリティの根幹をなすものと言って良いでしょう。機密性というと、昨今メディアに取り上げられている「社外への情報漏洩」を思い浮かぶかもしれませんが、機密性は単に情報を社外に出さないという意味ではありません。

 例えば、本来なら経営層しか見ることが許されていない経営情報、財務情報が、一般社員でも参照できる状態であれば、機密性が保たれていないということになります。

 完全性とは、不正な改ざんや破損などによって改変されていないことです。つまり情報の「質」、情報の「正確さ」とも言えます。

 「情報セキュリティ」と言われると、機密性にのみ注目しがちですが、完全性と可用性も情報セキュリティを構成する必要不可欠な部分です。

 情報の完全性を損なう具体例としては、攻撃者による改ざんなどの悪意ある改変と、データ転送中のエラーや機器の障害などの事故による改変があります。

 故意、過失を問わず、情報が勝手に改変されると意味をなさなくなるので、情報の完全性を失っていると言えます。

 可用性とは、必要なときに確実にアクセスできることです。

 情報というのは、やはり安全に正確に保管するだけではなく、いずれ使うときに使えることを保証しないといけません。

 A社のランサムウェア事件の場合、外部に漏れておらず情報の完全性にも問題はありませんが、必要なファイルを開けないので、まさに可用性が損なわれたことになります。

 では、最初の疑問に戻ります。なぜA社のような中小企業が標的になったのでしょうか?

 実はここ数年、情報セキュリティを取り巻く環境は大きく変化しています。

 初期のウイルスやハッキングなどは、利用者のPCの動作をおかしくさせることによって、世間を驚かせたり、自分の技術を誇示したりするのが主な目的だったそうです。

 やがて、徐々に悪意を持って対象のシステムを破壊したり、情報を盗んだりする犯罪者が現れます。ただ、このときのサイバー犯罪の主体は、ほとんど個人でした。

 米国では、1984年に最初のコンピュータ対策連邦法令が制定され、1996年に「全米情報とインフラ保護法」が制定されています。

 これによって、ウイルスやハッキングなどによるサイバー犯罪を取り締まることを可能にしました。

 また、1987年には世界最初のウイルス対策ソフトが開発され、ウイルスなどのサイバー犯罪から情報セキュリティを守るようになりました。

 しかし、昨今の情報セキュリティの脅威は、20年前、30年前と比べて、別物と言っていいほど変わっています。

 経済産業省所管の情報処理推進機構(IPA)は、毎年「情報セキュリティ10大脅威」という題目で情報公開しています。2021年の組織にとっての情報セキュリティ10大脅威を見てみましょう。

情報処理推進機構(IPA)の情報セキュリティ10大脅威 2021
  1. ランサムウェアによる被害
  2. 標的型攻撃による機密情報の窃取
  3. テレワーク等のニューノーマルな働き方を狙った攻撃
  4. サプライチェーンの弱点を悪用した攻撃
  5. ビジネスメール詐欺による金銭被害
  6. 内部不正による情報漏えい
  7. 予期せぬIT基盤の障害に伴う業務停止
  8. インターネット上のサービスへの不正ログイン
  9. 不注意による情報漏えい等の被害
  10. 脆弱性対策情報の公開に伴う悪用増加

 この表を見るとわかりますが、いわゆる「コンピューター・ウイルス」は、この表に載っていません。

 (厳密にいうとランサムウェアもウイルスの一種ですが、今までのウイルスとは全く違う性質を持っています。今までのウイルスのほとんどは、システムの破壊を目的としますが、ランサムウェアは暗号化、そして身代金要求を目的とします)

 2000年以降、特にここ十年、インターネットそしてスマートフォンの普及に伴い、サイバー犯罪の目的は、昔の愉快犯や個人による情報窃盗から、組織的な詐欺や恐喝で、

 つまり、サイバー犯罪は「趣味」から「ビジネス」に変わったのです。

 サイバー犯罪者の集団は、絶えずインターネット上で脆弱性(脆弱性とは、システムに侵入できる欠陥や設定ミスなどのこと)のあるターゲットを探すのです。

 そして、脆弱性があり侵入できるシステムで、かつこのシステムに侵入することにより、利益が得られることが分かると、すぐに行動するのです。

 彼らは、ビジネスとしてやっているので、莫大な投資をし脆弱性を探すための自動化ツールまで作っています。

 そのため、中小企業か大企業かに関係なく、インターネットにアクセスするすべての機器が標的になりうるのです。

 では、セキュリティ対策ソフトが導入されているのに、なぜ防げなかったのでしょうか?

 実は、A社はセキュリティ対策ソフトを導入したものの、個々の社員の管理に委ねられておりルールも決まっていませんでした。

 ほとんどの社員はセキュリティ対策ソフトの更新を怠っていて、IT担当者もいないため、誰もセキュリティ対策ソフトが最新かどうかをチェックしませんでした。

 ウイルスやサイバー犯罪者の武器が日々進化している中、古いままのセキュリティ対策ソフトは、セキュリティ対策が施されていないも同然です。

 さらに、今回のインシデントとは直接関係ありませんが、A社の社員は普段からPCのパスワードをふせんにメモしてPCに貼り付けたり、管理されていないUSBメモリを暗号化せず持ち出したりすることが多く、セキュリティ意識の低さ、管理のずさんさがうかがえます。

 ITコンサルティングを担当している私から何度もアドバイスしましたが、「そこまでの費用・時間を捻出できない」「費用対効果が見えない」「今はもっと優先順位が高いことがある」という理由で断られていました。

 実は、大企業に比べて中小企業のほう情報セキュリティ対策が甘いことが多いのです。そのため、今、中小企業のほうが狙われやすいとも言えます。

 情報セキュリティに対する投資は、たしかに売上などと直結しないので「ROI(投資対効果)」を疑問に思う方が多いかもしれません。

 しかし、この投資の効果は売上向上ではなく、リスク回避になります。

 自社のPCやサーバ、ネットワークがすべて使えなくなったことを想像してください。自社が取り扱っている顧客の個人情報がすべてネットに晒されたことを考えてください。

 生じるのは、賠償金や被害の補償などでの金銭面の損失だけではありません。既存顧客との取引が中止になり、新しい顧客もつきにくくなるでしょう。

 信頼の回復や経営状況の挽回には、多大な費用と長い年月がかかるものです。また、経営者が法的責任を問われ、刑事罰が科されるおそれもあります。

 では、中小企業の経営者は、情報セキュリティを確保するために何をやらなければならないのでしょうか?

 ここでは、IPAが中小企業向けに発表した「中小企業の情報セキュリティ対策ガイドライン」を元に、特に重要な点をご紹介します。

 A社の場合もそうですが、専任のIT担当者不在の中小企業はとても多いです。セキュリティに詳しい人材をなかなか見つけられない、また見つけたとしても常勤で雇う予算を確保するのが難しい、という実情もよくわかります。

 そこで1つ考えられるのは社外の専門家による支援です。

 経済産業省は、2016年から「情報安全確保支援士」制度を設立し、今までの税理士や司法書士と同じように、情報セキュリティ確保支援を業とする専門家に国家資格を与えています。

 情報安全確保支援士は、税理士などと同じように常勤ではなく、非常勤で必要なときにのみアドバイスすることができるので、高いレベルの人材を低予算で利用できるというメリットがあります。

 いくらセキュリティのエキスパートを確保したといっても、個々の従業員がセキュリティに無関心で、日々の行動で情報セキュリティを重要視しないと、やはり危険な状況に晒されます。

 経営者が率先して情報セキュリティを重要視する姿勢を見せるとともに、教育などを通じて情報セキュリティ意識を徹底することが重要です。

 情報セキュリティに伴うリスクは、完全になくすことはできません。そのため、万一に備えて緊急時の対応や復旧のための体制を整備しておく必要があります。

 ポイントは、リスクが考えられるシーンを具体的に想定し、もしその場面に遭遇したときは何をすべきなのか必要な行動も示しておくことです。

 たとえば「PCの入っているかばんをなくしてから、30分探しても見つからない場合、直ちに上長に報告する」といった具合です。

 このようなルールがないと、従業員は、万が一セキュリティ・インシデントが発生してもどうすれば良いかがわかりません。初期対応が遅れれば、より大きな損害につながる可能性も出てきます。

 A社から電話を受けたとき、まだ一部の従業員しか出社しておらず、一部のPCしか立ち上がっていないことがわかりました。

 ランサムウェアだと判断し、「立ち上がっていないPCを起動するな」と全員に周知してもらいました。

 そして、立ち上がっていないPCを1台ずつネットから切断した状態で慎重に起動し、ランサムウェアの在り処を探ってみました。幸いなことに、まだ全員に感染したわけではなく、被害は限定的でした。

 セキュリティ対策ソフトを最新にし、ランサムウェアを駆除するとともに、暗号のかかったファイルについては、まだ感染していないPCもあったので、そこから復旧しました。ただ、そのPCに入っていないものは、断念せざるを得ませんでした。

 A社は、このインシデントの影響によりまる二日間も受注を含めた業務を中断し、復旧作業を余儀なくされていました。情報セキュリティを怠った教訓は、あまりにも大きいものでした。