今、日本の産業界を揺るがしている「サプライチェーン攻撃」をご存知でしょうか。これは、セキュリティが強固な大手企業を直接狙うのではなく、その取引先である中小企業を「侵入の足がかり」にする極めて狡猾なサイバー攻撃の手口です。2019年11月29日、中小企業向けコンサルティングを展開するCISOの那須慎二社長は、この目に見えない脅威が日本全体の国力を削ぐ深刻な課題であると警鐘を鳴らしました。
情報処理推進機構(IPA)の調査によれば、この攻撃は2019年版の「情報セキュリティ10大脅威」で第4位に急浮上しています。SNS上でも「うちのような小さな会社が狙われるはずがないと思っていた」「取引先に迷惑をかけたら倒産しかねない」といった、経営者たちの不安な声が目立ち始めています。多くの企業はウイルスに感染していること自体に気づいておらず、ある日突然、取引先の大手から情報漏洩の犯人として指摘されるまで無自覚なのが恐ろしい実態です。
なぜ中小企業は狙われる?経営者を悩ませる「セキュリティの壁」
那須氏によれば、多くの中小企業では基本ソフト(OS)の更新すら満足に行われていない「無防備」な状態が珍しくありません。OSを常に最新に保つことは、いわば玄関に鍵をかけるような基本中の基本ですが、これが徹底されていないため、攻撃者にとっては絶好の「抜け道」となってしまいます。さらに、過去に高額なセキュリティ商材を売りつけられる詐欺に遭い、対策そのものに嫌気がさしている経営者が多いことも、状況を悪化させています。
攻撃の入り口のほとんどは「メール」です。犯人はSNSなどで事前に個人情報を調べ上げ、実在の取引先を装ったウイルス付きメールを送りつけます。従業員がうっかり添付ファイルを開いた瞬間、パソコンは外部から操られる「マルウェア(悪意のあるソフト)」に感染し、そこから大手企業のネットワークへと侵入を広げていくのです。セキュリティ対策は利益に直結しない「コスト」と捉えられがちですが、今やそれは事業を継続するための「最低限のマナー」といえるでしょう。
多層防御で会社を守る!今すぐ取り組むべき事後対策と「診断」の重要性
では、リソースの限られた中小企業はどう立ち向かうべきでしょうか。那須氏が提唱するのは、複数の対策を組み合わせる「多層の防御」です。OSを最新に保つことはもちろん、機密情報の保存先をネットから切り離したり、ネットバンキング専用の端末を用意したりすることが有効です。また、万が一に備えて「サイバー保険」に加入することも、交通事故と同じ頻度で攻撃が発生する現代では現実的な選択肢となります。
私は、この問題の本質は「自社の情報の価値」を経営者が再認識することにあると考えます。守るべき情報の優先順位を決め、まずは自社の現状を正しく知る「診断」から始めるべきです。完璧な対策は存在しませんが、無関心でいることは攻撃者に鍵を渡しているのと同じです。2019年11月29日の現在、デジタルデータの価値はかつてないほど高まっており、情報を守るための知識をアップデートし続けることが、取引先からの信頼、ひいては会社そのものを守る唯一の道なのです。
コメント