Column コラム

Vol.9【サイバーセキュリティ対策は万全ですか?】

今回のコラムでは、以下のラインナップでお送りいたします。

1 押さえておきたい サイバーセキュリティの基本
・いま必要とされるサイバーセキュリティとは
・実際の手口と実例

2 必要な対策とは
・事後対応にかかるコスト
・必要な対策
・意識改革と長期計画

3 私たちが、安倍元首相の事件から学ぶべきこと
・基本的な前提の確認
・何を学びとするべきか

社内外での危機管理対策へのご参考としてご活用くださいますと幸いに存じます。


1 押さえておきたい、サイバーセキュリティの基本
01. いま必要とされるサイバーセキュリティとは
昨今、外部からのサイバー攻撃や人的ミスによる情報漏洩が多発しています。

使用者や管理者も気づかない内に自社のPCを犯罪の依り代にされているケースや
クレジットカード情報や購買情報を含む顧客情報が流出していたことが
外部からの連絡で初めて発覚してしまうようなケースもあります。

いずれのケースも、経路の特定など事後処理の費用は高額になる場合が多く
「知らなかった」では済まされない時代になってきています。

大手企業が対策を強化する中で、サイバーセキュリティに予算を割きにくい
中小企業がターゲットにされる事も多くなってきました。

本コンテンツでは「基本編」として用語説明やサイバーセキュリティの原則などについて解説します。

サイバーセキュリティとは
サイバーセキュリティとは「インターネットやコンピュータを安心して
使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染して
データが壊されたり、普段使っているサービスが急に使えなくなったりしないように
必要な対策をすること」という意味合いで「CIA」と呼ばれる以下の3要素によって整理できます。

情報セキュリティの「CIA」

短くまとめると、下記3要素を満たしているかどうかという事が要点となります。

・ある情報へのアクセスを認められた人だけが、その情報にアクセスできる状態を確保すること
・情報の破壊や改ざん、又は消去されていない状態を確保すること
・情報へのアクセスを認められた人が、必要時に中断することなく情報にアクセスできる状態を確保すること

「CIA」それぞれの観点で見たときに、自社のサイバーセキュリティ対策は万全だと言い切れるでしょうか。

サイバーセキュリティの基本原則
インターネットに関する脅威が多様化する中で、さまざまなサイバーセキュリティ対策

サイバーセキュリティにおける基本原則
・ソフトウェアを最新のものに更新する
・IDとパスワードを適切に管理する
・ウイルス対策ソフトやウイルス対策サービスを導入する

が必要となっていますが、まずは対策の基本原則を押さえた上で、組織の実情に合わせた
さらなる対応を検討する事が大切です。
一方で、組織としてサイバーセキュリティの原則に基づいた対策を講じていても
各従業員の気のゆるみやミスによる人為的な要因による情報流出も数多く発生しています。
次章では、直近に発生した組織への攻撃手口をみていきます。

02. 実際の手口と実例
2022年1月に独立行政法人情報処理推進機構より
情報セキュリティ10大脅威2022」が公開されました。
今回は組織編のランキングから、トップ3の脅威を紹介します。

◉ 1位 ランサムウェアによる被害
2年連続で情報セキュリティに関する脅威の1位となったのが「ランサムウェア」による被害です。
金融機関や医療機関などでも被害が発生しており、生活インフラが危機にさらされる原因ともなります。

ランサムウェアとは
〇 名前の由来
ランサム(身代金)」+「ウェア(ソフトウェア)」を組み合わせた造語。
〇 感染経路
改ざんされたWebサイトや、なりすましメール内のリンク、または添付ファイル
〇 具体的な被害
上記感染経路により、感染したPC内の特定機能を無効化、データファイルの暗号化
これにより、PCの操作不能やデータへのアクセス不可となる。

ランサムウェア被害の特徴は、以下の通りです。

・データを人質にされ、身代金を要求される
・仮に支払いを行っても、解除される保証はない
・暗号資産など、犯人の追跡・特定困難な支払方法を指定される場合が多い

◉ 2位 標的型攻撃による機密情報の窃取
2年連続で2位に挙げられたのが標的型攻撃です。
少し古い事例ですが、2015年に日本年金機構が狙われた際には
約125万人の個人情報が流出したと発表されました。

標的型攻撃とは
無差別的に広げることを企図した攻撃ではなく、ターゲットを絞った上での特定の情報を狙った攻撃
〇 感染経路
・ターゲットと関連性が高い、なりすましメール
・ウェブサイトの改ざん
・ソフトウェアの不正更新

〇 具体的な被害
・機密情報の盗み出し

同機構の職員宛てに届いた電子メールにウイルス(マルウェア)が仕込まれており開封後に感染。
感染したPCは隔離され、セキュリティベンターによって対応が実施され、解決済みと報告される。
後日、再び別の職員宛てに同メールが送付され、開封したことによりウイルスに感染。
内閣サイバーセキュリティセンター、システム管理会社から不審な通信を検知したと
連絡があったため、端末を特定しインターネット接続を遮断した。
攻撃が発覚して以降、社内で注意喚起されたが、具体的なメール内容について
申し送りがなかった為、その後の度重なる攻撃により感染端末が増加。
結果として大規模な情報漏洩に繋がる事件に発展しました。

偶然届くウイルスメールと違い、明確な意図をもって狙われているケースも多く
組織を計画的に狙われている可能性がある事に気づかないと被害が拡大する危険があります。

◉ 3位 サプライチェーンの弱点を悪用した攻撃
前回調査の4位から、3位に順位を上げたのがサプライチェーンの悪用通称「踏み台攻撃」と呼ばれるものです。
自社のステークホルダーに留まらず、取引先の重要情報の窃取に自社が加担してしまうという非常に悪意のある攻撃方法です。

自社の被害を防ぐことはもちろんの事、大切な取引先を巻き込んでしまう事がないように、万全な対策を行うことを推奨します。

実際の対策や事後対応の費用感などは、2つ目のコンテンツとなる「応用編」で紹介しています。


2 必要な対策とは
01. 事後対応にかかるコスト
◉ 事後対策にかかる費用を知っておく
もし、機密情報の漏洩に巻き込まれた場合、関係各所への謝罪といった様々な
対応が必要となりますが、何よりもまず事実関係の確認をしなければなりません。
具体的には、情報漏洩の履歴を調べる事で被害の全容を把握するとともに再発防止のために原因を特定する必要があります。
これらの調査は「フォレンジック調査」と呼ばれていますが、想像以上の手間と費用が発生することは意外と知られていません。

フォレンジック調査とは
〇 言葉の由来
フォレンジック=「法廷の」
攻撃された履歴など、法的な根拠を持った証拠にするための調査行為
〇 具体的な調査内容
・端末内のアクセス履歴やサーバーのログの分析・抽出
・削除・破損したデータの復元
・ハッシュ値やデジタル署名などを用いた保全

フォレンジック調査を実施した場合、内容によりますが事前対策を行っていない
場合にはパソコン1台に対して300万円以上の調査料が発生する事もあります。
被害の有無を調べる対象が1台だけに留まる事はほぼあり得ないので、総額で数千万円の調査費用が必要となる可能性があるという事になります。

ネットワーク構築やセキュリティ対策を講じておいた場合でも、1台あたり
100万円以上の調査費用を覚悟する必要があります。

実際に電機業界大手が被害を受けた際には総額で数億円の費用が発生しており、
社員が20名~30名程度の規模感でも3,000万~5,000万の調査費用が必要になる
ということは、決して大げさな想定ではありません。

02. 必要な対策
サイバーセキュリティ対策の原則に従った基本的な対応を実施できている
企業についてはもう一歩踏み込んだ対策を認識し、検討する事をお勧めします。

◉ 事前調査
定期的に簡易的なフォレンジック調査や、ホワイトハッカーを使った侵入実験、
ダークウェブのパトロールなどを実施する事で、対策不備の発見や初期段階での被害検知につなげることが出来ます。

自社の情報が一度漏洩した場合、対策の甘いターゲットだと見做されることで
便乗した第2第3の攻撃を受けることがあります。
事前に費用は発生しますが、少しでも被害を防ぎ最小化する為には定期的な事前調査が効果的です。

◉ サイバー保険
サイバー保険は一見すると高額に見えますが、損害賠償の保障や事故対応費用、
損害補償や営業継続費用などまでカバーしているものが多く、突然の数千万円の
出費に余裕で耐えられる財務状況の企業でない限りは、保険に入る事が
事業の継続のためにも有用な選択肢になります。
※保障内容と保障金額のバランスは各企業ごとに精査が必要です。

◉ ルーターの見直し(無差別攻撃に備える)
サイバー攻撃は、当初から「ターゲット攻撃」の対象になっているケースを除くと
無差別な攻撃がきっかけになる場合がほとんどです。
まずは無差別に攻撃をし、罠にかかった企業に対して、本格的な攻撃が行われます。

無差別攻撃から身を守るためには、ネットワークの入口と出口の双方に対するチェックが重要です。
原則に従いPC端末にセキュリティソフトは入れていても、ルーターは最初に
設置したままで、特に対策を講じていない企業については格好の標的となり得ます。

◉ ログの保管期間の見直し
サーバーに対するアクセスログは取っているものの、その保管期間が数週間や
酷い場合は数日に限られているというケースが(残念ながら、オフィス向けネットワーク
管理サービスを提供している大手事業者に委託していた場合でも)散見されます。

しかし、保管期間は何もなくても最低半年を基準とし、異常を検出したものは
1年程度保管しておく事を推奨します。
サイバー攻撃による被害は、通常の業務を行っている中で気づけない場合も多く
広範囲に流出して初めて被害を認識するケースも珍しくありません。

そうした場合、被害の発生と被害の認識までの間に時間が経ってしまっており
何か月も前の被害の実態を見なければならない状況になります。

03. 意識改革と長期計画
最後の章では、意識改革の重要性について改めて確認したいと思います。

セキュリティ意識のアップデート
〇 完全なブロックは不可能であるという前提に立つ
Webサイトの改ざんや侵入など、技術的な観点はもちろん、人的な要因まで考慮した場合100%被害の発生を防ぐことは困難です。

もちろん「だから何もしなくていい、何をしても無駄である」というわけではなく
予防措置により発生する確率を下げる+事後対策まで含めた体制づくりをするという事が大切です。
〇 経営層が先陣を切りつつ、現場担当者も当事者意識で捉えること
サイバーセキュリティ攻撃による経営インパクトは深刻なものとなります。
経営者が牽引してセキュリティ対策を実践する姿勢を見せる事で、全社的に主体性を持って
取り組む習慣を根付かせていくが重要です。

◉ 初動の重要性
人命救助において初動タイミングの重要性が言われるようにサイバーセキュリティに
おいても、初動72時間が一つのラインとなっています。

平時であれば冷静に「2次3次攻撃を受けて甚大な被害となってから事後調査を行うと
費用が跳ね上がってしまう事になり、すぐに動く事で被害抑えるべきだ」と考える事は難しくありません。
しかし、実際に被害にあった企業の担当者は、初動で実施すべきフォレンジック調査
だけでも、数百万円以上の費用が発生する事に躊躇し「被害がまだ小さいから様子をみよう」という先送りの判断をしてしまいがちです。

サイバー保険に入っている場合、追加の出費が限定的になるため、高額な一時費用の
発生による先送りが発生しにくくなるという意味でも効果を発揮します。

◉ 数年がかりでの計画を立てる
サイバーセキュリティ対策はソフトの導入や保険の加入など、すぐにできるものから
サーバーやネットワーク体制の構築など計画性と時間を要するものまで多岐にわたります。
中長期的に計画を立て段階的に着実に対策進めていくことが大切です。

上記コンテンツは、合同会社脅威分析研究所 代表の高野聖玄氏と
ジェイエスティーの西岡顧問との対談を基に作成しております。


高野 聖玄 氏
合同会社脅威分析研究所 代表
STeam Research & Consulting 株式会社 共同経営パートナー

・サイバーセキュリティとリスクコントロールの専門家
・企業や官公庁に向け、サイバーセキュリティ対策や
サイバー事故対応支援を提供
企業や官公庁に向け、サイバーセキュリティ対策やサイバー事故対応支援を提供すると同時に
リサーチャーとしてサイバー闇市場の動向を調査し、ダークウェブの実態について数多くの発表を行った。
2021年に脅威分析研究所を設立し、各分野の専門家と共にサイバーセキュリティおよび
ディスインフォメーション、経済安全保障に関する調査研究、コンサルティングを行っている。


西岡 敏成
ジェイエスティー顧問
・元兵庫県警警視長
・警備・公安・刑事に従事
・2002年日韓W杯警備を指揮後、姫路警察署長・播磨方面本部長を歴任
・元関西国際大学人間科学部教授


3 私たちが、安倍元首相の事件から学ぶこと
時間が経過した中、改めて振り返ってみても憲政史上に残る大変痛ましい事件であったと感じます。

企業の安全を守っていく事を使命としているジェイエスティーとして
被害に遭われた安倍元首相を始め、ご遺族の皆様に心から哀悼の意を表します。

事件についての振り返りをすることで、せめて少しでも危機管理意識の向上に繋げられればと思います。

01. 基本的な前提の確認
◉ 犯罪発生の基本要因
今回の事件における問題点を考察する前に「犯罪発生の3つの要因」について解説します。

犯罪発生における3つの基本要因
① 動機:家族に起因する怨恨など
② 標的:安倍晋三元首相
③ 環境:警備体制の穴、隙間

基本要因のうち、①の動機や②の標的が存在していたとしても、それだけは
犯罪が発生することはありません。
犯罪が最終的に発生するのは、③の「環境」が整った時であるという認識を持つ事が肝要です。

今回の事件で言えば、警護の難しい立地で演説を行ったこと、背後からのルートが
空いてしまったこと、容疑者の接近に気づけなかったことにより
「環境」が整ってしまったと言えます。

◉ 凶行を防ぐ体制
まず、一定の範囲内に近寄ってこようとする人間を阻止できる体制を作る必要があります。
それでもなお、指定の範囲内への侵入を許してしまった場合、非警護対象者の
直近にいる人間が対象を守る必要があります。
今回のケースでは、接近阻止に失敗した事もさることながら、直近の人間による
防護が機能していれば最悪の事態は避けられたのではないかと悔やまれます。

◉ 警備には100点か0点かしかない
警備の世界では「警備に99点は存在しない」と言われています。
例えば、何か危険物を対象者に投げられた場合、警備の観点から言うと
「命中せず大事に至らなかったからよかった」という総括はあり得ず
「そもそも、投擲されたことが問題であった」という事になります。

◉ 選挙警備の難しさ
選挙演説は、聴衆を引き付ける・集めることが目的のため、よほど危険のある
場所でない限り、警備計画を承認せざるを得ないという事情があります。

例えば、演説者の周りを街宣車や警備の人間で強固に固めることができれば警備上の問題はないでしょう。
しかし、それでは誰が演説しているかわかりにくく、知名度のある人を招いて集客を図ろうとしている目的と相反してしまいます。

目的と安全を両立するために、どのような対策を取るべきなのかはとても難しい論点で
非常に高度なバランス感覚が求められます。

02. 何を学びとするべきか
一度実行された手口については、今後の犯罪者が模倣する危険があります。
民間も含めて既存の警備マニュアルは全て更新をする必要が生じたという事を認識する必要があります。

この章では、問題点の理解を踏まえて、どのような形で警備体制を敷けばよいのかを整理します。

◉ 背後は絶対的に守る
正面からの攻撃と比べて、背後からの攻撃のほうが、致死率が高くなります。

今後は選挙という事情を鑑みても
・事前に演説台の背後には街宣車などを配置しておく
・元首相の真後ろに警備を配置しておく
などを優先すべきと考えなければいけません。

◉ 警備当事者が持つべき2つの意識
① 自身の管轄地域での警備の場合、外的要因に関わらず基本的な姿勢として「威信をかけて自分たちがお守りする」という意識
② 首相、及び首相経験者、または過去に世間に大きな影響を与えた方の警護については最大の警戒レベルで臨むという意識

慣れと“緩み”により、犯罪が成立する「環境」を作り出してしまった。
物理的に予防できる仕組みと人為的な要因を可能な限り排除するためにもまずは当事者の意識が大切です。

◉ 自作銃を取り巻く現状
本事件については、犯人自作の銃が犯行に使用されたという事が話題になりました。
3Dプリンターの登場により、自作銃や爆弾の類は以前にも増して容易に製作することが可能となっています。

しかし、現行の法律ではこうした動きを完全に取り締まることはできません。
「(作ろうと思えば)誰でも作ることが可能である」という前提で、計画立案や警備を行う必要があります。

◉ 警備・危機管理の3要素
フランスなど諸外国の例では、ワールドカップなどの大イベントが実施される際に
私服警察官をフーリガンと同じ格好で配備するとともに、暴れた場合だけでなく
危険な言動を行った段階で被疑者の拘束を可能とする法律があります。

一方、日本では「犯罪行為が実際に行われた段階」でようやく拘束ができます。
文化や歴史背景もあり法律がすぐに変わるという事は、なかなか期待しにくい状況です。
そのため、抵抗・監視・領域の3要素を意識した対応が重要となります。

警備・危機管理の3要素
① 抵抗:警備体制の確立と近づけない「諦めさせる」適正配置により犯行を断念させる
② 監視:接近しようとする者、怪しい挙動を行う者を発見しやすい監視体制
③ 領域:警戒区域を超えてくる者に、職務質問や静止を行う


今回のコラムは、以下の顧問の方にご監修いただきました。


西岡 敏成
・元兵庫県警警視長
・警備・公安・刑事に従事
・2002年日韓W杯警備を指揮後、姫路警察署長・播磨方面本部長を歴任
・元関西国際大学人間科学部教授

また、ジェイエスティーには、危機管理エキスパートが複数在籍しております。
ハラスメント関連の法改正対応はもちろん、個人情報保護や暴対法対策など、危機管理全般のご相談はジェイエスティーまで。

お気軽にご相談・お問い合わせください