日本企業に求められるサイバーレジリエンス体制とセキュリティの国際連携（前編）

近年サイバー攻撃の被害が増加し、攻撃の手口や対象、リスクも変化している。地政学的な脅威が拡大する中、国家によるサイバー攻撃への懸念も高まってきた。
防衛省や国内外のセキュリティ企業で活躍し、サイバーセキュリティに関する情報を積極的に発信してきたNTT チーフ・サイバーセキュリティ・ストラテジストの松原 実穂子氏をゲストに迎え、「日本企業や国際社会がサイバーセキュリティのリスクにどう取り組んでいけばよいか」をテーマに語っていただいた。モデレータは、東芝デジタルソリューションズ 技師長 兼 東芝 サイバーセキュリティセンター長の天野 隆が務めた。
前編では、近年のサイバー攻撃のトレンドや変化などについて語っていただいた内容を紹介する。

【後編はこちら】

天野：
今回は「サイバーセキュリティ」をテーマに、そのグローバル動向から日本企業の対応まで、これまで世界中を飛び回ってご活躍されてきた松原さんの視点でお話をお聞かせいただければと思います。まず近年のサイバーセキュリティの脅威や被害の動向について教えてください。

松原：
2022年に入って特に目立つのは、マルウェアの「Emotet（エモテット）」を使ったサイバー攻撃です。2月以降、日本における被害が爆発的に増え続け、3月時点で2020年のピーク時に比べて被害が5倍以上になっているとJPCERT/CCが報じています。
また、複数の日本企業や海外子会社においてランサムウェア攻撃の被害が出ています。経済制裁に対し、ロシアからの報復としてサイバー攻撃が増えるのではないかとの懸念があること、さらに、ロシアがウクライナに軍事侵攻した直後、ロシア系ランサムウェア攻撃集団「Conti（コンティ）」がロシア政府の支持を表明したことは事実としてありますが、日本へのランサムウェア攻撃がウクライナ情勢と直接関連があるのかどうかは、現時点では分かりません。米国家安全保障局のサイバーセキュリティ局長 ロブ・ジョイス氏が5月上旬の国際会議で語ったところによると、ロシアを拠点に活動するサイバー犯罪者は、対ロシア経済制裁によって送金やITインフラの購入が難しくなったため、ここ2カ月は逆にランサムウェア攻撃が減っているようです。
いずれにしても、ウクライナ情勢に関わらず、今後もサイバー攻撃は続きますので、引き続き警戒していく必要があるでしょう。

天野：
ロシアとしては、経済制裁に対する報復として重要インフラにサイバー攻撃を行って、制裁緩和を交渉するというアプローチなのでしょうか。

松原：
経済制裁への報復としてのサイバー攻撃のほかに、経済制裁による苦しい状況の中で、外貨獲得の目的でランサムウェアや他のサイバー犯罪を行う可能性が指摘されています。米国土安全保障省サイバーセキュリティ・インフラセキュリティ庁のジェン・イースタリー長官は、4月17日に出演したCBSニュース番組で、ロシアからのサイバー攻撃で狙われる可能性のある業種として、金融とエネルギーを挙げました。
しかも、ロシア発のランサムウェア攻撃は全体としては減っているかもしれませんが、Contiは攻撃を一時増やしました。例えば、2022年4月にContiがコスタリカ政府に大規模なランサムウェア攻撃を仕掛け、チャベス新政権が国家緊急事態宣言の発令を迫られる事態になったのです。2021年5月の米コロニアル・パイプライン社へのランサムウェア攻撃のように、バイデン米大統領が「国家安全保障の危機」と述べた例はありますが、本当に緊急事態宣言を出したのはコスタリカが世界で初めてでした。ランサムウェア攻撃が金銭目的で始まっているとしても、サプライチェーンに被害が波及し、国の安全保障を揺るがす事態になりかねないため、決して軽んじてはいけないのです。

天野：
サイバー攻撃の情勢をお伺いし、かなり世界が動きつつあることが分かりました。ではサイバー攻撃の対象も変化しているのでしょうか。

松原：
コロナ禍を受けてテレワークが普及し、働く上でのIT環境が変わったにも関わらず、必ずしもテレワークをする人々のサイバーセキュリティ意識が追い付いていないため、そうした心の隙やサイバーセキュリティ対策の穴を突いた攻撃が増えました。
例えば、オンライン会議への招待メールに見せかけたフィッシングメールがコロナ禍で増えました。オンライン会議のリンクと思ってクリックすると、何故かOffice365のアカウント情報の入力が求められるなど、認証情報が盗まれてしまいます。オーストラリアでは、この手口にひっかかった企業創業者が、会社のITシステム全てを乗っ取られ、気づかぬうちに外国へ多額の送金をされ、倒産してしまう事件がありました。
残念ながら、NTTリミテッドの調査では、テレワークに特化したセキュリティ研修を実施しているのは世界で43％に過ぎません。テレワークをする人々のサイバーセキュリティ意識は決して高いものではないのです。トレンドマイクロ社の調査によると、職場のPCを個人目的では決して使わないという人は僅か20％で、家族などの第三者に職場のデバイスを使わせる人が28％、仕事で指定されていないストレージサービスなどに職場データをアップロードする人は38％もいました。研修で個人の意識と行動を変えていく必要があるでしょう。

天野：
会社にいれば個人のセキュリティ意識も会社レベルになりますが、自宅で仕事をすると周りで見ている人もいないため、意識が曖昧になってしまいそうですね。

松原：
おっしゃるとおり、うっかりミスを含め、サイバーセキュリティ上の内部脅威は高まっているとの統計値もあり、やはり研修と対策が重要です。
コロナ禍で増えたサイバー攻撃の1つに、医療機関へのランサムウェア攻撃があります。今まで以上に医療の重要性が増したことから、命を守る仕事という特殊性に目を付け、医療業務を止めて身代金を支払うよう圧力をかけるのです。
ポネモン・インスティチュートという米研究機関が、医療機関に勤務するIT技術者とITセキュリティの関係者にインタビューし、2021年9月に報告書を出しました。医療機関へのランサムウェア攻撃によって、入院期間が長期化したと答えた人が71％、治療や検査の遅れで病状が悪化したと答えた人が70％でした。さらに恐ろしいことに死亡率が上昇したと答えた人が22％もいました。システムやネットワークがダウンすると、医療カルテや医療機器が使えず、検査や投薬ができなくなるため、治療が遅れてしまうからです。
米国では、ランサムウェア攻撃に遭った病院で出産した際に、赤ちゃんが必要な治療を受けられずに脳に障害を負ってしまい、その後亡くなってしまう事件がありました。母親は、その病院がサイバーセキュリティ対策をとっていなかったとして訴え、現在係争中です。裁判の行方によっては、ランサムウェア攻撃が直接的な原因となって人が亡くなったと認められる最初の事件になるかもしれません。
人の生死に関わるような、誰にとっても身近な問題にまで脅威が迫っているので、国や会社のレベルだけでなく、個々人がサイバーセキュリティへの関心を持つことが大切だと思います。

天野：
サイバー攻撃の手口や手法が変わってきた具体的な事象は何かありますか。

松原：
これまでのランサムウェア攻撃の基本的な手口は、業務に必要なファイルを暗号化し、相手の業務継続性を人質に取って、身代金を暗号資産で支払うよう脅迫する手口が主流でした。しかし2年前から暗号化に加え、個人情報や知的財産を盗んでその一部を見せしめとしてダークウェブに公開し、他の情報を暴露されたくなければ身代金を支払えという、二重、三重の脅迫も登場しています。盗んだ情報を悪用して被害企業の顧客にメールを送り、期限までに身代金を払わせるように顧客からプレッシャーをかけさせる手口もあります。
警察庁が2022年4月に発表した調査では、ランサムウェア攻撃による被害の85％が二重の脅迫型でした。お金のある大企業の被害件数の方が多いだろうと思われがちですが、実は大企業は34％で、中小企業のほうが54％と被害件数が多いのです。しかも身代金も中小企業用の料金設定になっています。最終目的はお金を取ることなので、最初から多額の身代金を要求しても、ない袖は振れないことが分かっているためです。

天野：
攻撃者も売上、利益、従業員数などを詳細に調べ上げて、身代金を決めるわけですね。

松原：
まさにそうです。2021年8月にContiランサムウェア攻撃集団の内紛で、運用マニュアルが暴露されてしまいました。その資料の中で最初にやるべきこととして書かれていたのは、標的になりそうな企業の収益情報をネットで検索すること。そして標的企業の脆弱性情報を調べてシステムに入り込んでから、その企業のサイバーセキュリティ対策のマニュアルを精査することでした。

天野：
セキュリティ対策の視点では、大企業よりも、手が打てておらず脆弱な部分がある中小企業のほうが狙われやすいわけですね。企業の海外拠点やサプライチェーンを狙う動きも増えていますね。
もうひとつ伺いたいのが、DXによる影響です。DXの浸透による社会環境変化に伴って、セキュリティリスクの対象や範囲はどのように変化しているのでしょうか。

松原：
コロナ禍でDXも急速に進み、それに伴って守るべきIT資産の数が激増したため、サイバーセキュリティ対策やガバナンスが複雑化しました。日本のみならず世界中で同じ問題を抱えており、脆弱性対策も大きな課題になっています。VPNやリモートデスクトップの脆弱性を突いたサイバー攻撃も増えています。
社内のIT資産なら脆弱性の調べようもありますが、見えにくいのが個人のSNSを狙ったサイバースパイ活動です。特にコロナ禍に伴う景気の悪化で、求職者がSNS上で経歴を紹介して自己PRをすることも多くなりました。攻撃者から見ると無料で個人情報を得られ、知的財産情報に関するアクセスを持つ人が絞り込めるようになります。
そこで最近増えているのが、企業リクルータを装ったサイバースパイの手口です。攻撃者が偽アカウントを作成し、SNS上でターゲットとなる人物の知り合いに事前接触して友達となり、「共通の友達」を増やして説得力のあるアカウントにしたうえで相手にメッセージを送るのです。このように時間をかけて信頼される状況をつくる巧妙な手口の報告もありました。今後はこういったSNS上のスパイ活動がさらに増えるでしょう。

天野：
確かに共通の友達がいたりすると「まあ、この人ならば大丈夫だろう」と騙されやすくなってしまいますね。

天野：
ここまで地政学的な観点も含めて、サイバーセキュリティの動向や変化についてお伺いしました。こういったセキュリティのリスクに対して、我々はどのように対応していけばよいのでしょうか。特に日本企業の課題や取り組みについて教えてください。

松原：
日本企業におけるサイバーセキュリティへの意識は、2013年9月に東京オリンピック・パラリンピックの開催が決定してから、かなり変わったように感じます。というのも、その前年のロンドンオリンピック開会式でのサイバー攻撃を目の当たりにして、東京大会でもリアルな物理面だけでなく、サイバー世界でのセキュリティ対策を十分に講じなければ成功できないことが分かったからです。それ以降、産官学でセキュリティに対する意識が高まり、マスコミの報道も増えました。
オリンピックはサイバーセキュリティを飛躍的に強化する起爆剤になりました。今後の課題は、サプライチェーン・リスク対策としての中小企業のサイバーセキュリティ強化です。大企業と中小企業では、かけられる予算も人材も違いがあるので、大企業のサイバーセキュリティ対策を中小企業が同じように行うのは困難です。サプライチェーンの大事な一翼を担う中小企業の対策は、どの国でも未だに課題になっています。

天野：
やはり中小企業はセキュリティ人材が不足している状況ですね。この時期から人材育成の取り組みもされるようになってきたのでしょうか。

松原：
そうですね。オリンピックを成功させるにはサイバーセキュリティの技術を導入するだけでなく、トップがその重要性を認識することも求められますし、導入に伴う様々な課題を解決するために手足になって動く人材も必要です。業種横断型で人材を育成しようということで、2015年にNTT、日立さん、NECさんが中心となり「産業横断サイバーセキュリティ人材育成検討会（現在は「産業横断サイバーセキュリティ検討会）を結成しました。これは企業が自主的に作ったもので、現在では東芝さんを含め、日本を代表する重要インフラ企業44社が参加している状況です。
重要インフラ企業で求められるサイバーセキュリティの人材の種類、それぞれの人材に求められるスキルは多岐にわたり、経営者と現場とでは必要とされるスキルのレベルも異なります。同検討会は、重要インフラで求められるサイバーセキュリティ人材を定義し、求められるスキルをマッピングしてグローバルに展開するために、共通言語としてNIST（米国立標準技術研究所）の「サイバーセキュリティフレームワーク」を用いました。NISTのフレームワークを人材育成に活用するのは、世界で初めてであり、NISTのウェブサイトで成功事例として紹介されています。日本の民間企業による自主的な取り組みとして非常に画期的なことだったと考えています。

天野：
産業を横断した取り組みは素晴らしいですね。従来は業種ごとや企業単体での取り組みに留まっていましたから。さらに、セイバーセキュリティ人材のマッピングをWebサイトでも公開しており、メンバー以外の企業にも知見を共有できるバイブル的なものになっていますね。中小企業にも取り組みが拡がっていくと良いと思います。

松原：
そう思います。2015年12月に経済産業省と情報処理推進機構（IPA）が「サイバーセキュリティ経営ガイドラインver 1.0」を公開し、経営問題としてサイバーセキュリティを推進するよう呼びかけました。実は、その2カ月前にNTTが書籍『経営としてのサイバーセキュリティ すべてがつながる時代に向けて』を出版しており、その頃から企業レベルで経営問題としてサイバーセキュリティに取り組む機運も生まれてきたように思います。

【後編はこちら】

執筆：井上 猛雄