サイバーレジリエンスの強化は、デジタル時代における重要課題
企業のDX(デジタル・トランスフォーメーション)が加速する一方、ランサムウェア(身代金要求ウイルス)に代表されるサイバー攻撃により、企業やサプライチェーン全体が脅かされている。
半ばを過ぎたばかりの2024年も、多くのサイバー攻撃による被害が世間を騒がせた。ある大手出版社はサイバー攻撃により、取引先や従業員の個人情報などが漏えいし、グループ会社のデータセンターが、ランサムウェアによるサイバー攻撃を受けるなどしてシステム障害が発生。影響は動画配信サイトや書籍の出版などグループ全体の事業に及んだ。日立ソリューションズの扇氏は、近年のサイバー攻撃被害の傾向についてこう語る。
「近年、被害が伝えられているサイバー攻撃は、ほとんどがランサムウェアによるものです。従来は、愉快犯的にウイルスをばらまくケースが多かったのですが、直近では大手出版社のケースのように、特定の企業・組織をターゲットに定め、メールやWebサイト、システムの脆弱性などを通じてマルウェアを感染させる『標的型攻撃』と言われるケースが増えています」
さらに、ランサムウェア攻撃の手口も進化しているという。これまでは、攻撃対象となる企業のデータを暗号化し、「身代金を支払えば暗号を解除する」という手口だったが、最近では盗み出したデータをネット上で暴露すると脅す「二重の脅迫」で金銭の支払いを要求する、あるいは重要性の高い情報を狙い撃ちしたりするなど、手口が巧妙化しているのだ。
こうしたリスクに対して有効なのが「サイバーレジリエンス」という考え方だ。
「サイバーレジリエンスとは、サイバーリスクに対する抵抗力や回復力(レジリエンス)を高めることで、サイバー攻撃による被害が発生しても事業継続を可能にする取り組みです。従来のセキュリティ対策は、サイバー攻撃やサイバー脅威に対する防衛、あるいは攻撃そのものを排除することが主な目的でした。これに対してサイバーレジリエンスは、『サイバー攻撃を受ける』ことを前提とし、単なるセキュリティ対策ではなく、事業への影響を局所化・最小化することをめざすものです」と扇氏は、サイバーレジリエンスの重要性を語る。
サイバーセキュリティは一般教養となりつつある
では、企業のサイバーセキュリティを強化するために、経営者は何をするべきなのだろうか? 「まずは基準とされるガイドラインを徹底するべき」と、扇氏は言う。
「経済産業省のIT政策実施機関である独立行政法人情報処理推進機構(IPA)は、企業のセキュリティ対策の向上を目的に『SECURITY ACTION』という制度を提案しています。そこにはIPAが公開している『中小企業の情報セキュリティ対策ガイドライン』の実践をベースに、『1段階目(一つ星)』と『2段階目(二つ星)』が用意されています」
いわば「サイバーセキュリティのいろは」とも言うべき内容だが、扇氏は、これをクリアできている企業は少ない、と指摘する。
「初級編である一つ星は、同ガイドライン付録の『情報セキュリティ5か条』(図を参照)に取り組むことを宣言するのですが、この5か条をクリアできている企業は、大手企業でも少ないのではないでしょうか。まずは、この『一つ星』をめざすことから始めてほしいと思っています」
セキュリティ面の基礎を見直すことで、サイバー攻撃に遭うリスクを減らすことができる。その上で、サイバーレジリエンスを強化するソリューションや施策を導入することが必要だと言う。
大学でサイバーセキュリティについて教えることもある扇氏は、サイバーレジリエンスの強化が、就職を見据える学生たちにも注目されると指摘する。
「今の中学生、高校生は、授業で情報セキュリティについて学びます。2025年度からはサイバーセキュリティを含む教科『情報I』が、大学入学共通テストの出題科目として新たに追加されます。彼らが就職活動するにあたって、サイバー攻撃を受けて事業継続が困難となり、株価が大幅に下落するような会社は敬遠されるのではないでしょうか。一方、サイバー攻撃を受けても速やかに原因を特定して対処し、その内容を正確に把握し、対策をとれるような会社は、優秀な学生に好感を持たれると思います」
事業継続性が高まることで生まれる好循環
サイバーレジリエンス強化の必要性は大企業だけにとどまらない。諸外国でも、サプライチェーン全体のサイバーレジリエンス強化を求める機運が高まっているからだ。「特にインパクトが大きいのが、欧州委員会が公表した『EUサイバーレジリエンス法(Cyber Resilience Act)』です。まもなく発効され、猶予期間を経て2027年前半には全面適用される見込みとなっています」と扇氏。
この法律は、インターネットに接続される一部を除いた機器と、欧州単一市場で販売されるソフトウェアについて、より高いレベルのセキュリティを保証することを目的としている。同時に、製品のライフサイクル全体において、メーカーにサイバーセキュリティの責任を負わせることを義務づけるものだ。
2021年には、国連欧州経済委員会における自動車基準調和世界フォーラム(WP.29)において、自動車のサイバーセキュリティ対応の国連標準であるUNR155が策定された。これを受けて、自動車メーカーや部品サプライヤーには、製品ライフサイクル全般を通じたセキュリティプロセス構築とセキュリティ対策の実施が義務づけられた。いまやグローバル企業だけでなく、多くの企業においてサイバーセキュリティは喫緊の課題だと言えるだろう。
サイバー攻撃に遭うリスクが高まり、企業は新たな脅威に直面している。しかしその一方で、サイバーレジリエンスが強化され、有事の際も適切な対応がとれる企業は消費者や取引先からの信頼を得るはずだ。投資家からは高い事業継続性を評価され、優秀な人材の確保にもつながり、事業に推進力が生まれる好循環につながるに違いない。
「事業で攻めるためにサイバーセキュリティで守る」……加速するデジタル時代において、企業に求められるセキュリティ対策の考え方が、いま大きく変わりはじめている。