Cyber SecurityサウナJapan

トゥオミ:
みなさん、こんにちは。サウナのようなホットなトピックをお届けする『Cyber SecurityサウナJapan』です。今回はエピソード16ですね。ホストを務めるのは、ウィズセキュアのプリンシパルセキュリティコンサルタントのアンッティ・トゥオミと

島田:
ウィズセキュア　サイバーセキュリティ技術本部、本部長の島田秋雄です。前回のエピソードではゲストとして出演しましたが、今回からはレギュラー出演となります。どうぞよろしくお願いいたします。

トゥオミ:
今日はですね、なんと、キャンプ場でテントサウナをするはずでしたが、雨になってしまってキャンセルになってしまいました。でも今回は、サウナランド浅草という施設を貸し切りにできて、ここで収録しています。よかったですね。

島田:
秋の始まりはテントサウナにいい季節なんですが、雨や台風もちょうど今頃は多いですからね。でも、いいサウナ施設が貸切にできてよかったです。

トゥオミ:
さて、今回のエピソードでは、中小企業のセキュリティ対策についてお話していこうと思っています。ちょうど1年前にやったように、IT企業の記者さんたちにゲストとして参加いただいてます。去年も出ていただいたハスキーさんと、そして初めて参加いただくアヒルさんの2人ですね。シカさんも参加する予定でしたが、寝坊してしまいました。残念です。では、ハスキーさん、アヒルさん、どうぞよろしくお願いします。

ハスキー & アヒル:
よろしくお願いいたします。

島田:
ウィズセキュアは中小企業だとかのお客さんにフォーカスして製品だとかサービスを提供している会社なんですけれど、例えば大きな企業様なんかは十分なお金だとか人材がいらっしゃって、非常にセキュリティにお金をかけておられると。今回、中小企業にフォーカスしてかなりサプライチェーン攻撃だとかということでそこから攻撃がスタートして、いろんなところへ攻撃の影響が波及しているというところを踏まえて、今日はそこを押さえつつ議論して、中小企業はなにをすればいいか、要するに被害に遭わないためには何をすればいいかっていうところを、例えば今日いろいろ資料世の中にいっぱい出てはいるんですが、IPAの『2024年のセキュリティ10大脅威』だとか、他の資料も含めて少し議論して、中小企業をどう守っていくか、中小企業はどう何をすればいいか。ということを議論していきたいですね。

トゥオミ:
そうですね。個人的にはですね、コンサルティングの部門を担当させていただいてますので、中規模からコーポレートの方がメインなんですが、フィンランドの方だったり日本の方でもそういう少し小規模のお客さんとか、こういう問い合わせとかどうすればいいですか？という話もかなり出ていますので、ぜひちょっとディスカッションしましょう。

島田:
まず初めに、IPAが出している情報セキュリティ10大脅威2024版から話に入っていきたいと思います。やはりこれを見ると相変わらず1位がランサムウェアの被害ということが挙がってます。やはり私の身の周りでもやっぱりランサムウェアに遭いました。以前はアンチウイルス、それから入口対策もちゃんとやってます、出口対策もやってます、ネクストジェネレーションアンチウイルスを入れてたんだけどやられてました。ただ、それをやって対策をしてしてるところでもランサムウェアも増えてきてるので、じゃあEDRを入れようよっていうことが、大企業も当然増えていますし、それから中小企業にもやっぱり入れておかなきゃいけないよね、という話になっています。ただ、EDRはランサムウェアの感染の初期を発見するか、またはかかった後、ランサムウェアに侵害されたっていうことを見つけるというものなので、完全な防御ではないんですけれど、それだけいち早くランサムウェアに侵害されたってことを見つけて対策を打たないと、大変なことになってしまうと。会社名は具体的挙げることはできないんですけれど、エンタープライズ、それから中小企業。私の周りでも聞いてみると、かなり増えてきてるなという感じはします。やはり2024年も、ランサムウェアの攻撃が増えてきてるというのが大きな特徴かと思います。ハスキーさんとアヒルさんの方で、ランサムウェアの被害についてエンタープライズの情報をいろいろと取材されてると思うんですが、そのあたり何か情報をまず出していただけないでしょうか？

ハスキー:
ありがとうございます、ハスキーです。ランサムウェアの被害というのは、本当にエンタープライズでも、もちろん拡大はしてるなというのは感じてますけども、ずっと長いですよね。ここ1～2年の話じゃなくて、ずっと昔からあるような話で、ようやくここ1年で本当にメディアだとか、新聞で取り上げ始められたところで注目が集まってきて、中小企業に所属してる方にも注目されてるのかなというところがあります。IPAの10大脅威というところで思うんですけども、あくまでもこのランサムウェアによる被害っていうとこだと思うんですけど、例えば先ほどおっしゃったサプライチェーンの被害と関連性がいくつかあるかなとは思います。総合的にそこもちょっと見ていただきたいなというところも思いました。アヒルさん、どうですか？

アヒル:
アヒルです。よろしくお願いします。ハスキーさんが言った通りなんですけど、ランサムウェアというのは大企業から中堅中小企業まで、あまり企業規模でどうっていうわけではなくて、基本的には脆弱な組織を狙って襲ってくるところがあるので、脆弱な企業ならどこが標的になってもおかしくはないよねっていうところで、全ての企業にとって自分ごとにすべき問題なんじゃないかなとは思ってます。おっしゃるとおり、サプライチェーンのお話とかで、下請けの企業とかがVPN侵害などに遭ってそれをきっかけに大企業にまで波及してランサムウェア感染が行われるみたいな、そういったケースが散見されてるなと個人的には見ています。

トゥオミ:
ここで、ちょっともしかしたら意地悪な質問で聞こえてしまうかもしれませんが、せっかくメディアさんがいらっしゃっていますので、基本的にだいたい新聞とかニュースの中では、中小企業についてのランサムウェア攻撃についてあんまり取り上げられていないですね。それはおそらく、興味がないとかっていうことではなくて、実際に起きてますが、金額とかはそもそも中小企業ですとそこまでメディアにニュースが入ってないという印象を勝手にしていますが、だいたいそんな感じで合っていますでしょうか？メディアさんの観点から言いますと。

ハスキー:
おっしゃる通りで、やっぱりビジネスインパクトの大きさというのは、メディアとしては1つあるのかな、と。先ほどおっしゃったように身代金の金額だとか。あとは、その企業名で本当にみなさんが知ってるかどうかっていうところで、もしかしたら新聞や報道機関はちょっと取捨選択してるところもあるのかなっていうふうには受けますね。

トゥオミ:
ここで言いたかったのは、メディアでは取り上げられられなくても、中小企業の中でも、このランサムウェアは重要な攻撃になってますよねと思ってます。先ほど島田さんの方でエンタープライズ系とかEDRの対策についてのお話は申し上げていましたが、そういう対策として中小企業に何ができるのかなについてちょっとお話したいなと思ってます。
まずは私の観点からお話ししますと、中小企業としては予算とか人力は限られていますよね。いつも言ってしまいますが、セキュリティというのは、ビジネスの継続性を守るためのツールの1つですね。なので、中小企業ですと、まずはビジネスでないとセキュリティに投資をする意味がないですね。なので、ビジネス自体が投資すべき目的になっていますよね。その中で、その限られた資産をどうやって最低限少なくとも一番そういう損害になりがちなところをどうやって守るかがカギかなと思ってます。ですので、まずは島田さんが言ったような、例えばエンドポイントプロテクションとかファイアウォールとか、そういうことがかなり重要ですね。

島田:
やはり中小企業様はかなり予算も限られていますし、まずはその情報システム部門がないというのが一番大きなところです。それが総務だったりだとか、下手すると人事がやっていたりだとか。または「私、パソコンできます」という人が社長から「お前やれ」とかっていう状況が多く散見されるというところですよね。まずやらないといけないのは、IPAも推奨しているんですが、まずはアンチウイルスを確実に入れるということで、まずはマルウェアから、ウイルスから守るということですね。我々アンチウイルスを売ってる側から言うともちろんそれはその通りなんですが、プラスそれよりも先にやらないといけないことがありまして。もちろんアンチウイルスが正しく動くという意味ではOSを最新にしなきゃいけない、OSのパッチをきちっと適切にやっていかなきゃいけないということが、まずはもう本当に一番まずお金を最小限にして最大の効果が出るところですね。それ以外の例えばもう本当に入口対策／出口対策にお金をどうかけるかっていうのはやはり企業の持っている、先ほどアンッティさんが話されてた、事業をどう継続するかというのは会社ごとに違うので、先ほど申し上げたOSをきちんと更新する、アンチウィルスソフトを入れる。そこからどうするかは、企業がどう事業を継続するかにかかっていると思います。

トゥオミ:
昔の話をしますと、自分でパソコンを買ってサーバーを買ってそれを運用する必要性がありますよね。でも最近の中小企業ですと、スタートポイントとしてクラウドシステムを使いますよね。例えば、メールは自分のサーバーではなくてMicrosoftさんのクラウドだったりGoogleさんのクラウドだったり。それを使って、責任分担ができますよね。メールサーバーにどうやってメールのアンチウイルスを入れるかとか、そういう話ではなくて、それをクラウドサービスプロバイダーに任せられるっていうのは、非常に中小企業についてのビジネスについて、いい話だと思います。また、なるべくそういうクラウドシステムなどを使えば、コストは最初の方はちょっとかかってしまいますよね。そういう月々のコストはかなりかかりますが、逆にその分担するセキュリティを考えなくてもいいとか運用考えなくてもいいかの価値を評価した方がいいですよね。最初の段階からどういう技術を選ぶか、もちろんそのメールシステムだったりパソコンだったり、その他の技術基盤とか、そういう選択をきちんとしますと、負担とかコストのいいバランスが、あとはセキュリティのいいバランスが取れるかと思っています。

島田:
アンッティさんがおっしゃる通りで、やはり中小企業でもある程度、売上規模が20億だとか10億や20億とか超えてくると10年ぐらい前、15年ぐらい前であれば、メールサーバーを自分のところで運用するっていうのが結構多かったんですよね。そこで相談をされたことがあるんですが、使いものにならないのが多いので何とかしてくれと、メールサーバーをどう守るか教えてくれとかっていう話が本当に多くて、本当に10億20億30億ぐらいの規模で有名な企業がいくつか当時あったんですが、今もあるんですけれど、もう本当に自社サーバーを立てて大変なことになっていたっていうのがあるんですよね。さっきアンッティさんが話されたとおり、メールサーバーを自社で持つのをやめてくださいって言って、有名なメールサービスを提供したりだとか。そうすると今度はファイル転送をどうするかというところについてもメールで添付するのではなしに、別のSaaSのサービスを使うだとかということが当たり前になってきてると。ここでやっぱり重要なのは、それは中小企業で使えるようになってきていて、実は大企業も同じようなインフラを使って、そういうところはセキュリティレベルっていうのは中小企業も大企業もそのSaaSサービスを使うことによってかなりセキュリティレベルが底上げされてるのではないかと思います。そのあたり、ハスキーさん、アヒルさん、何かご意見をいただければと思います。

アヒル:
おっしゃるとおり、中小企業もSaaSを使うことでセキュリティレベルというのはある程度は向上してるんじゃないかなと思うんですけど。やっぱりその前に基本的なところっていうのは押さえておかなきゃいけないんじゃないかなとは思っていて。例えば、当たり前ですけどパスワードも使い回しをしないとか、OSやパッチを最新適用するとか。そういった基本的なことですけど結局そういうところがソーシャルエンジニアリング攻撃とか、脆弱性を狙った攻撃っていうのが発生してるわけなので、まずはそこを押さえようっていうのは、重ねて大事だなとは思います。SaaSを入れてるから何でも安全なんだよというわけではなく、今度はSaaSのアカウントが奪われちゃったりする可能性もあるので、そこはちょっと気をつけた方がいいかなと思います。さらに言えば、まず自分たちにとってどう重要な情報って何なのかっていうところと、それをどうやって守るかみたいな。そこからまず規定していくっていうのが、結局中堅中小企業の方々って、予算が限りあるところが多いかと思うので、そのどこにリソースを割くのか。ちゃんと守りたい情報に的確に配置してあげることで保護が実現できるんじゃないかなと思いました。

トゥオミ:
まさにおっしゃるとおりですね。先ほどの、まず基本をしっかりやるというのはすごく大事だと私も思ってますね。例えば、AIで守りましょうとか、そういうことよりは基本の「キ」からいった方がいいですよね。ただし、基本って何？というところもたまに難しいですよね。そのためにいろいろな公開リソースが出されていると思いますが、例えば日本ですとIPAさんが提供してますよね。島田さん、どこから始めていけばいいとか、そういう推奨があったりしますか？

島田:
IPAさんが出されている『情報セキュリティ5か条』というのをまずお読みになって、それを実行することが一番いいかと思います。

トゥオミ:
ですよね。セキュリティ的にそういう意味があるところに投資しましょうという、続けていくということがまず重要ですが、基本をやってるから次は何？とお困りの会社も多いですよね。どう思いますか、ハスキーさん、アヒルさん？

ハスキー:
やはり、まず1つ大事なのは、資産管理ですよね。そもそも自社の中のどこを守るか、まずそこを明確にすることが、これはもう本当に大手中小問わず、規模を問わずにまずすべきことだと思います。その上で、そもそも自社にどういった製品が入っているのか確認して、そのうえで必要な対策は何なのか？先ほどおっしゃったようなIPAのような参考資料だとか、他の機関が出してるようなガイドラインを参考にして対策を組み立てていくこと。それをさらにできれば、いわゆる経営者ですよね。そこと一緒に会話しながら進めていくことが、まずは理想なのじゃないかなっていうふうには思います。

トゥオミ:
エンタープライズなどの観点から言いますと、基本的にエンタープライズとか大企業にできることとしては、予算がある限りは、そういう脅威モデリングとかリスク管理をおこなって、その中でどういう対策がすべきかということは決められますが、中小企業ですとそういう余裕がない会社も多いですよね。ただし、その一方で最初からセキュリティについてのストラテジーとかどうすればいいですかとか、そういうことを決めないと、後で損害の可能性も出てしまいますよね。個人的にセキュリティコンサルタントとしても、中小企業についてのすごく高いコンサルティングサービスは多分購入していただけないと思いますが、少なくとも少しずつ会社の規模が大きくなったら、少しだけ、少なくともそういうセキュリティアドバイザー的な存在がいた方がいいと、個人的に思ってますね。在中のセキュリティ専門家とか、お金がかなりかかるコンサルティングよりは少なくとも、こういう悩みがありますがどういう方向性がいいですか？のタイプの相談の相手がいると、将来がちょっと安全になるんではないかと思います。最初から検討しないと、いずれリスクが増してしまいますよねと個人的には思ってます。

島田:
本当にそう思いますね。いろんな会社を見てくるとやっぱり成長過程ではもうとりあえず何でもいいからメールサーバー動かせ、ファイルサーバー動かせという感じで動かすことが主眼になっていて、セキュリティ放置っていうところもあって、たくさん見てきました。それはもう20年前とか30年はそんな感じだった、10年前でもそんな感じだったんですけれど、やはりこれだけランサムウェアだとかでやられるともう経済的被害がガツンときちゃうので、会社が大きくなるにしたがってちゃんと相談できるセキュリティの人だとか会社だとかをちゃんと掴んでいって、成長ごとに何をしなきゃいけないかっていうことを策定することが大切だと思います。会社が成長して大規模なったときにちゃんとしたセキュリティを大企業になったときでも保てるんじゃないかと思います。

トゥオミ:
そうですね。大企業の全部も昔は中小企業でしたよね。そこから何かしらの方法で成長して、成長に伴ってセキュリティを守ってきましたよね。

では16回目はこれで以上となります。後半の話は17回目にまわってしまいます。みなさん、ありがとうございました。これからサウナ浴びてきます。またよろしくお願いいたします。

Cyber SecurityサウナJapan エピソード#16はYouTubeでもご覧いただけます。

https://youtu.be/k-TEBypzRuQ