「防げない」を前提に備えるとは--企業経営者が意識すべきセキュリティリスク

ランサムウェアを中心にしたサイバー攻撃で市民の生活が脅かされる事例が頻発している。社会インフラや医療機関、公共などの重要インフラ設備を持つ企業はもとより、食品メーカーや物流企業、小売企業など生活に密着する企業への攻撃も身近になっている。

そんななか、キヤノンITソリューションズ(キヤノンITS)は2025年10月22日 、「経済産業省が進める『セキュリティ対策評価制度』始動へ。年末商戦を前に今、『企業がとるべきサプライチェーン防御策とは』と題するラウンドテーブルを開催。近年のサイバー攻撃の動向や、具体的なセキュリティ対策について解説した。

ラウンドテーブルには、神戸大学名誉教授で政府機関のアドバイザーなどを務める森井昌克氏が登壇し、ランサムウェア攻撃の動向や、サプライチェーン対策評価制度での議論、中堅中小企業を中心に企業経営者が意識すべきセキュリティリスクを解説した。森井氏はまず企業が置かれた現状をこう述べた。

「多くの企業が事業継続計画(BCP)を策定しているが、残念ながら絵に描いた餅になってしまっている。セーフティの世界では危機管理は必須だ。セキュリティでも最悪の状態を想定して、その対策を考え、さらに実行できることが求められる。現在のサイバー攻撃は100パーセント防ぐことは絶対に不可能だ。しっかりとしたサイバーセキュリティ対策をとっている企業も被害にあっている。そのときにどうするか、対策とともに考えておくことが重要だ」(森井昌克氏)

サプライチェーンを狙うランサムウェア--RaaSの手口と前兆、波及リスク

ランサムウェア攻撃への対策が困難な背景の1つには、サプライチェーン全体が影響を受けるためだ。大手企業だけでなく、製造や物流を委託する企業、さらにその製造や物流を部分的に担う委託企業まで、幅広い企業が関係する。中小企業はそもそも被害を把握できないか、把握できても届けないケースが多く、実際の被害は警察庁など公表している数の数十倍になると想定されている。

「ランサムウェア攻撃グループ(RaaSグループ)の多くは日本をターゲットにしており、油断できない。現在290ほどのグループの存在が確認されており、実際に活動しているのは40くらい。対策をしても減ることはない。日本は被害数で世界6位に位置している。代表的なグループはQilinやakira。中国の麒麟(きりん)やアキラからとっている。新たにsinobiというグループも出てきた」(森井氏)

ランサムウェアの被害に遭うとサプライチェーンにも影響が波及し、大きいものでは被害額は数百億円規模に達する。大企業はもちろん、サプライチェーンを構成する中小企業にとっても大きな経営リスクとなる。いきなり攻撃されるわけではなく、何カ月も前から調査を行い、攻撃を受けたあとに攻撃の前兆があったことを確認できる場合もある。

「始末に負えないのはアンチウイルスを無効化しログも消去することです。自分自身を見えなくするため発見できない。そこから情報スキャンや情報窃取、マルウェアのアップデートなどを行います。そろそろバレそうとなったときに、最後に他のサイトを攻撃するための踏み台にします。本当にバレそうとなったときはランサムウェアを発動して終わりにします。ランサムウェアは最後であり、それまでにいろいろな攻撃を行っているのです」(森井氏)

ランサムウェア対策では、被害に遭った後どうするかが重要

ランサムウェアを防ぐためにはさまざまなガイドラインがある。基本的な対策として、ウイルス対策ソフトの徹底、複雑なパスワードの設定、OSやソフトの最新バージョンへのアップデート、バックアップなどが挙げられるが、徹底できていないのが現状だ。

「よく不審なメールを開かないための訓練をして、引っかかった数を減らすことが目的になっているケースがある。引っかかった数が減るのは、訓練が悪いか、サービスが悪いと考えるべき。実際は、引っかかったあとどうするかが重要で、そこからが本当の訓練だ。『やっているつもりの対策』は意味がない」(森井氏)

そうしたなかで、議論が進んできたのが経産省のサプライチェーン対策評価制度だ。2024年4月に制度構想が示され、6回の検討会を経て、2025年4月に中間とりまとめが公表されている。

「中小企業にとってセキュリティ対策に割けるリソースは限定的だ。そのためまずは、何が悪いのか、サイバー攻撃を受ける可能性がどうして高いのかを理解してもらうことが大事だ。そこで自社のリスクの可視化をメインの目的に据え、議論を行ってきた」(森井氏)

ただ、さまざまな課題がある。リソースが限られた中小企業が、セキュリティ対策を推進するために、どのような支援のあり方がふさわしいのかも大きなテーマだ。支援のあり方の1つとして、脅威の評価の際に、登録セキスペ(情報処理安全確保支援士)やお助け隊(サイバーセキュリティお助け隊サービス)を活用しようという案もあるという。最後にこうまとめた。

「中小企業にとってサイバー攻撃被害は重大な経営リスクです。セーフティの世界では安全第一が当たり前でも、セキュリティの世界では安全第一になっていない。経営者の方にはサイバーセキュリティを理解いただいて、ぜひ対策をとっていただきたい」(森井氏)

サプライチェーン攻撃に対する「3つの防御ステップ」--キヤノンITS・池上雅人氏が解説

続いて、キヤノンITS サイバーセキュリティラボ マルウェア解析課 池上雅人氏が、企業が取り組める具体的なセキュリティ対策として「サプライチェーン攻撃に対する3つの防御ステップ」を解説した。3つの防御ステップは、1. リスクの可視化、2. 防御体制の構築、3. モニタリングと改善となる。

最初のステップである「リスクの可視化」では、サプライチェーンの全体像の把握と自社IT資産の把握を行う。

「まず、自社の委託先・サプライヤーとのつながりを可視化し、対応の優先順位を整理する。また、自社の利用するクラウド、VPN機器、サーバー、個人PCなどを把握する。特に見落としがちなIT資産として、サポートの切れているソフトウェアやハードウェアや、個人所有の機器や個人利用のサービス(シャドーIT)もある。これらはすべて攻撃の糸口なると認識し、正確に把握することが大事だ」(池上氏)

次に、防御体制の構築では、技術的対策と人的対策を実施する。

「技術的対策としては、ASM (Attack Surface Management)、EDR (Endpoint Detection & Response)、SOC (Security Operation Center)の導入・設置がある。また、人的対策としては、インシデント対応マニュアルの整備、BCPの策定、委託先との情報共有や共同訓練、委託先のセキュリティ対策状況を契約条件に含めるといった取り組みがある。

第3のステップである「 モニタリングと改善」では、防御体制の有効性を定期的に確認して改善する。

「セキュリティ対策診断サービスを利用することで、第三者評価を通じて客観的な改善指針を得ることができる。また、経済産業省が検討するサプライチェーン強化に向けたセキュリティ対策評価制度などを参考に、社内外の対策状況を定量的に把握することが大事だ。3つの防御ステップを継続的にサイクルとして回すことが重要だ」(池上氏)

キヤノンITSでは、防御ステップを継続的に改善するために、チェックリストも提供している。 委託先・サプライヤー向けチェックリストと、事業者向けチェックリストがあり、双方を活用しながら現状を把握し、体制の構築と継続的な改善を図っていくことでセキュリティ対策を強化できるという。

また、ソリューションとしては「セキュリティ対策診断サービス 」や「ASM(Attack Surface Management)サービス」も提供する。セキュリティ対策診断サービスは、同社の「サイバーセキュリティラボ」の知見を活用し、専任エンジニアが評価報告書を作成、課題に対する優先順位をつけて具体的なセキュリティ対策を報告会にて提案するサービスだ。一方、ASMサービスは、組織の外部からアクセス可能なIT資産を発見し、それらに存在する脆弱性などのリスクを継続的に検出・評価する一連のプロセスを実施できるようにするサービスだ。

「セキュリティ対策をどこから始めればよいかわからない場合やセキュリティ対策を確認したい場合に、セキュリティ対策状況を可視化して最善策を提案するセキュリティ対策診断サービスが役立つ。また、インターネットにさらされているIT資産を発見、報告する際にはASMサービスが役立つ。サイバー攻撃の侵入口となりうるIT資産を発見し継続的に管理できる」(池上氏)

各種ガイドラインやサービスを活用したセキュリティ対策の強化が求められる。