相次ぐサイバー攻撃に対策を強化する大手企業 サプライチェーンを経由したマルウェア感染への警戒増加に伴い中小企業にもセキュリティ対策が求められる 情報流出を防ぐには「入口対策」よりも「出口対策」が必要に

〜デジタルデータソリューション、「2020年総括および2021年展望レポート」を発表〜

 情報セキュリティのプロフェッショナル集団であるデジタルデータソリューション株式会社(本社:東京都中央区 代表取締役社長:熊谷 聖司 以下、DDS)は、2020年の企業のセキュリティ対策への動きや、中小企業の情報漏洩リスク増加と2021年に向けた対策などについて言及した「中小企業に求められるセキュリティ対策|2020年総括および2021年展望レポート」を発表いたしましたので、お知らせいたします。

 

  • 急速にDXが進んだ2020年、セキュリティに懸念が残る
  2020年、内閣総理大臣に菅首相が就任し、デジタル庁の創設に舵を切りました。デジタル庁は、マイナンバーカードの普及促進を図り、さらに健康保険証や免許証との規格の統合を検討していることからオンラインでの行政手続きが可能になることなどが期待されます。また、新型コロナウイルスの影響をうけた、リモートワーク、リモート授業の実施により、産学官のいずれもデジタル化へ大きく舵を切る年となりました。国全体でのDXの推進が予想される反面、懸念されるのはサイバー攻撃リスクの高まりです。

  新型コロナウイルスの影響により多くの企業がテレワークを実施していますが、そのセキュリティ対策には穴があります。Googleによる2020年4月の報告(https://japan.googleblog.com/2020/04/helping-you-avoid-covid-19-security-risks.html)によれば、新型コロナウイルス関連のマルウェアやフィッシング詐欺は1日あたり1,800万件に達しており、スパムメールも1日あたり2億4,000万件を超えています。これまでの企業は、社内PCを一括管理し、ウイルス対策ソフトやファイアウォール、仮想サーバなどでセキュリティ対策を講じ、それに加えPC作業を社内に限定することでサイバー攻撃のリスクを最小限に留めていました。しかし、テレワークの普及により社外でのPC作業が増加し、社内だけではなく社外のネットワークならびに個人単位でのセキュリティリスクに備える必要が発生しました。

 企業は様々な対策を講じたものの、結果としてマルウェア(ウイルス等の悪意のあるソフトウェア)による個人情報流出のニュースが目立つ年となりました。例えば、2020年10月には大手電子機器メーカーが保持する個人情報が流出し、従業員を装った不審なメールが社内外に約3万通送信されました。これらのメールには、マルウェアに感染させるためのファイルが添付されており、さらなる感染が狙われていました。また、2020年11月には大手ゲーム会社の内部情報がサイバー犯罪集団に流出、情報の公開を防ぐために「身代金」を要求されたという報道もあり、様々な手口によるサイバー攻撃の被害が出ています。しかし、攻撃の対象になっているのは報道で取り上げられる一部の大手企業だけではありません。実際には世間の目が届いていないところで中小企業へのサイバー攻撃が多発しているのです。
 
  • ハッカーに狙われる中小企業たち
 なぜ中小企業が狙われるのでしょうか。ハッカーにとって価値のあるものは大手企業が保有する個人情報です。しかし大手企業は強固なセキュリティ対策を行っています。そこで、ハッカーはまず中小企業に対してマルウェアによる攻撃を仕掛けます。するとセキュリティ対策が十分でない中小企業は容易にマルウェアに感染してしまいます。このマルウェアが大手企業へと辿り着くための感染経路が「取引メール」です。2020年に流行した「Emotet」や「IcedID」といったマルウェアは、取引メールを巧妙に偽装することでメールの受け手に添付ファイルのダウンロードと実行を促し、マルウェアに感染させる手口がとられていました。

 セキュリティ対策が十分でない中小企業の中には大手企業と取引をしている企業があります。大手企業と直接の取引がなかったとしても「取引先の取引先」を辿ればかなりの確率で大手企業に辿り着きます。マルウェアに感染した端末から、大手企業を含む取引先へとメールが自動的に送信されることで、連鎖的に大規模な情報流出などの被害につながってしまいます。つまり、攻撃の対象としてハッカーに狙われやすい中小企業は、気づかないうちに被害者であると同時に加害者になる可能性があり、最悪の場合、取引停止や損害賠償などを求められる危険性があるのです。

 特に危険があるのが製造業です。例えば自動車製造はそれぞれの部品ごとに製造業者が存在し、一つの自動車を製造するために巨大なサプライチェーンが形成されています。自動車は日本最大の産業の一つであり、大手自動車メーカーが保有する情報は当然ハッカーにとって大きな価値があります。そのため、サプライチェーン内に属する中小の製造業者がサイバー攻撃の標的となってしまうのです。自動車に限らず、製造業は巨大なサプライチェーンが形成されるケースが多く、製造ラインのIoT化に伴うセキュリティ対策が追いついていない企業も散見されるため、特に注意が必要です。

 こういった現状もあり、大手企業では取引成立の審査基準としてセキュリティ対策が十分であるかを重視するようになっています。取引先への感染拡大阻止のためにもセキュリティ対策の重要性が増してきているだけでなく、セキュリティ対策の有無が自社の信用や取引獲得に関わるようになってきているのです。
 
  • マルウェアが起こすリスクを理解していない経営者が多数
 では、中小製造業企業経営者はこの事実を理解しているのでしょうか。11月に製造業経営者100人に対して実施した調査では「自社PCの感染が取引先の感染を招くリスクがある事実」を「知らなかった」という回答が25.7%、「大手企業がセキュリティ対策を審査基準として強めている事実」についても「知らなかった」という回答が31.2%という結果となりました。一方、両設問で「知らなかった」と回答した方のうち56.4%がこの事実を知り、「よりセキュリティ対策に力を入れるべきだと思った」と回答しています。この結果から、まずは中小製造業の企業経営者は、自社がセキュリティ事故のリスクを抱えていると認識することが一つの課題だと言えるでしょう。一方で7割近くの経営者がセキュリティ事故のリスクを認識している一方でマルウェア感染の被害が相次いでいるのが実態です。トレンドマイクロが2020年に行った調査(https://www.trendmicro.com/ja_jp/about/press-release/2020/pr-20201002-01.html)によると、約8割の企業がマルウェア感染などのセキュリティ事故を経験しています。残念ながら多くの企業はリスクの認識に反して十分に有効な対策が取れていないのが現状です。
 
  • セキュリティ対策の鍵は「出口対策」
 それでは企業はどのように対策を講じれば良いのでしょうか。重要なのは感染後にマルウェアによる情報流出を防ぐ「出口対策」です。一般にセキュリティ対策は、アンチウイルスソフトに代表されるような、ウイルスの侵入を防ぐ「入り口対策」の認識が強くあります。

 日本損害保険協会が2019年に行なった調査(https://www.sonpo.or.jp/cyber-hoken/data/2019-01/)では大企業の約9割、中小企業の約7割が何かしらのセキュリティ対策を行っていると回答しています。しかし、IPA(情報処理推進機構)が行なった調査(https://www.ipa.go.jp/files/000036465.pdf)では、2013年時点で一日に約120万個の新型マルウェアが生産されており、先述した通り今や約8割の企業がマルウェア感染などのセキュリティ事故を経験しているのが現状です。マルウェアの侵入を入り口で防ぐことは、ほぼ不可能となっているのです。菅首相はデジタル庁創設に伴い、セキュリティ対策について「入り口対策」でマルウェアの侵入を防ぐことは難しく「監視型」のセキュリティ対策が必要だと既に述べています。今後は、マルウェアの侵入を防ぐ入り口対策だけでなく、侵入したマルウェアへ対処できる多層的防御が重要となります。

 そのために、どの企業においても必要なのが通信の最後の砦を守る「出口対策」です。マルウェアによる情報流出は、PC内でマルウェアが外部との不正通信を行うことによって起こります。逆に言えばその不正通信を遮断してしまえば、たとえマルウェアに感染してしまっても情報流出の被害は生じません。この通信の出口を監視し、不正な通信を検知・遮断することでセキュリティの安全性を保つのが「出口対策」です。

 


 デジタルデータソリューションが提供する『DDHBOX』ではハッカーが情報盗取のために使用するC2サーバーへの不正通信を自動で検知・遮断するため、侵入後のマルウェアによる外部への情報流出を防ぐことができます。国内最大級のセキュリティ監視センター『JSOC』が検出したC2サーバーのリストを活用することで、中小企業に導入しやすい低価格で、官公庁と同レベルの通信監視の自動化を実現しています。そのため、セキュリティ対策にコストや人員を割きづらい中小企業においても官公庁レベルのセキュリティ対策を講じることが可能となっており、多くの企業での導入が期待されています。

 新型コロナウイルスによる業務のデジタル化の促進、セキュリティ事故増加に伴う大手企業の取引審査基準の見直し、製造・生産ラインのIoT化からも見てとれるように、2021年は中小企業がセキュリティ対策に舵をきる節目の年となるでしょう。盗取されてもいい情報は一つもなく、全ての企業にセキュリティリスクが潜んでいると正しく認識すること、そしてリスクに対して有効な「出口対策」を施すことが2021年以降を勝ち抜くために不可欠となります。
 
  • 会社概要
名称  :デジタルデータソリューション株式会社
所在地 :〒104-0061 東京都中央区銀座7-13-12 サクセス銀座7ビル 6F
代表者 :代表取締役社長 熊谷 聖司
設立  :1999年6月
事業内容:セキュリティ事業、データリカバリー事業、フォレンジック事業
URL    :https://digitaldata-solution.co.jp/

 
※以下、メディア関係者限定の特記情報です。個人のSNS等での情報公開はご遠慮ください。
このプレスリリースには、メディア関係者向けの情報があります。

メディアユーザー登録を行うと、企業担当者の連絡先や、イベント・記者会見の情報など様々な特記情報を閲覧できます。
※内容はプレスリリースにより異なります。

  1. プレスリリース >
  2. デジタルデータソリューション株式会社 >
  3. 相次ぐサイバー攻撃に対策を強化する大手企業 サプライチェーンを経由したマルウェア感染への警戒増加に伴い中小企業にもセキュリティ対策が求められる 情報流出を防ぐには「入口対策」よりも「出口対策」が必要に