建設業界で加速するDX。業界各社は働き方改革の鍵を握るとみて、経営の最重要課題に位置付け、先進技術を業務に取り入れようとしている。生産性や利便性の向上に大きな効果が期待できる一方で、情報流出やサイバー攻撃などリスクも顕在化しつつある。国内外で被害報告が急増しているランサムウエア(身代金要求型ウイルス)は企業にとって新たな脅威になりつつある。セキュリティー対策に詳しいS&J(東京都港区)の三輪信雄社長のインタビューや、被害事例を交え今後を展望する。
□S&J社長・三輪信雄氏に聞く/大手と中小でランサムウエア対策が二極化□
--国内企業でランサムウエアの被害が多発している。
「ランサムウエア攻撃は、インターネット回線を利用して特定の人がアクセスできるVPN(仮想専用線)からウイルスが侵入するケースが考えられる。VPNの脆弱(ぜいじゃく)性を修正するには、『パッチ』と呼ばれるプログラムを適用すれば問題ない。パッチを当てたり、更新したりしていれば被害は抑えられる。大企業の中には、事故原因を調査・分析する専門組織(シーサート)を設置し対策している。中小企業の多くはパッチを当てるなど有効な手だてを講じていない。豊富な知識を持った人材も配置できていないなど、大手と中小で対策内容や意識が二極化している」
--テレワークの進展も原因の一つか。
「テレワークに備えて会社の倉庫に眠っていた古いパソコンを使用している点も要因の一つ。VPNにパッチが当たっていないので、結果的に侵入口を設けてしまっている。リモートワークによって、異常を検知しにくい環境がウイルス感染を助長させている。ランサムウエアはウイルスが侵入して起こるのではなく、ウイルスを踏み台にして人間が侵入している、と認識した方が良い。会社のエントランスからセキュリティーを通り抜けて社長室に行けるのと同じことだ」
--建設業界でもウイルス感染が発覚した。
「一昔前の標的型攻撃は、高い技術を持った犯罪グループが特定の企業に狙いを定めて情報を盗み出すのが定石だった。特に工場を保有する製造業やITサービスを提供する会社がターゲットになりやすい。サーバーがダウンすれば莫大(ばくだい)な被害を受けるからだ。標的型攻撃とランサムウエアを混同しがちだが、後者は不特定多数をターゲットにしている。日本のセキュリティー対策は個人情報の流出防止が前提にある。建設業界には『情報が盗まれても全ての現場はストップしない』という意識が見受けられる。特に中堅、中小企業はセキュリティー対策で課題を抱えている」
--解決方法は。
「シーサートのような専門人材を配置できないのであればセキュリティー対策に強い専門会社に外注するのが有効だ。当社にランサムウエア被害を相談する顧客の多くは、ソフトウエアの開発や保守・運用などを手掛けるエスアイヤー(ITベンダー)に頼んでいる。ただエスアイヤーは依頼主が強く要求しない限りセキュリティー対策を行わない。ユーザーはセキュリティーに対する意識を持つべきだし、エスアイヤーも真摯(しんし)に対応すべきだ」
「対策費用を懸念する意見は理解できるが、外注するのだから一定額コストはかかる。特に製造業や建設業は協力会社を抱えている。中小企業が多くを占める協力会社は、セキュリティー対策が不十分だ。仮にランサムウエアの被害に遭えば、確実に情報が漏えいしてしまう。発注機関からの信頼も失いかねない。そうならないためにも、元請企業が協力会社にパッチを当てるよう進言したり訓練メールを一緒にやったりしてセキュリティー対策を助言するのも一つの手段だ」。
(みわ・のぶお)1985年同志社大学工学部電気工学科卒、住友ゴム工業入社。90年ラック入社、2003年社長、08年S&J設立。日本の情報セキュリティービジネスの先駆けとして事業を開始し業界をリード。総務省最高情報セキュリティーアドバイザー、神奈川県警サイバー犯罪対策テクニカルアドバイザーなどを務める。経済産業大臣賞(個人)などを受賞。
□被害企業の事例□
警察庁が国内で発生したサイバー攻撃の現状などを発表した。2021年上半期(1~6月)はランサムウエア被害の申告件数が22都道府県で61件に上り、20年下半期(7~12月)の40件に対し大幅に増加していることが分かった。建設業の被害は8件。決して楽観できる状況にはない。直近でも建設関連企業がランサムウエア被害を受けている。
ランサムウエア攻撃は、メールの添付ファイルやリンクにアクセスして起こるケースが多いが、被害を受けた企業では、セキュリティー機器の脆弱性を悪用されサーバーにウイルスが侵入した可能性が高いという。
ある企業の担当者は「セキュリティー強化のためのシステム投資や体制整備に費用と時間がかかる。外出先での業務対応や在宅勤務などでの利便性の確保からセキュリティーが甘くなっていた」ことが原因と分析する。
ランサムウエア攻撃で数百万のファイルやデータが暗号化。多数の自治体で個人情報や契約内容の流出が疑われた。同社は対策本部を設置した上で、対応窓口を一元化し業務と完全に切り離した。被害者である一方、ある自治体からは工期延長の理由が同社にあるということで指名停止処分を受けた。自治体からの処分は会社の存続にも関わる。担当者は「サイバー攻撃を受けると会社の評判や印象が悪くなる」と苦渋に満ちた表情を浮かべる。業務継続には信頼回復が何よりも欠かせない。数カ月にわたり不眠不休で丁寧な対応を図った。
同社の場合、専門家の調査や自治体への対応など事態が落ち着くまで約3カ月を要した。専門調査会社の調査結果などから流出の可能性が非常に低いと判断したが、「100%安心とは断言できない」と気を引き締める。
被害後、一度暗号化されたデータの完全な復元は難しいと判断し、サーバーをゼロから構築中という。被害を受けた後すぐにウイルス対策の強化やランサムウエアのダウンロードを阻止する装置の導入、より取り扱いがシビアな個人情報や機密情報はスタンドアローンのハードディスクに保管するなどの措置を講じた。サーバー構築に当たっては、セキュリティー強化を重点的に行い、月内には構築できる見込みだ。
サーバー構築には数千万円という膨大な費用が必要になる。より高額で高度な機能を持ったシステムもあるが、かえって現場に混乱を招く可能性もある。このため「今までと同じ環境でセキュリティーレベルを格段に上げる」のが最良と判断した。
各社がセキュリティー対策に重い腰を上げて取り組む中、手持ち資金の少ない中小企業にとってサイバー攻撃対策にかかる費用を捻出するのは一苦労と言える。年間何千万円もの費用をかけて対策することは経営圧迫にもなりかねない。泣き寝入りの状況にならないためにも、サイバー攻撃への対策強化に必要なコストを発注業務の一般管理費に反映した上で、予定価格を算定するべきだとの意見もある。
サイバーテロという新たな犯罪手口とどう対峙(たいじ)していくのか。企業の姿勢が問われそうだ。