メインコンテンツへスキップ
main content, press tab to continue
特集、論稿、出版物 | 企業リスク&リスクマネジメント ニュースレター

サイバーリスク:パンデミック下のセキュリティ Tips

執筆者 足立 照嘉 | 2020年4月22日

多くの人たちの当初想定よりも、今回のパンデミックは長期化の様相を呈してきた。 そして、企業では現在のパンデミック状態およびポストコロナを見据えた課題も徐々に明確になりつつある。
Risk and Analytics|Financial, Executive and Professional Risks (FINEX)
Risque de pandémie

パンデミック下の企業の課題――それは、「現状を乗り越えること」そして(または)「将来に備えること」。
具体的には、以下に掲げるどこかに関連してくることではないだろうか。

  • 事業継続計画の遂行
  • 在宅勤務への移行
  • ポストコロナでの持続可能な成長

本稿では、これらの観点から想定されるリスクと、その対応への Tips について考えていく。

30%と30%

2020年に予定されていたオリンピック開催時の影響を最小限とするため、緩やかに在宅勤務などへの対応は行われてきた。ところが、ここまで急を要する対応を迫られるとは、多くの企業でも想定されていなかったことではないだろうか。
4月11日には政府より、出勤者を7割削減し在宅勤務を徹底することを要請している。

日々の業務を在宅勤務へと移行するに際し、そのためのツールや環境の整備、社外への持ち出しなどに加えて、自社のITリソースへ外部からの接続を許可するといったことが必要となってくる。単に会社のラップトップを自宅に持ち帰って開けば済むほど単純な話ではない。

また企業活動である以上、在宅勤務への対応を単なるコストと捉えず、ポストコロナへの投資としたい向きもあるだろう。デジタルトランスフォーメーション(DX)や IoT といった取り組みを見据え、ポストコロナに備えたいという声も聞かれる。
今回の「変化」を、今後の「進化」へと導いていこうというわけだ。

現状を乗り越え、将来に備えるために、日本よりも一足早く外出制限などを行なっていた英国では IT 人材の需要が急増している。
英国人材会社の調査によると1月〜3月期では前期比 30% も増加しており、前年同期比ではなんと 1.5倍 だ。
また欧州各地でロックダウンの始まった3月には、世界中のインターネットトラフィックが 30% も増加したとする IT 関連企業のデータもある。通常は月あたり 3% 程度ずつ成長している値であることからも、脅威的な増加量であることはご理解いただけることだろう。

そして30%

偶然にも IT 人材と IT インフラへの需要が「30%」ずつ高まっているので、もう一つ「30%」増えたものについて紹介することにしよう。

暗号通貨を取り扱う「暗号通貨取引所」での新規口座開設件数も、各取引所が開示するデータを見ると3月期で平均 30% 程度の増加をしている。

これまでの新規口座開設は、一般的に “蓄積” を目的とした用途が中心であった。ビットコインなどの暗号通貨へ投機するためである。

ところが、この期間に開設された口座の多くは “決済” に使用されているそうだ。ビットコインなどを支払い手段として用いるためだ。
これは欧州各都市において外出制限が本格化した時期と符合していることからも、違法物品の決済手段として用いられていることが推測される。

いや、もっとストレートに言おう。

外出制限は合法的に経済活動を行っているものだけでなく、全ての業種に影響を与えることとなった。違法薬物の売人であっても街に出て商売をすることは困難になっている。そこで、これら違法薬物をはじめとする違法物品の売買も、商いの「場」をオンラインに移行しているのだ。
実際、英国では直近5年間でストリートからオンラインに移行した違法薬物の取引件数は2倍に増えたとする調査報告もある。オンライン購入が可能となり、新規顧客は怪しい路地裏に足を踏み入れなくとも購入が可能となるため市場の裾野も広がっている。
そして今回の外出制限によって、オンラインへの移行は更に加速したと見る向きもある。

パンデミック下のあらゆる場面で、IT への投資とそれを活用した事業継続が試みられているというわけだ。

リスクの連鎖

在宅勤務への移行などワークスタイルの変化が、当初の想定には存在しなかった新たなリスクを生み出すこともある。

当然自社内の業務だけを在宅勤務に移行するわけではないので、顧客やサプライヤー、利用している IT サービスなどの外部事業者と連携が生じる。つまり、自社の IT リソースへ外部からの接続を許可する、もしくは他社の IT リソースに接続する必要も場合によっては出てくる。
この時に考えられることは「リスクの連鎖」だ。

具体的には、以下のようなことがまずは考えられるだろう。

  • オペレーショナル リスク
  • トランザクション リスク
  • コンプライアンス リスク

繋がる先の他社における運用上のミス(オペレーションリスク)や、脆弱なことで処理が遂行されない(トランザクションリスク)といった影響が、自社の IT リソースへも波及してくることは容易に想像できるかもしれない。

また、セキュリティ侵害やデータ侵害に対して罰則を伴う厳しい法規制が各国で整備されつつある昨今、セキュリティ違反(コンプライアンスリスク)の責任が自社に波及してくることも起こり得る。

欧州の顧客や取引先、または駐在員などを出していて欧州在住者の個人データを取り扱っておられる事業者であれば、既に GDPR(EU一般データ保護規則)への対応の一環で認識されていることかと思われるが、IT で各種連携が取られる現在において、取引先のセキュリティ対策状況も把握することが求められている。(GDPR 第28条 参照)

ドイツ自動車工業会(VDA)に加盟している全ての完成車メーカー(OEM)は、サプライヤーに対して独自のプラットホームでのセキュリティ対策状況共有を求めている。OEMとサプライヤーもしくはサプライヤー間で、取引を行う前にお互いのセキュリティ対策状況を確認することができるのだ。

そしてこのことは欧州や一部の業界に限ったことではない。
2019年に経済産業省から公表された『サイバーセキュリティ経営ガイドライン Ver2.0』においても、“ビジネスパートナーや委託先等を含めたサプライチェーン全体の対策及び状況把握“(指示9)として掲げられている。

収益をあげるために

先に申し上げておくとサイバーセキュリティとは収益を ”あげる” 領域ではない。
セキュリティ機器にいくら投資したから売上が上がるとか、脆弱性を見つけたから売上が上がるという類のものではないことは重々ご承知のことだろう。
ではサイバーセキュリティが何故必要なのかと問われれば、収益をあげる領域を守るために必要不可欠なことであるわけだ。

つまり、サイバーセキュリティとは収益を ”あげるための” 領域である。そして新たなリスクも生み出されている中、Tips として今回お伝えするのは次の4つだ。

  1. 自社に紐付く「外部から接続可能」な IT リソースを把握すること
  2. 外部から接続可能な IT リソースに対して悪用可能な脆弱性の存在を把握すること
  3. 取引先や外部サービスなど外部 IT リソースとの接続状況やそれぞれの対応状況を把握すること
  4. IT リソースのシステム構成や外部環境・脅威は常時変化していくので、Tip 1〜3を継続的に行うこと

意外と多いのが外部から接続可能な状態にある IT リソースを把握できていないこと。
企業での IT 活用は既に20年を超えていることもあり、当時の担当者が退職されていたり、繰り返される引き継ぎの中で漏れていく IT リソースもある。また把握できていたものも含めこれらに悪用可能な脆弱性が残されていれば、不正侵入などを許してしまう事にもなりかねない。

当然、これらは接続した先にある他社についても言えることだ。とはいえ、いきなり取引先に対して調べさせてくれという訳にもいかないだろうから、まずは自社が他社とどのように繋がっているのかを把握し、必要に応じて制限を設けるといった対処から始めてみても良いだろう。

そして、日々アプリケーションや OS のアップデートやセキュリティパッチの適用などがあるように、システム構成は日々変化している。つまり、抱えているサイバーリスクも常時変化しているのだ。このことは他社においても同様である。

これらのことからも Tip 1〜3 を一度きりのものとせず、継続的に行っていくことで実効性のあるものにしていける。

これらはあくまでも社内の IT リソースに関する Tips だ。

社外に持ち出した IT 機器やその取り扱いについては今回のパンデミックを受けて各国機関がガイドラインを提示している。下記に参照先の URL を記す。

<参考情報>
米国 NIST(米国国立標準技術研究所)
米国 FTC(米国連邦取引委員会)
米国 CISA(サイバーセキュリティおよびインフラストラクチャーセキュリティ庁)

英国 NCSC(国家サイバーセキュリティセンター):フィッシングについて
英国 NCSC(国家サイバーセキュリティセンター):マルウェア、ランサムウェアについて

EU(欧州連合)ENISA (欧州ネットワーク・情報セキュリティ機関)

 

執筆者プロフィール


サイバーセキュリティアドバイザー
Corporate Risk and Broking

英国のサイバーセキュリティ・サイエンティスト。
サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、経営に対するサイバーリスクの的確で分かりやすいアドバイスに、日本を代表する企業経営層からの信頼も厚い。近年は技術・法規制・経営の交わる領域においてその知見を発揮している。


Contact us