サイバーコラム

6/27 日経朝刊

対策過信で時代遅れ、格好の餌食に

日本のサイバーセキュリティが世界から取り残されているという記事。セキュリティベンダーへの丸投げ、オフラインへの過信、無防備な中小企業へのサプライチェーン攻撃。思考停止の企業は格好の餌食となる、という内容。

まさにこれらの内容は、私たちが1年以上前から伝え続けたことです。企業の存続にもかかわる大きなリスクを第三者へ丸投げして、うちは大丈夫と言っている企業の多いこと・・・。

事が起きてからではすでに手遅れになるほど、大きな被害につながるサイバー攻撃。

専門家に任せる部分と自分で対応できる部分を明確にし、人任せにしない体制づくりと迅速な経営判断が必要になってきています。

今後も弊社では地道な啓蒙活動とともに、中小企業のセキュリティレジリエンスを高める発信を続けてまいります。


6/15 日経朝刊

「トヨタ工場停止「ロビンフッド」が関与」

 2022年3月1日にトヨタ自動車の国内全工場が稼働停止した問題で、攻撃を仕掛けたのは「ロビンフッド」と名乗るハッカー集団だったとのこと。攻撃を受けたのはトヨタのサプライチェーンの1社で小島プレス工業。

約6万社あるトヨタのサプライチェーンが、たった1社に対するサイバー攻撃で、1万3000台の生産停止に追い込まれる事態になった事故は、大手製造業だけではなく中小零細企業のサプライチェーンにもかなりのインパクトのある事故だったと思います。

これを教訓に、地域の中小企業のサイバーセキュリティに対する意識も変わっていくことを期待していましたが、実際に現場を回ると「トヨタさんだから・・・」「うちは外部に任せてるので大丈夫・・・」等々、あまり変わっていない現実も見られます。

自社の対策の遅れが他の多くの企業にも影響を与える可能性があることを、御社はどの程度理解されていますか?


6/8 日経朝刊

「徳島のサイバー被害病院 システム提供側 不備」

 2021年10月にサイバー攻撃を受けて、患者約8万5千人分の電子カルテが閲覧できなくなった徳島県の半田病院。この度、有識者会議による調査報告書が示されました。その内容は、電子カルテシステムを提供する企業側の対応の不備を指摘したとのこと。脆弱性を説明せず、ウイルス対策ソフトも運用上の理由で稼働させない設定にしていたそうです。

小規模な病院に限らず、中小企業にはセキュリティ対策を外部に頼らざるを得ない現状があります。中小企業の経営者や担当者と話すと「うちは外部に任せてるから大丈夫です。」という答えも未だ非常に多く、ベンダー任せの現状が浮き彫りになっています。

今回の半田病院のように、実際事故が起きた時に責任を追及されるのは委託している側の病院や企業であり、ベンダーは事故の補償は基本的にしてくれません。

企業の存続に関わる経営リスクを、外部に丸投げして安心しているこの現状は非常に危険であり、基本は自社のリスクは自社で対策する義務があると考えます。そこで必要なことは、迅速な事業復旧のための体制づくりであり、そのための資金確保だと考えます。
弊社では、ワンストップでこれらの対策にお答えできますので、お気軽にお問い合わせください。


5/29 日経朝刊

「大規模病院 サイバー攻撃」被害相次ぐ 3分の2で情報漏れも

病院へのサイバー攻撃が相次いでおり、国内の大規模病院3ヶ所がハッカーから侵入された可能性が高く、他に大型病院100ヶ所の情報を闇サイトで調べたところ、3分の2の病院で職員のパスワードが漏洩していたとのこと。

日本の病院は依然として、基幹システムを外部と遮断している•••との主張により対策が遅れているところがほとんどだと見受けられます。電子カルテ等のHIS系のシステムはオフラインだから大丈夫と言い張る病院も非常に多く見られます。実際のところ、メンテナンス時のVPNの遠隔接続だったり、地域医療連携ゲートウェイであったり、ネットワークに繋がるタイミングで感染する事例が非常に多く、その認識の甘さが医療機関の被害の増加に繋がっているように思います。

弊社も医療機器ディーラーと連携しつつ、啓蒙活動を続けながら、セキュリティ対策の必要性を引き続き訴えてまいります!


5/16〜18 日経朝刊

「解明コンティ 身代金ビジネス、まるで会社」他

世界最大級のサイバー犯罪組織「コンティ」。親ウクライナのメンバーから漏洩したチャットから組織の構造が浮き彫りになったとのこと。

リーダー(社長)が各担当メンバーに指示をし、人事、教育、渉外・広報、新事業開拓、中間管理からは実行部隊、開発、調査、解析と企業顔負けの体制を構築しています。

それぞれの専門職が日々セキュリティを研究し、その上をやってくることを考えると、どこまで対策をしても終わりはありません。

ただ、どの企業も内部から崩壊していくもので、お金が絡むと不平不満も溜まっていき・・・

そうなることを期待して、今できるセキュリティ対策を取ることが一番大事だと感じます。


5/11 日経から

「しまむら、システム障害 大型連休中にサイバー攻撃」

大手衣料販売のしまむらが大型連休中にサイバー攻撃を受けていたとのこと。

社内ネットワークへの不正アクセスによるシステム障害で、商品を店舗に取り寄せるサービスが停止しているようです。被害状況は調査中であり、情報の流出は確認されていないとのこと。

長期休暇中は脆弱性情報には疎いもので、そこを攻撃者は狙っているとの話もあります。実際、ソフトウェア等のアップデートが行われていない状態で休み明けを迎えるPCやサーバーは要注意です。システム管理者の方への負担も想像を絶します。。。

そんな状況には、端末やサーバーを24時間365日遠隔監視してくれる「EDR」等の最新型のセキュリティ製品の検討が負担を減らしてくれる一つの方策ではないでしょうか。


4/29 日経IT記事から

「法人3割が個人情報流出、過去1年で」

 セキュリティ大手トレンドマイクロ社の調査によると、国内の3割の事業者が個人情報流出の問題を起こしているとのこと。

原因としては、「従業員や委託先による不慮の事故」が49%で最多、「従業員や委託先による故意の犯行」39.1%、「外部からのサイバー攻撃」32.5%と続く。

4月の個人情報保護法の改正で当局への報告が義務化され、企業にとっては無視できない大きな経営リスクとなっていますが、この改正自体を把握していない企業が約2割で、報告先機関の明確化や報告担当者の明確化をしている企業は半数に満たない現状。本人への報告手段を明確化している企業にいたっては3割弱と、企業の認識不足が顕著になっています。

御社ではセキュリティ対策と教育、及び事故対応の体制づくりは明確化されていますか?


5/2 日経朝刊 私見・卓見から

「企業統治指針にサイバー防衛を」

 IT企業創業者の方の投稿記事。

日本の大企業においてもセキュリティ責任者(CISO)の設置推奨の動きが最近は見られるようになったが、経営トップが取り組む流れにはなっておらず、専門家に任せれば良いという認識である、と。

社員教育の重要性は語られますが、まずは経営者自身の自覚を促す必要があるとのこと。コーポレートガバナンスにサイバーセキュリティの重要性を明記することが望まれる時代になってきました。


4/27 日経MJ記事

「カード不正対策はサイバー版『手洗い・うがい』を」

クレジットカードの不正利用。2021年は330億円余の被害額で、過去最悪だったそうです。

フィッシング詐欺とサイバー攻撃が大きな要因で、特に最近のサイバー攻撃の増加で拍車がかかっているよう。

私たちの出来ることは、怪しいサイトに近づかないことですが、それでも騙されてしまうもの。

新型コロナウイルスの感染拡大で「手洗い・うがい」が当たり前になっていますが、サイバーセキュリティに関しても金融庁が提唱する「サイバー・ハイジーン(衛生)」を浸透させることで、個人一人ひとりの意識を高めることが重要だと感じています。


4/27 日経クロステック記事

「カシオ、グループ1万人が即『脱PPAP』」

カシオ計算機がメールにZIPファイルを使ったやり取りを禁止したという記事。

PPAPとはメールにZIPファイルを添付し、複合用パスワードをメールで追送するファイル共有手法のことです。

本来利便性が高いものを使えなくしてしまうサイバー攻撃。エモテットによる被害が、こうした決断に至った背景のようです。

高いリテラシーを保つためには企業としてセキュリティの体制づくりが重要になってきます。


4/26 朝刊

「技術防衛 中小の体制強化」

経産省は先端技術や顧客情報が海外に流出するのを防ぐための中小企業の情報管理体制を強化するとの記事。
サプライチェーンからのサイバーアタックが増大している今、国が主導して取り組むことは非常に重要なことだと思います。
大手の取引基準にも組み込まれる可能性もあるとのこと。
認証取得の支援も弊社で行っていますので、お気軽にお問い合わせください。