狙われているのは、大企業だけではない

この数年で世界情勢は大きく変わっています。
国家間の対立はもとより、新しい形での武装組織の拡大、イデオロギーや宗教だけでない様々な価値観の対立、貧富の拡大、個人による大規模破壊活動の可能性など、今までにないさまざまなリスクが顕在化しています。

2012年にロンドンで開催された国際競技大会ではDoS攻撃と呼ばれるWebサイトや施設の照明施設設備などへの大規模な攻撃が発生しました。それから3年が経過し、2020年の開催が決定した今、日本におけるサイバー攻撃の脅威はますます拡大し、政府も対応に本腰をいれつつあります。

果たして今、何が起きているのか。企業活動への影響はどれくらいのものなのか。
今、何をすべきなのか。社会インフラに関わる全ての企業に求められるサイバーセキュリティについて、緊急レポートします。

サイバー攻撃の手法はますます巧妙化、高度化し、今や「サイバー攻撃を受けたことのある企業」と「攻撃を受けたことに気づいていない企業」の2つしかないとまで言われています。しかしながら個人情報漏えいなどと違い、サイバー攻撃被害のリスクについてはあまり認知されていません。

個人情報漏えいが発生した場合、個人情報取扱事業者にはその事実を監督官庁に報告する義務がありますし、対象となる各個人にも知らせる必要があります。しかしながらサイバー攻撃被害についてはそのような義務や必要性が無く、なかなか事実公表がされないのも、リスク認知が進まない一因と言えます。

「攻撃を受けたことに気づいていない企業」は、まずそのリスク認知から始めなければなりません。

従来日本は、先進国の中でも最もサイバーセキュリティへの取り組みが遅れていると言われており、そのような汚名の払拭は国家レベルの課題でもありました。 そして2014年11月6日に『サイバーセキュリティ基本法』が可決、成立しています。また同法に従い、官房長官を本部長とする『サイバーセキュリティ戦略本部』も設置され、サイバーセキュリティ対策への取り組みを本格化させています。
これによりサイバーセキュリティを国の責務として明記し、各省庁横断で対処する体制が整いました。

このような動きの背景には、2020年に東京で予定している国際競技大会の開催に際して、大量のサイバー攻撃が予想されること、攻撃対象が制御システム分野へ広がっており、社会インフラへの影響が懸念されることが挙げられます。

サイバー攻撃の目的やその対象はさまざまですが、最も守らなければいけないのはエネルギーや情報通信、交通や医療、金融、物流といった社会インフラです。内閣サイバーセキュリティセンターの情報セキュリティ政策会議では「重要インフラの情報セキュリティ対策に係る第3次行動計画」の中で、重要インフラを13の分野で指定しています。

このような重要インフラを守ることがサイバーセキュリティのもっとも大きな目的ではありますが、攻撃対象は必ずしも重要インフラのみに留まりません。 重要インフラ自体はそれなりに対策も実施されており、なかなか侵入することは難しいでしょう。
そうなると狙われるのは周辺システムやサプライチェーンに関わる外部関係者など、つまり「弱そうなところ」が狙われるということです。

重要インフラにわずかながらでも関連している企業は、サイバーセキュリティ対策に取り組む必要があります。 具体的には重要インフラを担う企業と同じグループ企業や、設備部品や情報システムの納入企業、そのような設備や情報システムの保守点検を担当する企業、さらにその周辺にいる企業など、攻撃経路と思われるすべての企業が攻撃対象となり得ます。

サイバー攻撃の目的が社会的混乱にあるとすれば、ターゲットは必ずしも重要インフラとは限りません。大規模イベントや大型商業施設などへの攻撃は、アピールの強さと言う点では大いに想定されるところです。

また、自動車部品など、多くの商品に搭載される部品を製造する工場への攻撃により、サプライチェーンを破壊し、最終製品の供給がストップさせたり、また、部品に組み込まれたソフトウェアへの侵入により、多くの商品の誤動作を引き起こしたり、といった攻撃なども予想されます。

制御系システムでは、その多くがインターネットには接続されていないためリスクは無い、と考えるのは間違いです。情報を盗み出すという目的ではなく、破壊や改ざんという目的であれば、常時ネットワークに接続された形態は必要ありません。一旦入り込んでしまえば、自律的に動作し、攻撃することが可能です。

例えば、個人所有のデバイスが決して接続されないと言い切れるでしょうか？
業務用デバイスが個人の用途で利用されないと言い切れるでしょうか？
何気なくフロアに置かれていたUSBメモリを誰も使わないと言い切れるでしょうか？
善意を装って送られてきたCDを絶対に読み込まないと言えるでしょうか？

独立した制御系システムでも、そこに何かしらのデバイスが接続され、そのデバイスが別のネットワークに接続されたり、規定された用途以外で使われたりする場合、侵入されるリスクはゼロではないのです。

現在、産業用オートメーション及び制御系システム（Industrial Automation and Control System：IACS）においては、サイバーセキュリティのマネジメントシステムであるCSMS（Cyber Security Management System）認証基準とその認証制度を設けています。
つまり、この認証を受けているか否かが調達条件になる可能性があります。

このような取り組みは、今後、他の分野にも広がる可能性もあります。そうなってくるとサイバーセキュリティの取り組みが実際のビジネスにインパクトを持つことになります。

サイバー攻撃による破壊活動は、自社の生産活動や製品供給に直接的な影響を及ぼします。
また、その影響がサプライチェーンや地域社会にも及ぶ場合には社会的責任も問われるでしょう。まずは、そのような現状認識とリスク認識をきちんと持つところからスタートする必要があります。

そういう意味でサイバーセキュリティは、大きな経営課題の一つとも言えます。
攻撃から社内の情報資産をどのように守っていくのか、攻撃をいかに早期検知・防御するか、万が一被害に遭った場合、取引先へ被害を与える可能性はないかなど、今、企業は非常に難しく大きな課題を突きつけられています。