Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

セキュリティを丸投げしても事故リスクは変わらない

日経XTECHに名和さんの記事が出ていました。中小企業にも重要情報がある事を経営者は知らないという困った指摘でした。

tech.nikkeibp.co.jp

学ぶ機会のない中小企業

 実際の中小企業のセキュリティ意識はどうなのか。名和氏は今年、40歳未満の中小企業の経営層や管理職が参加する公益社団法人日本青年会議所から個人として委託を受けて、会員1000社を対象に中小企業のサイバーセキュリティに関する意識調査を実施した。ITが自社の業務に必須かを尋ねたところ、「必須」と「一部必須」の合計が95.9%であり、中小企業であってもITと業務が不可分になっていて、インシデントが発生すれば事業停止のリスクを抱えていると分かった。

 セキュリティリスクをどう認識しているかを聞くと、1位は「経営者が経営リスクの1つとして認識している」で47.2%で、2位は「セキュリティリスクがよく分からない」で36.9%だった。経営リスクであるとの認識は広まっているものの、実際にセキュリティリスクの管理体制を構築しているかを質問すると、1位は「考えていない」で61.8%という結果だった。

(日経XTECH記事より引用)

 

◆キタきつねの所感

残念ながらこれが日本の中小企業の現状であり、政府がいくらサイバーセキュリティ経営に誘導しようとしても、少なくても中小企業レベルでは、未だに『コストが・・・』『メリットが・・・』と経営者が考えて尻ごみしてしまっているようです。

また、IT部門が1人情シス的な所も多く、経営者が高齢の場合、ITセキュリティに対する理解度が薄くなり、予算も人も廻ってこない事になっている。そうした実態を踏まえて、

 

まず必要なのは「何をすべきか」「どんな対策をするか」といった直接的な解を示すことではなく、経営層がサイバーセキュリティを我が事として認識できるような情報提供と啓蒙活動だ。(日経XTECH記事より引用)

 

と(記事中で)提言されている部分は、まさにその通りだと思います。

 

この件に関しての、名和さんの攻撃トレンドの発言も興味深いものがあります。

 名和氏は「海外のリポートを分析すると、SNSの広がりとサプライチェーンの末端(中小企業)への攻撃の増加がリンクしている印象だ」と話す。攻撃者は中小企業やその経営者が持つ情報を踏み台にして大企業や官公庁、議員のレピュテーションを下げようとするのだ。「どの人とどの人がつながっているかはSNSマッシュアップツールですぐ分かるし、移動情報も分かる。攻撃者が狙う『本丸』と3ホップで(3人の友だちを介して)つながる数百人を洗い出し、そこに標的型メールを送る。たいていは何人か開く」(名和氏)。アカウントハイジャックにしろドクシングにしろ、中小企業がますます「踏み台」にされているのだ。

(日経XTECH記事より引用)

 

サプライチェーンの踏み台については、日本年金機構でもそうでしたし、最近の標的型メールも関係者のアカウントを詐称あるいは、乗っ取ったものが増えてきています。こうした中で、国や企業の評判を貶める(事故による株価下落)ハッカーの狙いというのは、残念ながら日本においても成功し続けています。

 

記事では、発注元である大企業に対する苦言もかかれています。

 名和氏が「ありえない」と憤るケースがある。再々委託先の十数人の会社が発注元から420項目のセキュリティチェック項目を全て満たすように求められたのだ。名和氏には「書いている項目が分からない」と相談があった。「全部満たすと導入で3000万円、維持で年2000万円はかかる取り組みだった。必須なものもそうでないと思われるものも混在していたが。全て同じウエイトで書かれていた」。

 再々委託先ができない項目を「できない」と戻すと、改善が求められる。これが2回続いたという。

(日経XTECH記事より引用)

自社のサプライチェーンのセキュリティを強化するならば、予算を出すか、ガイドラインを作ったり・研修を主導したり、上記の会社が主導してあげる事がないと、ただ単に事故が発生した際の責任を回避する事だけを考えた、大企業側のエゴ、『責任の丸投げ体質』でしかありません。

それでいてコストダウンを下位の企業に要求するのであれば、下位の企業がどうするかは明白です。アンケートに『やっている(ALL YES)』と書くだけです。つまりサプライチェーンの安全性は書類上では守られている事になりますが、ハッカーから見れば脆弱性だらけでしかなく、標的側攻撃を受ける企業(本丸)の事故リスクはほとんど軽減されません

 

事故は起きる可能性が高く、大企業は自社のサプライチェーンを守るために、中小企業は自分たちのビジネスを守るために、経営層から担当まで、全体のセキュリティについてもう少し考え、防御だけでなく、検知・回復の視点で設計を再検討したり、高リスクへの集中対策、あるいは東京オリンピック予算の活用など、情報と知恵を結集すべき時期なのだと思います。

 

 

重要な書類のイラスト

 

更新履歴

  • 2018年10月7日AM(予約投稿)