2025年も多くの企業が、依然として多様なサイバー脅威にさらされています。
1月には、総合専門小売業を営むある企業が運営するアプリへの不正アクセスにより、約12万件以上の会員情報が漏えいしたという報道がありました。同時期には日本を代表する航空会社のシステムがサイバー攻撃によって一時混乱し、運航に遅延が生じたケースも取り上げられています。
サイバー脅威に対する向き合い方を再構築しなければならない中、富士ソフトのソリューション事業本部内で有志を募り、セキュリティ座談会を実施。SOC(Security Operation Center:企業の情報システムを監視する専門組織)に所属するスペシャリストや、実際の現場で企業の実態を見てきた担当者など、さまざまな立場から“セキュリティの今とこれから”を語りました。
本記事では、その座談会の様子を全7回の連載形式でお届けします。
参加メンバー
北村 明彦
ソリューション事業本部 インフラ事業部
川西 就
ソリューション事業本部 インフラ事業部 クラウドソリューション部
脇屋 徳尚
ソリューション事業本部 インフラ事業部
岩品 慶子
ソリューション事業本部 インフラ事業部 インフライノベーション部
櫻井 秀憲
ソリューション事業本部 インフラ事業部
――まずは自己紹介をお願いします。
北村:北村と申します。プリセールスエンジニアグループでプリセールスエンジニアをしています。オンプレからクラウドまで広い範囲を担当しています。
川西:川西です。プリセールスエンジニアグループではないですが、ほとんど毎日プリセールスのような動きをしています(笑)。お客様の環境に合わせて「セキュリティをどうしていくべきか」という議論を日々深めており、2024年は60社近いお客様に提案をしています。
私は関西の拠点に在籍しています。関西の市場は、ニュースではセキュリティ関連の話題が一部で加熱しているものの、実際には多くの人が“対岸の火事”といった感覚で受け止めているように感じます。現在は、大阪・関西万博への対応に意識が向いている印象です。
櫻井:セキュリティソリューション室の櫻井と申します。社内のセキュリティ監視、および監視で見つかったアラートの危険性の確認・対処をしています。また、関係機関からセキュリティに関するご連絡があった場合は、社内のセキュリティ部門と連携して調査に協力しています。要するに、SOCとCSIRT(Computer Security Incident Response Team:セキュリティ事故対応チーム)の両方の機能を持つイメージです。
私もプリセールスのようなこともしており、2024年は2、30社ほどご提案しています。社内だけでなく、お客様向けにセキュリティ運用の支援も行っており、SOC・CSIRTのサービス提供や、セキュリティ教育のご支援も担当しています。
岩品:インフライノベーション部の岩品と申します。元々はVMware Cloud on AWSで、実案件に参画したりプリセールスのような活動をしたりしていました。その繋がりで、ここ1年半ぐらいはVMware Cloud on AWSのGoogle Cloud版ともいえるGoogle Cloud VMware Engineを扱い始め、今はGoogle Cloud全般について、広くプリセールス的に活動したり、移行を考えているお客様向けに勉強会を開いたりしています。
脇屋:脇屋と申します。北村さんと同じく、プリセールスエンジニアグループで働いています。主にMicrosoft Azure担当として各プロジェクトに参画していましたが、今はAWSなどほかのクラウド案件を担当することもあり、マルチクラウドに携わっています。
1ドルで攻撃できる時代
――最近、セキュリティについて変わったと感じことを教えてください。
櫻井:日本ネットワークセキュリティ協会(JNSA)が公開している報告書 (図1)では、ランサムウェア被害に遭った企業の約6割が中小企業だというデータがあります。また、警察庁が公開しているデータ(図2)でもサイバー攻撃全体の公表件数が右肩上がりで増えていることが分かります。
図1:サイバー攻撃を受けるとお金がかかる~インシデント損害額調査レポートから考えるサイバー攻撃の被害額~(JNSA)を参考に作成
図2:「令和6年におけるサイバー空間をめぐる脅威の情勢等について」(警察庁)を参考に作成
つまり、ネームバリューのある企業や、いわゆる大企業だから狙うというわけではなく、攻撃者が“狙えるところがあったら狙え”という風潮にシフトしているように思います。
北村:背景には、攻撃ツールの低価格化があります。極端な話、1ドルで攻撃できる時代なので、数を打てば当たるという発想が通用する状況です。テンプレート化して自動化ツールで大量配信もできるため、1回あたりのコストは極端に抑えられます。ChatGPTなどの生成AIも普及しているので、たとえば悪意のあるメール文章の作成コストも、さらに安価になりました。
櫻井:攻撃するためのツール一式と、企業の弱点がわかる情報さえ買ってくれば攻撃できてしまうのが現状です。攻撃用ツール・マニュアル・配信機能などがセットになって販売されていて、攻撃の敷居はぐっと下がっています。つまり、サイバー攻撃がビジネスとして成立してしまっているのです。
RaaS(Ransomware as a Service:ランサムウェアを“サービス”として提供するビジネスモデル)という言葉もありますが、初期費用はほぼゼロで成果報酬型のスキームを提供し、月額10ドル以下のサブスクリプション形式で提供されていた事例もあります。
北村:特に中小企業は、対応体制やガバナンスの整備が追いついていない場合も多く、攻撃者から見ると“身代金を支払ってくれそうな相手”と判断されがちです。
櫻井:セキュリティ対策が不十分な場合、万が一被害に遭った際に適切な判断や対応ができないことも考えられます。
現在は、“弱点があったら簡単に狙われる”という状況にあり、組織としてセキュリティ対応力を高めることが求められています。とはいえ、セキュリティ対策に無制限にコストをかけられるわけではありません。限られたコストの中で何を優先すべきか、どこまで対応すべきか——。多くの企業が、“最適なセキュリティ対策とは何か”を常に模索しているのが実情です。
狙われる“中小企業”とは
――中小企業といっても幅がありますが、具体的にどの程度の規模が狙われやすいのでしょうか。
櫻井:明確な定義はありませんが、資本金又は出資の総額が3億円以下、従業員数が300人以下の企業でも、今は狙われるイメージがあります。
川西:コーポレートサイトなどを見ると、企業の規模感はある程度つかめます。サイトが公開されている以上、攻撃のリスクがゼロになることはありません。しかし、攻撃者側が内容を確認したうえで“情報的・経済的に見合わない”と判断すれば、あえて手を出さないケースも多いです。
――攻撃する側もコストや工数がかかっているため、あくまでビジネスとして費用対効果を考えて攻撃する対象を見極めているということですね。
北村:とはいえ、市場全体を見渡すと、企業規模にかかわらず、個人を含めた幅広い対象に攻撃が及んでいます。たとえばメールにおいては、ランサムウェアを添付したメッセージが大量に送信されており、誰もが標的になり得る状況といえます。今はAIを使えば外国語のメール文章も容易に生成できるため、無差別な攻撃も簡単に行われます。実際、多くはメールアドレスのリストに向けて機械的に一斉送信されているだけ、というケースも少なくありません。
櫻井:フィッシングメールを送るキットのような、アズアサービスを販売している人たちもいます。1回でもIDやパスワードが流出していたら、攻撃の対象になり得てしまうのが実態だと思います。
中小企業は“何もしない”、“何もできない”が正解?
――かけられる予算を考慮したとき、中小企業はどのような部分に注力して対策を打てばよいのでしょうか。
櫻井:たとえば、中小企業向けに、IPA(独立行政法人 情報処理推進機構)が「サイバーセキュリティお助け隊サービス」という検知、対応、保険がセットになった導入しやすいSOCサービスを展開しています。認定制度ですので、民間の事業者が提供可能です。弊社も提供しています(オフィスSOC / おうちSOCサービス)。IT導入補助金の対象にもなっており、経済産業省も普及を後押ししています。
小規模でも、たとえば大手自動車メーカー様のサプライチェーンに組み込まれるほどの技術力を持っている企業は少なくありません。その技術を守るために、国としても、このようなSOCサービスを広めたいという意識があるようです。
中小企業であっても「うちは狙われないから大丈夫」と軽く見ず、誇るべき技術や資産は守らなければなりません。攻撃者側のコストがぐっと低くなっている今、何らかの対策が必要不可欠です。まずは手頃な価格の対策サービスなど、取り掛かりやすい手段を知ることから始めるのがいいかと思います。
