ランサムウェア、怖っ!
企業の大切な資産を守るために、システムはどうあるべきなのか、考え方についてお話します。
中小企業が狙われる ランサムウェアの実態
ここ数年、ランサムウェアによって人質ならぬ"モノ質"のデータを取られた国内の大手製造業が、操業を停止せざるを得ない事態が発生しています。米国では石油やガスなど社会インフラを管理する企業が被害に遭うなど、「ランサムウェア、怖っ!」と思わされることが起きています。
「ああいうのは大手の企業が狙われるんでしょ」と思う方もいらっしゃるかもしれませんが、ランサムウェアの被害者は決して大手だけではないのです。
警察庁のデータでは、令和5年のランサムウェアの被害報告件数は103件/年で、届け出をした企業・団体等の内訳は、大企業=30件(29%)、中小企業=60件(58%)、その他の団体等が残りの13件(13%)です。中小企業の方が大企業より多いのです。
令和5年におけるサイバー空間をめぐる脅威の情勢等について
(出典:警察庁 令和5年におけるサイバー空間をめぐる脅威の情勢等について)
社会インフラのような生活に影響を及ぼす重要データをモノ質にしたほうが巨額の身代金を要求できるのではないかと思いますし、テロ対策素人としては、そのレベルの事態になれば、被害を受けた側もお金でなんとかしちゃうんじゃないかと思ってしまいます。
しかし実際のところ、社会的責任の大きな企業はサイバー攻撃に毅然と相対し、影響が大きければ大きいほど、国の組織と相談してきちんと対応していくようです。そのため大手企業や社会的影響が大きな企業のシステムを狙っていくのは、犯罪者側からすると「儲からない仕事」なのかもしれません。犯罪者やテロリストはそれをビジネスとしている訳ですから、もっと確実に儲けたい、リスクは最小限にしたいと思うに違いありません。その発想でいくと、むしろ対応の弱い中小企業の情報をモノ質に取って、ガッチリ稼ごうとするのでは......?「中小企業は狙われないから大丈夫」と油断してはいけないということが、警察庁のデータからも見えてきます。
統計データは実際に起きたこと全てを集計した数値ではありませんから、警察庁がまとめているデータから読み取れる被害は恐らく氷山の一角。被害届のないトラブルはカウントされません。泣き寝入りやお金で解決しているケースも統計には計上されていないでしょう。統計上のデータが103件/年......仮に実際その5~10倍あったとすると、500~1000件/年となります。
もしかしたら中小企業ほど、泣き寝入りやお金で解決しているのではないか、訴えをしていないことが多いのではないか......と考えていくと、いよいよ「ランサムウェア、怖っ!」ですよね。
社内の知見者に聞いてみたところ、ランサムウェアは、コンピュータシステムの中でも、アプリケーションのデータ=業務データやプログラムではなく、システムのデータ=オペレーティングシステム(OS)やシステムの重要ファイルをモノ質として取るようです。しかも、システムの中枢を成すサーバがランサムウェアの被害に遭うと、社内のシステムがすべて停止する事態に陥るとのこと!
朝出勤していつも通りタイムカードを打ったのに、その時間が記録されなかったら、この時点でプチパニックになります。とはいえとりあえず着替えて、自分の机に座ってパソコンを立ち上げ、さあ仕事を始めようとする......と、社内システムが停止している。この状況はプチパニックでは済みません。トラックは荷物を積んで会社に到着していて、入庫の処理や今日出荷する品の処理をシステム上で行う必要があるのに、倉庫ではモノの受入れができず出荷の指示が来ない。現場では生産計画が見られない、担当者には生産指示がやってこない。製造業としてはひん死の状態ですよね......。
このような状況に陥ってしまうと「時すでに遅し」。警察に泣きつくか、犯人にお金を払って何とかするか、いつものコンピュータシステムを使わずに何とかするかの三択になるでしょう。
クラウド=危険はもう古い
「ランサムウェアやウィルスなどいろいろあるけれど、社内に"鉄壁のセキュリティシステム"をオンプレミスで作れば大丈夫。それに比べてクラウドはどこにあるかわからないし、そもそもインターネットに繋がっている時点でリスクと隣合わせじゃん?」とお考えの方もいるでしょう。ですが、最近は事情が変わりつつあります。
オンプレミスシステムあるいはIaaS上に構築したシステムを自社で運用する場合、また自社に構築したシステムを外部のIT企業に運用してもらう場合、まずネットワークを構成するためのルータを設置します。そもそもこれが高価な代物ですよね。さらにセキュリティを担保するためには、システムを配置するサーバや利用端末となる社内のパソコンそれぞれに対してウィルス対策ソフトを導入したり、ネットワーク上の機器をパトロールする仕組みを構築したり。従来の業務システムのセキュリティ対策には、お金と手間がとてもかかります。
一方のクラウドシステム、厳密にはSaaS......つまり自社にシステムを構築するのではなく、IT企業が提供するサービスを利用するだけのスタンスの場合、まず、周辺機器の準備費用や手間はかかりません。でもその分セキュリティリスクが高いんじゃないの?と思うかもしませんが、今やSaaSのセキュリティレベルは大幅に進化を遂げています。
たとえば、当社の製造業向けSaaS「UM Saas Cloud」シリーズは、セールスフォース・ジャパン様が提供している世界的業務システムプラットフォーム「Salesforce」上に構築されています。このプラットフォームは、システムが止まると国の存亡に関わったり、市民生活に大きな影響を及ぼしたりする公的な機関や団体も含め、世界中の様々な企業が利用しています。
プラットフォームが停止することで、世界の秩序と経済にとんでもない大惨事を巻き起こしてしまいかねないわけですから、運営側はとにかくサイバーテロの被害に遭わないために、膨大なお金と人手をかけて万全のセキュリティを確保しています。そして、世界的なプラットフォーマのセキュリティに費やせるお金と人手が、一企業が限られた予算、人材から当てられるそれとは次元が違うのは、想像に難くないでしょう。
では改めて、オンプレミスとクラウド(SaaS)、どちらが安全なのでしょうか。
答えは簡単ですよね。
ITの世界は「分進秒歩」です。企業の大切な資産を守るために、システムはどうあるべきなのか、考え方をアップデートする時がきていると感じています。