DX戦略

日本企業を襲うランサムウェア攻撃。DX加速で増加するサプライチェーン攻撃のリスクと取るべき対策

PCの重要なデータを暗号化して使用できない状況にした上で、そのデータを復元する対価として身代金を要求するランサムウェア(身代金要求型ウイルス)。近年、このランサムウェアの被害が世界的に増加しています。あらゆる業種でDXが進む今日、どんな企業もサイバーセキュリティの知識は必須です。なぜここ数年でランサムウェアの被害が増えているのか? テレワークが一般化した時代はセキュリティのどんな点に気をつけるべきか? AIを活用した企業向けのサイバー攻撃対策を提供するサイバーリーズン・ジャパン株式会社で社長を務める山野 修氏に、セキュリティのいろはを伺いました。

ざっくりまとめ

- ランサムウェアとはPCに侵入して重要なデータを暗号化し、身代金を要求する悪意のあるプログラムのこと。従来の「侵入を防ぐ」セキュリティ対策では防ぎきれないため、これからは「侵入を前提にして被害を防ぐ」対策が必要となる。

- 日本語という言語の壁に守られていた日本は、海外からのサイバー攻撃が相対的に少なかった。しかし今後は、自動翻訳技術の向上と企業のDX推進により、攻撃が増加していく可能性がある。

- テレワークが当たり前の時代には、従来の「安全な社内」と「危険な社外」で切り分けるセキュリティ対策には限界がある。どんな状況も信頼しない性悪説に基づいた新しいセキュリティ対策が求められている。

従来のアンチウイルスソフトでは対応しきれない、ランサムウェアの脅威

――昨今のサイバーセキュリティの状況を教えてください。主にどのようなリスクが増加しているのでしょうか?

まず、日本の状況から説明します。日本はアンチウイルスソフトの普及率が高く、企業でもコンシューマーでも100%近い導入が進んでいます。特に企業内ではメールもフィルタリングして、添付ファイルを開くときもサンドボックス(※1)で開いてからダウンロードするなど、高度なセキュリティ体制が敷かれています。しかしそれでも、1/10万くらいの確率で穴を抜けてくるウイルスやマルウェア(※2)が存在します。なかでも多いのが、個々の相手に合わせてカスタマイズされたランサムウェアの被害です。ランサムウェアとは、侵入したPC内のデータを勝手に暗号化してしまい、身代金を要求するプログラムのことです。

※1 サンドボックス:隔離された領域でプログラムを実行することで、問題が発生した場合に、ほかのプログラムに影響を及ぼさないようにする仕組み。

※2 マルウェア:あらゆる種類の悪意のあるソフトウェアの総称。


ランサムウェアは相手に合わせて偽装した形で送られるので、従来のセキュリティでは見逃す危険性があります。侵入されてプログラムを実行した瞬間に隔離しないとその被害を防ぐことはできません。そこで有効なのがサイバーリーズンも提供している「EDR(Endpoint Detection and Response)」という手法です。従来のアンチウイルスソフトは既知の脅威にしか対応できません。すでに知られているウイルスやマルウェアには強いですが、未知の脅威には対応できない。EDRの特徴は、悪意のあるプログラムが行う一連の攻撃をパターン化してデータベース化していることです。侵入されたとしてもハッカーによる攻撃を早い段階で検知し、被害が拡大する前に阻止をする。敵の武器そのものを知っているのではなくて、攻撃手法をナレッジとして持っていることが強みです。

――後手の対応ではなく、侵入したプログラムが怪しい動きを見せた瞬間に反応する先手の対応ということですね。

例えば、PC内で悪意のあるプログラムがバックグラウンドでなんらかのコマンドを入力し始めた場合、従来のアンチウイルスソフトはこのコマンドが無害なのか有害なのか判別できません。しかし、EDRならコマンドを入力し始めた時点で、異常な振る舞いであると察知して対処することができます。

犯罪者が犯罪を犯してから逮捕するのではなく、犯罪をする人間に共通してみられる行動パターンを知っていれば未然の対応が可能です。ちなみに、ラスベガスのカジノにある監視カメラは客やディーラーの体温や脈拍も計測できるそうです。極端に脈拍の多い人物は不正を働く可能性が高いので、その時点でマークされるわけです。侵入対策を強固にするのではなく、侵入は100%防げないことを前提にして被害を未然に防ぐ。それがEDRの考え方です。

――ランサムウェアの被害増加には、どのような背景があるのでしょうか?

ランサムウェアについては「RaaS(Ransomware-as-a-Service)」という言葉が出てきました。かつて、ウイルスをつくるのは悪意のある一個人であり、攻撃自体も本人が行っていましたが、現在ランサムウェアについては分業体制が構築されています。ランサムウェアをつくり出す人物と、どこからか不正に入手した膨大な数のIDとPWのデータベースを持っている人物がいて、ダークウェブ(※3)上でそれらを販売しています。ダークウェブを通して、ランサムウェアのツールとデータベースを購入した人物が実行犯になるわけです。もちろん、ダークウェブ上のやり取りなのでそれぞれ面識はありません。

※3 ダークウェブ:通常のWebとは異なり、匿名性の高い特別なネットワーク上に構築されたWebサイトのこと。

さらに上手く身代金を入手できたら、その引き出し役も別に存在します。実行犯たちはそれぞれ独立しており横のつながりがないので、誰かが摘発されたとしても芋づる式に捕まるリスクがない。身代金も現金ではなくビットコインなどが使われるので、匿名性が高く足がつきにくい。犯罪者からすれば安全性が比較的担保された上で、成功すれば大金が手に入るということで、これからもランサムウェアの被害は増加していくでしょう。

自動翻訳技術の向上と企業のDXにより、日本も海外ハッカーからの標的に

――日本企業のセキュリティにはどのような課題がありますか?

これまで日本企業は海外のハッカーたちのターゲットになりにくい状況がありました。それは日本語という言語の壁に守られていたからです。ウイルスをつくる側からすれば、英語のように多くの地域で使われている言語のほうがメリットが大きい。日本の企業を狙うためにわざわざ日本語を学びウイルスをつくろうとする人間は少数派でした。しかし、最近は自動翻訳の技術が向上してマルチランゲージ化が一気に進みました。アジアのなかで考えれば日本はまだまだ経済大国です。そのため、日本企業は新しいターゲットとして狙われる可能性が高いといえます。事実ここ数年で、地方の病院がランサムウェアの被害にあったケースが複数報告されています。

また、日本のサプライチェーンも攻撃対象の一つです。先日も自動車メーカーの取引先がランサムウェアの被害にあって、自動車メーカーは国内すべての工場を停止させました。サプライチェーンには中小企業も多く含まれており、そういった企業は大企業に比べてセキュリティ対策も手薄になりがちです。自動車メーカー本体を狙うのではなく、取引先の中小企業をターゲットにしてサプライチェーン全体にダメージを与える。半導体の部品が一つでもそろわなければ車は組み立てられないので、たった1日の稼働停止が全体に大きな影響を与えてしまいます。完璧な生産体制が構築された日本企業はこの手法にも気をつける必要があります。

――国を挙げてDXを推進している今の状況では、どんな企業もセキュリティ意識を高める必要がありますね。

そうですね。DXとは単に紙をデジタルに置き換えることではなく、業務プロセスも含めてすべてをデジタル化することです。顧客やパートナーとの関係もすべてデジタル化される。しかし、デジタルでつながった瞬間にサイバー攻撃を受けるリスクも発生します。DXの時代にはセキュリティの強化も必須です。

テレワークの普及をきっかけに、セキュリティ対策のあり方を考える

――テレワークの普及により私物のPCを業務で使用するケースも増えましたが、ここにはどんな問題がありますか?

会社内で会社のPCを使って作業をするなら、ファイアウォールで守られておりWebのアクセスも管理されているので、大きなリスクはありません。しかし、自宅から私物のPCでインターネットにつなぐということは、ファイアウォールもなく、どんなWebにもアクセスできるため当然ウイルス感染のリスクは高まります。個人のPCにもパーソナルファイアウォールがありますが、企業のファイアウォールほどセキュリティは高くないので安心はできません。

私物のPCを使うときは、一度会社が用意したVPN(Virtual Private Network)に入ってから外部のWebにつなぐことを推奨されますが、面倒なのでダイレクトにWebに接続してしまい感染するケースがよくあります。これまでのセキュリティ対策は「安全な社内」と「危険な社外」という具合に境界で切り分けてきましたが、これからは社内外問わずすべての環境を信頼せずにセキュリティ対策を講じる「ゼロトラストセキュリティ」の概念が必要になってくるでしょう。

――では最後に、サイバーリーズンの今後の展望を教えてください。

EDRをさらに進化させた「XDR(Extended Detection and Response)」に注力していきます。XDRはEDRを包含しているもので、ネットワーク機器のログ情報やクラウドにあるアプリケーションのログ情報などを束ねて、より深いセキュリティ監視を可能にします。不正アクセスの被害にあって初めて気がつくのではなく、リアルタイムで監視して不正アクセスの被害前に兆候を見つけて阻止する。すでにEDRは日本一のシェアを持っているサイバーリーズンですが、このEDRの技術をベースにより広範なセキュリティ監視を実現していきます。
山野 修
サイバーリーズン・ジャパン株式会社 社長

東京工業大学 大学院で制御工学の修士号を取得(1984年)し、スタンフォード大学ビジネススクールでExecutive Programを修了(2001年)。 1984年に米AT&T Bell Laboratoriesでキャリアをスタートし、横河ヒューレット・パッカード、オートデスクを経て、1996年にコンピュータ・アソシエイツの会社設立に参画。1998年には日本RSAに入社し、翌年に社長に就任。その後、12年間RSAセキュリティで社長を務め、2010年よりEMCジャパンで執行役員副社長を経て、同社 代表取締役社長に就任。2016年よりマカフィー 代表取締役社長、2019年よりアカマイ・テクノロジーズ 職務執行者社長を務め、2022年4月よりサイバーリーズン・ジャパン株式会社に入社し、6月に同社の社長に就任。
※経歴に記載の社名は在籍時の名称。

人気記事

日本5社目のユニコーンと報じられた「Opn」。世界を舞台に急成長を遂げるフィンテック企業の展望とは

日本5社目のユニコーンと報じられた「Opn」。世界を舞台に急成長を遂げるフィンテック企業の展望とは

伝説の幻獣である「ユニコーン」になぞらえて、企業価値評価額の高いスタートアップを評する言葉、「ユニコーン企業」。アメリカや中国でその数が増え続けている一方で、日本では未だ、少ない状況にあります。そんななか、2022年5月にシリーズC+ラウンドで1億2,000万ドルを調達し、日本5社目のユニコーンと報じられた企業があります。それが創業からグローバルを視野に事業を営み、東京やバンコクなどアジア6カ国を拠点とするフィンテック企業、Opn株式会社です。 さらに資金調達と同時に、ビジョンと戦略を刷新。無駄を削ぎ落し、鋭さの増した同社の成功を支える組織とプロダクトの強み、次に目指す世界について、創業者であり、代表取締役CEOを務める長谷川 潤氏にお話を伺いました。

過疎地を救う? お手伝い×旅のプラットフォーム「おてつたび」による関係人口の増加

過疎地を救う? お手伝い×旅のプラットフォーム「おてつたび」による関係人口の増加

地域活性化や地方創生という言葉が聞かれ始めて久しい昨今。UIJターン移住者に向けて補助を行っても、少子高齢化などの課題改善が難しい地域もあります。そんな多くの自治体が抱える課題に「旅」という側面からアプローチをするのが、プラットフォーム「おてつたび」です。「お手伝いをして賃金を得ながら旅がしたい」と考える方と、「人手不足を解消しながら地域の魅力を伝えたい」と考える地域の方々をプラットフォーム上でマッチングすることで、地域の課題解決や活性化に貢献しています。 今回は、おてつたびを運営する、株式会社おてつたびの代表取締役 CEOである永岡 里菜氏に、お手伝いをしながら旅をすることが地方や人々に与える価値、今後おてつたびが地方創生に対して担う役割についてお話を伺いました。

東芝の舵を取る新社長 島田太郎氏が見据える復権の鍵に、立教大学ビジネススクール田中道昭教授が迫る【前編】

東芝の舵を取る新社長 島田太郎氏が見据える復権の鍵に、立教大学ビジネススクール田中道昭教授が迫る【前編】

2022年3月に東芝の代表執行役社長 CEOに就任した島田太郎氏。デジタル分野のトップを務めた島田氏は、「東芝でデジタルが分かる初めての社長」として就任時から大きな注目を集めています。 昨年開催された「Digital Shift Summit 2021」では「日本企業がデジタルシフトでGAFAに打ち勝つ方法」というテーマの鼎談に立教大学ビジネススクールの田中道昭教授と、デジタルホールディングス代表取締役会長の鉢嶺登氏とともに参加し、東芝および日本企業の未来についての展望を語っています。 島田氏は、日本を代表する企業である東芝でどのような事業を強化し、どう舵取りをしていくのか。東芝が目指すDXの形や、プライバシーを最優先した次世代のデータビジネスとはどのようなものなのか? また、東芝および日本企業がGAFAに打ち勝つためにできることとは。社長に就任した島田社長が抱くビジョンに迫ります。 前編は島田氏が社長に就任してからの変化、東芝が手がけるスマートレシート躍進の理由と将来の展望、ナノエコノミーの可能性などについてお話をうかがいます。

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国企業の最新動向から、DXのヒントを探っていく本連載。今回は、ガソリン車に代わるモビリティとして期待が高まるEV(Electric Vehicle=電気自動車)と、その核とも言える自動運転技術で世界をリードする中国の強さに迫ります。前編では「EV先進国」の名を欲しいままにしているその理由を、国の政策や技術の面から探ってきました。後編となる今回は、自動車産業に参入してきた新興メーカー3社を紹介するとともに、日本の立ち位置の考察、中国が抱える課題を話題に進めていきます。

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

国内でMaaS(Mobility as a Service)実証が活発化している。新たな交通社会を見据え、既存の交通サービスの在り方を見直す変革の時期を迎えているのだ。 交通社会は今後どのように変わっていくのか。MaaSの基礎知識について解説した上で、海外のMaaSに関する事例を参照し、その変化の方向性を探っていこう。

DX・カーボンニュートラル・量子コンピューティング。「人と、地球の、明日のために。」東芝ができること。東芝 島田太郎新社長×立教大学ビジネススクール田中道昭教授【後編】

DX・カーボンニュートラル・量子コンピューティング。「人と、地球の、明日のために。」東芝ができること。東芝 島田太郎新社長×立教大学ビジネススクール田中道昭教授【後編】

2022年3月に東芝の代表執行役社長 CEOに就任した島田太郎氏。デジタル分野のトップを務めた島田氏は、「東芝でデジタルが分かる初めての社長」として就任時から大きな注目を集めています。昨年開催された「Digital Shift Summit 2021」では「日本企業がデジタルシフトでGAFAに打ち勝つ方法」というテーマの鼎談に立教大学ビジネススクールの田中道昭教授と、デジタルホールディングス代表取締役会長の鉢嶺登氏とともに参加し、東芝および日本企業の未来についての展望を語っています。 島田氏は、日本を代表する企業である東芝でどのような事業を強化し、どう舵取りをしていくのか。東芝の考える顧客中心主義とは? 東芝の技術はカーボンニュートラルにどう寄与するのか? 島田社長が抱くビジョンに迫ります。 後編は東芝の「人と、地球の、明日のために。」という企業理念に込められた思い、島田社長の考えるリスキリングのあり方、量子コンピュータの持つ可能性などについてお話をうかがいます。

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

テクノロジーの力で子育てを変えていく。そんなミッションを掲げ、泣き声診断アプリや赤ちゃん向けスマートベッドライトなど、画期的なプロダクトを世に送り出してきたファーストアセント社。「CES2021 Innovation Awards」を受賞するなど、世界的に注目を集めるベビーテック企業である同社の強さの秘密とは。服部 伴之代表にお話を伺いました。

【Netflix徹底解剖】Netflix4.0、世界最先端のDX戦略を追う

【Netflix徹底解剖】Netflix4.0、世界最先端のDX戦略を追う

全世界での有料会員数が2億人を突破。飛ぶ鳥を落とす勢いで快進撃を続ける企業、Netflix。現在の利用者の中には、彼らの事業が店舗を持たないDVDオンライン郵送サービスからスタートしたことを知らない人もいるかもしれません。1997年、小さなスタートアップ企業として創業したNetflixはその後、DVDレンタルのサブスクリプション、動画ストリーミング配信のサブスクリプション、そして動画オリジナルコンテンツの配信と、デジタルを基盤に着実にビジネスを変革し、今や皆さんご存知の通り、デジタルコンテンツプラットフォームの王者へと成長を遂げています。今回の「世界最先端のデジタルシフト戦略」vol.4では、そのビジネストランスフォーメーションの変遷を立教大学ビジネススクール 田中道昭教授に徹底解剖していただきます。小さなスタートアップ企業であったNetflixがいかに王者となれたのか。その変革の奥にある秘訣とは。DXに取り組む日本企業も見習うべき一貫した姿勢に迫ります。

メンタルヘルス後進国、日本。DXはメンタルヘルスに貢献できるのか

メンタルヘルス後進国、日本。DXはメンタルヘルスに貢献できるのか

欧米に比べ大きく遅れているといわれる日本のメンタルヘルスを取り巻く環境。事実、欧米ではカウンセリングを受診した経験のある人は52%にも上りますが、日本では6%という低水準。先進国のなかで突出した自殺者数についても、厚生労働省は深刻な状況と受け止めています。 そんななか、β版での運用を終え、2022年7月5日に正式ローンチされた「mentally(メンタリー)」は、日本では敷居の高いメンタルヘルスに関する相談が気軽に行えるアプリ。株式会社Mentally 代表取締役CEOを務める西村 創一朗氏は、自身も過去に双極性障害(※)を乗り越えた経験を持っています。メンタルヘルス市場はDXによりどう変化していくのか。インタビューを通して、日本のメンタルヘルス市場の未来を紐解きます。 ※ 双極性障害:活動的な躁(そう)状態と、無気力なうつ状態を繰り返す障害。

新社長はベイシアをどう「尖らせる」のか。ベイシア社長 相木孝仁氏に立教大学ビジネススクール田中道昭教授が迫る【前編】

新社長はベイシアをどう「尖らせる」のか。ベイシア社長 相木孝仁氏に立教大学ビジネススクール田中道昭教授が迫る【前編】

ホームセンターのカインズにワークマン、東急ハンズなどをグループ会社に持つベイシアグループ。その中核をなすのが東日本をメインに展開する食品スーパー大手のベイシアです。広大なワンフロアの店舗で地域住民のニーズに応える圧倒的品揃えと価格を実現し、その動向は常に業界内での注目を集めています。今回の対談では、立教大学ビジネススクールの田中道昭教授と、今年7月にベイシアの新社長に就任された相木孝仁氏の二人が、新体制となったベイシアの独自戦略について意見を交わします。 前編は相木社長の経歴と社長就任までの経緯、ベイシアグループが標榜する「ハリネズミ経営」、高品質なプライベートブランド(PB)の開発および販売戦略、今後の出店戦略などについてお話をうかがいます。

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

テクノロジーの力で子育てを変えていく。そんなミッションを掲げ、泣き声診断アプリや赤ちゃん向けスマートベッドライトなど、画期的なプロダクトを世に送り出してきたファーストアセント社。「CES2021 Innovation Awards」を受賞するなど、世界的に注目を集めるベビーテック企業である同社の強さの秘密とは。服部 伴之代表にお話を伺いました。

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

国内でMaaS(Mobility as a Service)実証が活発化している。新たな交通社会を見据え、既存の交通サービスの在り方を見直す変革の時期を迎えているのだ。 交通社会は今後どのように変わっていくのか。MaaSの基礎知識について解説した上で、海外のMaaSに関する事例を参照し、その変化の方向性を探っていこう。

Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

「ユニコーン企業」ーー企業価値の評価額が10億ドル以上で設立10年以内の非上場企業を、伝説の一角獣になぞらえてそう呼ぶ。該当する企業は、ユニコーンほどに珍しいという意味だ。かつてのfacebookやTwitter、現在ではUberがその代表と言われている。この連載では、そんな海外のユニコーン企業の動向をお届けする。今回は欧米を中心に注目されている「代替肉」を扱う「インポッシブル・フーズ」を紹介する。

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国企業の最新動向から、DXのヒントを探っていく本連載。今回は、ガソリン車に代わるモビリティとして期待が高まるEV(Electric Vehicle=電気自動車)と、その核とも言える自動運転技術で世界をリードする中国の強さに迫ります。前編では「EV先進国」の名を欲しいままにしているその理由を、国の政策や技術の面から探ってきました。後編となる今回は、自動車産業に参入してきた新興メーカー3社を紹介するとともに、日本の立ち位置の考察、中国が抱える課題を話題に進めていきます。

デジタル戦略で生まれ変わるカインズ。ホームセンターからIT小売企業への変遷の軌跡【前編】

デジタル戦略で生まれ変わるカインズ。ホームセンターからIT小売企業への変遷の軌跡【前編】

生産労働人口の減少を受け、日本企業はいよいよ生き残りをかけたデジタル化に取り組まなければいけないと言われるフェーズに入ってきました。とはいえ、それができている企業とそうでない企業との差が激しくなっているのも現状です。 そんななか、ホームセンター大手カインズでは、40年かけて積み重ねてきたホームセンターとしてのあり方を見直し、IT小売企業として生まれ変わろうとしています。カインズでデジタル戦略本部長を務め、戦略の指揮をとる池照 直樹氏に、同社のデジタル戦略についてお話を伺いました。 前編は、カインズがどのようにしてデジタル化を実現させていったのか、具体的な取り組みを交えてお届けします。

Facebookも注目の「メタバース」とは何か? スマホ向けメタバース「REALITY」のDJ RIO氏に聞く

Facebookも注目の「メタバース」とは何か? スマホ向けメタバース「REALITY」のDJ RIO氏に聞く

Facebookが社名を変更し、中核事業に据えるほど力を入れる「メタバース」。2021年8月にはグリー株式会社が、今後2~3年で100億円規模の事業投資を行い、グローバルで数億ユーザーを目指すと発表しましたが、その中核を担うのが、グリー株式会社の子会社であり、これまでバーチャルライブ配信アプリを手がけてきたREALITY株式会社です。今回は、そんな同社の代表を務めるDJ RIO氏にインタビュー。そもそもメタバースとは何なのか。なぜこんなにも注目が集まっているのか。メタバースは、世界のあり方をどのように変えるのか。メタバース初心者のビジネスパーソンには必読のインタビューです。