DX戦略

日本企業を襲うランサムウェア攻撃。DX加速で増加するサプライチェーン攻撃のリスクと取るべき対策

PCの重要なデータを暗号化して使用できない状況にした上で、そのデータを復元する対価として身代金を要求するランサムウェア(身代金要求型ウイルス)。近年、このランサムウェアの被害が世界的に増加しています。あらゆる業種でDXが進む今日、どんな企業もサイバーセキュリティの知識は必須です。なぜここ数年でランサムウェアの被害が増えているのか? テレワークが一般化した時代はセキュリティのどんな点に気をつけるべきか? AIを活用した企業向けのサイバー攻撃対策を提供するサイバーリーズン・ジャパン株式会社で社長を務める山野 修氏に、セキュリティのいろはを伺いました。

ざっくりまとめ

- ランサムウェアとはPCに侵入して重要なデータを暗号化し、身代金を要求する悪意のあるプログラムのこと。従来の「侵入を防ぐ」セキュリティ対策では防ぎきれないため、これからは「侵入を前提にして被害を防ぐ」対策が必要となる。

- 日本語という言語の壁に守られていた日本は、海外からのサイバー攻撃が相対的に少なかった。しかし今後は、自動翻訳技術の向上と企業のDX推進により、攻撃が増加していく可能性がある。

- テレワークが当たり前の時代には、従来の「安全な社内」と「危険な社外」で切り分けるセキュリティ対策には限界がある。どんな状況も信頼しない性悪説に基づいた新しいセキュリティ対策が求められている。

従来のアンチウイルスソフトでは対応しきれない、ランサムウェアの脅威

――昨今のサイバーセキュリティの状況を教えてください。主にどのようなリスクが増加しているのでしょうか?

まず、日本の状況から説明します。日本はアンチウイルスソフトの普及率が高く、企業でもコンシューマーでも100%近い導入が進んでいます。特に企業内ではメールもフィルタリングして、添付ファイルを開くときもサンドボックス(※1)で開いてからダウンロードするなど、高度なセキュリティ体制が敷かれています。しかしそれでも、1/10万くらいの確率で穴を抜けてくるウイルスやマルウェア(※2)が存在します。なかでも多いのが、個々の相手に合わせてカスタマイズされたランサムウェアの被害です。ランサムウェアとは、侵入したPC内のデータを勝手に暗号化してしまい、身代金を要求するプログラムのことです。

※1 サンドボックス:隔離された領域でプログラムを実行することで、問題が発生した場合に、ほかのプログラムに影響を及ぼさないようにする仕組み。

※2 マルウェア:あらゆる種類の悪意のあるソフトウェアの総称。


ランサムウェアは相手に合わせて偽装した形で送られるので、従来のセキュリティでは見逃す危険性があります。侵入されてプログラムを実行した瞬間に隔離しないとその被害を防ぐことはできません。そこで有効なのがサイバーリーズンも提供している「EDR(Endpoint Detection and Response)」という手法です。従来のアンチウイルスソフトは既知の脅威にしか対応できません。すでに知られているウイルスやマルウェアには強いですが、未知の脅威には対応できない。EDRの特徴は、悪意のあるプログラムが行う一連の攻撃をパターン化してデータベース化していることです。侵入されたとしてもハッカーによる攻撃を早い段階で検知し、被害が拡大する前に阻止をする。敵の武器そのものを知っているのではなくて、攻撃手法をナレッジとして持っていることが強みです。

――後手の対応ではなく、侵入したプログラムが怪しい動きを見せた瞬間に反応する先手の対応ということですね。

例えば、PC内で悪意のあるプログラムがバックグラウンドでなんらかのコマンドを入力し始めた場合、従来のアンチウイルスソフトはこのコマンドが無害なのか有害なのか判別できません。しかし、EDRならコマンドを入力し始めた時点で、異常な振る舞いであると察知して対処することができます。

犯罪者が犯罪を犯してから逮捕するのではなく、犯罪をする人間に共通してみられる行動パターンを知っていれば未然の対応が可能です。ちなみに、ラスベガスのカジノにある監視カメラは客やディーラーの体温や脈拍も計測できるそうです。極端に脈拍の多い人物は不正を働く可能性が高いので、その時点でマークされるわけです。侵入対策を強固にするのではなく、侵入は100%防げないことを前提にして被害を未然に防ぐ。それがEDRの考え方です。

――ランサムウェアの被害増加には、どのような背景があるのでしょうか?

ランサムウェアについては「RaaS(Ransomware-as-a-Service)」という言葉が出てきました。かつて、ウイルスをつくるのは悪意のある一個人であり、攻撃自体も本人が行っていましたが、現在ランサムウェアについては分業体制が構築されています。ランサムウェアをつくり出す人物と、どこからか不正に入手した膨大な数のIDとPWのデータベースを持っている人物がいて、ダークウェブ(※3)上でそれらを販売しています。ダークウェブを通して、ランサムウェアのツールとデータベースを購入した人物が実行犯になるわけです。もちろん、ダークウェブ上のやり取りなのでそれぞれ面識はありません。

※3 ダークウェブ:通常のWebとは異なり、匿名性の高い特別なネットワーク上に構築されたWebサイトのこと。

さらに上手く身代金を入手できたら、その引き出し役も別に存在します。実行犯たちはそれぞれ独立しており横のつながりがないので、誰かが摘発されたとしても芋づる式に捕まるリスクがない。身代金も現金ではなくビットコインなどが使われるので、匿名性が高く足がつきにくい。犯罪者からすれば安全性が比較的担保された上で、成功すれば大金が手に入るということで、これからもランサムウェアの被害は増加していくでしょう。

自動翻訳技術の向上と企業のDXにより、日本も海外ハッカーからの標的に

――日本企業のセキュリティにはどのような課題がありますか?

これまで日本企業は海外のハッカーたちのターゲットになりにくい状況がありました。それは日本語という言語の壁に守られていたからです。ウイルスをつくる側からすれば、英語のように多くの地域で使われている言語のほうがメリットが大きい。日本の企業を狙うためにわざわざ日本語を学びウイルスをつくろうとする人間は少数派でした。しかし、最近は自動翻訳の技術が向上してマルチランゲージ化が一気に進みました。アジアのなかで考えれば日本はまだまだ経済大国です。そのため、日本企業は新しいターゲットとして狙われる可能性が高いといえます。事実ここ数年で、地方の病院がランサムウェアの被害にあったケースが複数報告されています。

また、日本のサプライチェーンも攻撃対象の一つです。先日も自動車メーカーの取引先がランサムウェアの被害にあって、自動車メーカーは国内すべての工場を停止させました。サプライチェーンには中小企業も多く含まれており、そういった企業は大企業に比べてセキュリティ対策も手薄になりがちです。自動車メーカー本体を狙うのではなく、取引先の中小企業をターゲットにしてサプライチェーン全体にダメージを与える。半導体の部品が一つでもそろわなければ車は組み立てられないので、たった1日の稼働停止が全体に大きな影響を与えてしまいます。完璧な生産体制が構築された日本企業はこの手法にも気をつける必要があります。

――国を挙げてDXを推進している今の状況では、どんな企業もセキュリティ意識を高める必要がありますね。

そうですね。DXとは単に紙をデジタルに置き換えることではなく、業務プロセスも含めてすべてをデジタル化することです。顧客やパートナーとの関係もすべてデジタル化される。しかし、デジタルでつながった瞬間にサイバー攻撃を受けるリスクも発生します。DXの時代にはセキュリティの強化も必須です。

テレワークの普及をきっかけに、セキュリティ対策のあり方を考える

――テレワークの普及により私物のPCを業務で使用するケースも増えましたが、ここにはどんな問題がありますか?

会社内で会社のPCを使って作業をするなら、ファイアウォールで守られておりWebのアクセスも管理されているので、大きなリスクはありません。しかし、自宅から私物のPCでインターネットにつなぐということは、ファイアウォールもなく、どんなWebにもアクセスできるため当然ウイルス感染のリスクは高まります。個人のPCにもパーソナルファイアウォールがありますが、企業のファイアウォールほどセキュリティは高くないので安心はできません。

私物のPCを使うときは、一度会社が用意したVPN(Virtual Private Network)に入ってから外部のWebにつなぐことを推奨されますが、面倒なのでダイレクトにWebに接続してしまい感染するケースがよくあります。これまでのセキュリティ対策は「安全な社内」と「危険な社外」という具合に境界で切り分けてきましたが、これからは社内外問わずすべての環境を信頼せずにセキュリティ対策を講じる「ゼロトラストセキュリティ」の概念が必要になってくるでしょう。

――では最後に、サイバーリーズンの今後の展望を教えてください。

EDRをさらに進化させた「XDR(Extended Detection and Response)」に注力していきます。XDRはEDRを包含しているもので、ネットワーク機器のログ情報やクラウドにあるアプリケーションのログ情報などを束ねて、より深いセキュリティ監視を可能にします。不正アクセスの被害にあって初めて気がつくのではなく、リアルタイムで監視して不正アクセスの被害前に兆候を見つけて阻止する。すでにEDRは日本一のシェアを持っているサイバーリーズンですが、このEDRの技術をベースにより広範なセキュリティ監視を実現していきます。
山野 修
サイバーリーズン・ジャパン株式会社 社長

東京工業大学 大学院で制御工学の修士号を取得(1984年)し、スタンフォード大学ビジネススクールでExecutive Programを修了(2001年)。 1984年に米AT&T Bell Laboratoriesでキャリアをスタートし、横河ヒューレット・パッカード、オートデスクを経て、1996年にコンピュータ・アソシエイツの会社設立に参画。1998年には日本RSAに入社し、翌年に社長に就任。その後、12年間RSAセキュリティで社長を務め、2010年よりEMCジャパンで執行役員副社長を経て、同社 代表取締役社長に就任。2016年よりマカフィー 代表取締役社長、2019年よりアカマイ・テクノロジーズ 職務執行者社長を務め、2022年4月よりサイバーリーズン・ジャパン株式会社に入社し、6月に同社の社長に就任。
※経歴に記載の社名は在籍時の名称。

人気記事

イトーヨーカドーの未来を左右する、新社長の店舗・組織変革の勝算。イトーヨーカ堂社長 山本哲也氏に立教大学ビジネススクール田中道昭教授が迫る【前編】

イトーヨーカドーの未来を左右する、新社長の店舗・組織変革の勝算。イトーヨーカ堂社長 山本哲也氏に立教大学ビジネススクール田中道昭教授が迫る【前編】

2020年、創業100周年を迎えた株式会社イトーヨーカ堂。ロシアのウクライナ侵攻に、進む円高と物価高など厳しい経済状況の中、今年3月に社長に就任した山本哲也氏は「信頼と誠実」を掲げ、商売の原点に立ち返ることを標榜しています。イトーヨーカドーはどのように変わるのか? これからの時代のスーパーに求められる形とは? 立教大学ビジネススクールの田中道昭教授との対談をお届けします。 前編は山本社長が社長に就任した経緯、2000年以降業績が落ち込んだ原因の分析、そして現在進行中の新しい売り場づくりの施策などについてお話をうかがいます。

山口周氏に訊く、アフターコロナで企業と個人の関係はどう変わるか。

山口周氏に訊く、アフターコロナで企業と個人の関係はどう変わるか。

新型コロナウイルス感染症の規制緩和が進むなか、オフィス勤務に戻る企業やリモートワークを続ける企業、リアルとリモートのハイブリット型を試みる企業など、会社や経営者の考え方の違いによって、働き方はより多様化してきています。一方で、いずれかの働き方を決定しても、そのスタイルで果たして本当によいのだろうかと思案する経営者も多いようです。 従来のオフィスワークとリモートワークという二つのスタンダードが両立する時代において、人々の生き方・働き方、そして企業と個人の関係はどのようになっていくのでしょうか? 仕事や働き方について数多くの著書を持ち、アートや哲学にも造詣の深い山口 周氏に、デジタルホールディングス グループCHRO(最高人事責任者)を務める石綿 純氏がさまざまな視点からお話を伺いました。

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国企業の最新動向から、DXのヒントを探っていく本連載。今回は、ガソリン車に代わるモビリティとして期待が高まるEV(Electric Vehicle=電気自動車)と、その核とも言える自動運転技術で世界をリードする中国の強さに迫ります。前編では「EV先進国」の名を欲しいままにしているその理由を、国の政策や技術の面から探ってきました。後編となる今回は、自動車産業に参入してきた新興メーカー3社を紹介するとともに、日本の立ち位置の考察、中国が抱える課題を話題に進めていきます。

大手各社が黒字化に苦悩するネットスーパーとイトーヨーカ堂のコミュニティ戦略に迫る。イトーヨーカ堂 山本哲也社長×立教大学ビジネススクール田中道昭教授【後編】

大手各社が黒字化に苦悩するネットスーパーとイトーヨーカ堂のコミュニティ戦略に迫る。イトーヨーカ堂 山本哲也社長×立教大学ビジネススクール田中道昭教授【後編】

2020年、創業100周年を迎えた株式会社イトーヨーカ堂。ロシアのウクライナ侵攻に、進む円高と物価高など厳しい経済状況の中、今年3月に社長に就任した山本哲也氏は「信頼と誠実」を掲げ、商売の原点に立ち返ることを標榜しています。イトーヨーカドーはどのように変わるのか? これからの時代のスーパーに求められる形とは? 立教大学ビジネススクールの田中道昭教授との対談をお届けします。 後編は総合スーパーならではの売り場づくりの工夫、各社が黒字化に苦悩するネットスーパー戦略、イトーヨーカドーが目指す地域インフラの姿、社会課題の解決についてお話をうかがいます。

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

国内でMaaS(Mobility as a Service)実証が活発化している。新たな交通社会を見据え、既存の交通サービスの在り方を見直す変革の時期を迎えているのだ。 交通社会は今後どのように変わっていくのか。MaaSの基礎知識について解説した上で、海外のMaaSに関する事例を参照し、その変化の方向性を探っていこう。

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

テクノロジーの力で子育てを変えていく。そんなミッションを掲げ、泣き声診断アプリや赤ちゃん向けスマートベッドライトなど、画期的なプロダクトを世に送り出してきたファーストアセント社。「CES2021 Innovation Awards」を受賞するなど、世界的に注目を集めるベビーテック企業である同社の強さの秘密とは。服部 伴之代表にお話を伺いました。

注目を集める「ファッション×メタバース」。アンリアレイジの挑戦を追う<前編>

注目を集める「ファッション×メタバース」。アンリアレイジの挑戦を追う<前編>

2022年3月24日から27日の期間に開催された「メタバースファッションウィーク(※)」に、日本のファッションブランドとして唯一の参加を果たした「アンリアレイジ」。昨年公開された映画『竜とそばかすの姫』では主人公すずのアバター「ベル」の衣装をデザインしたことで大きな話題を呼びました。さらに同年に開催された2022年春夏のパリコレクションでは、その手がけた衣装をリアルとバーチャルの世界で作品として発表するなど、既存のファッションの枠組みにとらわれない活動で業界に新たな風を吹き込んでいます。前編では、ファッション産業とメタバースの関係を軸に、バーチャル上での服づくりの難しさや、NFTが持つ価値の源泉についてなど、デザイナー 森永 邦彦氏のファッション観に着目して多方面からお話を伺いました。 ※ メタバースファッションウィーク:VRプラットフォーム「ディセントラランド」を舞台に開催されたファッションイベント。「ドルチェ&ガッバーナ」、「エトロ」、「トミー ヒルフィガー」など人気の50ブランドが参加した。

【Netflix徹底解剖】Netflix4.0、世界最先端のDX戦略を追う

【Netflix徹底解剖】Netflix4.0、世界最先端のDX戦略を追う

全世界での有料会員数が2億人を突破。飛ぶ鳥を落とす勢いで快進撃を続ける企業、Netflix。現在の利用者の中には、彼らの事業が店舗を持たないDVDオンライン郵送サービスからスタートしたことを知らない人もいるかもしれません。1997年、小さなスタートアップ企業として創業したNetflixはその後、DVDレンタルのサブスクリプション、動画ストリーミング配信のサブスクリプション、そして動画オリジナルコンテンツの配信と、デジタルを基盤に着実にビジネスを変革し、今や皆さんご存知の通り、デジタルコンテンツプラットフォームの王者へと成長を遂げています。今回の「世界最先端のデジタルシフト戦略」vol.4では、そのビジネストランスフォーメーションの変遷を立教大学ビジネススクール 田中道昭教授に徹底解剖していただきます。小さなスタートアップ企業であったNetflixがいかに王者となれたのか。その変革の奥にある秘訣とは。DXに取り組む日本企業も見習うべき一貫した姿勢に迫ります。

自動車大国・日本がついに中国EV車を輸入。脅威の中国EVメーカー最新事情・前編 【中国デジタル企業最前線】

自動車大国・日本がついに中国EV車を輸入。脅威の中国EVメーカー最新事情・前編 【中国デジタル企業最前線】

中国企業の最新動向から、DXのヒントを探っていく本連載。今回は、ガソリン車に代わるモビリティとして期待が高まるEV(Electric Vehicle=電気自動車)と、その核とも言える自動運転技術で世界をリードする中国の強さに、前後編の2回にわたって迫ります。前編は、自動車大国・日本さえも脅かす存在になるほど進んでいる中国EV市場の実情をお届けします。

メタバース覇権を握る、最有力候補!? フォートナイトを運営する「Epic Games」 〜海外ユニコーンウォッチ #6〜

メタバース覇権を握る、最有力候補!? フォートナイトを運営する「Epic Games」 〜海外ユニコーンウォッチ #6〜

「ユニコーン企業」――企業価値の評価額が10億ドル以上で設立10年以内の非上場企業を、伝説の一角獣になぞらえてそう呼ぶ。該当する企業は、ユニコーンほどに珍しいという意味だ。かつてはFacebookやTwitterも、そう称されていた。この連載では、そんな海外のユニコーン企業の動向をお届けする。今回は人気オンラインゲーム「フォートナイト」を運営する「Epic Games(エピック ゲームズ)」を紹介する。

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

テクノロジーの力で子育てを変えていく。そんなミッションを掲げ、泣き声診断アプリや赤ちゃん向けスマートベッドライトなど、画期的なプロダクトを世に送り出してきたファーストアセント社。「CES2021 Innovation Awards」を受賞するなど、世界的に注目を集めるベビーテック企業である同社の強さの秘密とは。服部 伴之代表にお話を伺いました。

Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

「ユニコーン企業」ーー企業価値の評価額が10億ドル以上で設立10年以内の非上場企業を、伝説の一角獣になぞらえてそう呼ぶ。該当する企業は、ユニコーンほどに珍しいという意味だ。かつてのfacebookやTwitter、現在ではUberがその代表と言われている。この連載では、そんな海外のユニコーン企業の動向をお届けする。今回は欧米を中心に注目されている「代替肉」を扱う「インポッシブル・フーズ」を紹介する。

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

国内でMaaS(Mobility as a Service)実証が活発化している。新たな交通社会を見据え、既存の交通サービスの在り方を見直す変革の時期を迎えているのだ。 交通社会は今後どのように変わっていくのか。MaaSの基礎知識について解説した上で、海外のMaaSに関する事例を参照し、その変化の方向性を探っていこう。

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国企業の最新動向から、DXのヒントを探っていく本連載。今回は、ガソリン車に代わるモビリティとして期待が高まるEV(Electric Vehicle=電気自動車)と、その核とも言える自動運転技術で世界をリードする中国の強さに迫ります。前編では「EV先進国」の名を欲しいままにしているその理由を、国の政策や技術の面から探ってきました。後編となる今回は、自動車産業に参入してきた新興メーカー3社を紹介するとともに、日本の立ち位置の考察、中国が抱える課題を話題に進めていきます。

Facebookも注目の「メタバース」とは何か? スマホ向けメタバース「REALITY」のDJ RIO氏に聞く

Facebookも注目の「メタバース」とは何か? スマホ向けメタバース「REALITY」のDJ RIO氏に聞く

Facebookが社名を変更し、中核事業に据えるほど力を入れる「メタバース」。2021年8月にはグリー株式会社が、今後2~3年で100億円規模の事業投資を行い、グローバルで数億ユーザーを目指すと発表しましたが、その中核を担うのが、グリー株式会社の子会社であり、これまでバーチャルライブ配信アプリを手がけてきたREALITY株式会社です。今回は、そんな同社の代表を務めるDJ RIO氏にインタビュー。そもそもメタバースとは何なのか。なぜこんなにも注目が集まっているのか。メタバースは、世界のあり方をどのように変えるのか。メタバース初心者のビジネスパーソンには必読のインタビューです。

デジタル戦略で生まれ変わるカインズ。ホームセンターからIT小売企業への変遷の軌跡【前編】

デジタル戦略で生まれ変わるカインズ。ホームセンターからIT小売企業への変遷の軌跡【前編】

生産労働人口の減少を受け、日本企業はいよいよ生き残りをかけたデジタル化に取り組まなければいけないと言われるフェーズに入ってきました。とはいえ、それができている企業とそうでない企業との差が激しくなっているのも現状です。 そんななか、ホームセンター大手カインズでは、40年かけて積み重ねてきたホームセンターとしてのあり方を見直し、IT小売企業として生まれ変わろうとしています。カインズでデジタル戦略本部長を務め、戦略の指揮をとる池照 直樹氏に、同社のデジタル戦略についてお話を伺いました。 前編は、カインズがどのようにしてデジタル化を実現させていったのか、具体的な取り組みを交えてお届けします。