DX戦略

日本企業を襲うランサムウェア攻撃。DX加速で増加するサプライチェーン攻撃のリスクと取るべき対策

PCの重要なデータを暗号化して使用できない状況にした上で、そのデータを復元する対価として身代金を要求するランサムウェア(身代金要求型ウイルス)。近年、このランサムウェアの被害が世界的に増加しています。あらゆる業種でDXが進む今日、どんな企業もサイバーセキュリティの知識は必須です。なぜここ数年でランサムウェアの被害が増えているのか? テレワークが一般化した時代はセキュリティのどんな点に気をつけるべきか? AIを活用した企業向けのサイバー攻撃対策を提供するサイバーリーズン・ジャパン株式会社で社長を務める山野 修氏に、セキュリティのいろはを伺いました。

ざっくりまとめ

- ランサムウェアとはPCに侵入して重要なデータを暗号化し、身代金を要求する悪意のあるプログラムのこと。従来の「侵入を防ぐ」セキュリティ対策では防ぎきれないため、これからは「侵入を前提にして被害を防ぐ」対策が必要となる。

- 日本語という言語の壁に守られていた日本は、海外からのサイバー攻撃が相対的に少なかった。しかし今後は、自動翻訳技術の向上と企業のDX推進により、攻撃が増加していく可能性がある。

- テレワークが当たり前の時代には、従来の「安全な社内」と「危険な社外」で切り分けるセキュリティ対策には限界がある。どんな状況も信頼しない性悪説に基づいた新しいセキュリティ対策が求められている。

従来のアンチウイルスソフトでは対応しきれない、ランサムウェアの脅威

――昨今のサイバーセキュリティの状況を教えてください。主にどのようなリスクが増加しているのでしょうか?

まず、日本の状況から説明します。日本はアンチウイルスソフトの普及率が高く、企業でもコンシューマーでも100%近い導入が進んでいます。特に企業内ではメールもフィルタリングして、添付ファイルを開くときもサンドボックス(※1)で開いてからダウンロードするなど、高度なセキュリティ体制が敷かれています。しかしそれでも、1/10万くらいの確率で穴を抜けてくるウイルスやマルウェア(※2)が存在します。なかでも多いのが、個々の相手に合わせてカスタマイズされたランサムウェアの被害です。ランサムウェアとは、侵入したPC内のデータを勝手に暗号化してしまい、身代金を要求するプログラムのことです。

※1 サンドボックス:隔離された領域でプログラムを実行することで、問題が発生した場合に、ほかのプログラムに影響を及ぼさないようにする仕組み。

※2 マルウェア:あらゆる種類の悪意のあるソフトウェアの総称。

ランサムウェアは相手に合わせて偽装した形で送られるので、従来のセキュリティでは見逃す危険性があります。侵入されてプログラムを実行した瞬間に隔離しないとその被害を防ぐことはできません。そこで有効なのがサイバーリーズンも提供している「EDR(Endpoint Detection and Response)」という手法です。従来のアンチウイルスソフトは既知の脅威にしか対応できません。すでに知られているウイルスやマルウェアには強いですが、未知の脅威には対応できない。EDRの特徴は、悪意のあるプログラムが行う一連の攻撃をパターン化してデータベース化していることです。侵入されたとしてもハッカーによる攻撃を早い段階で検知し、被害が拡大する前に阻止をする。敵の武器そのものを知っているのではなくて、攻撃手法をナレッジとして持っていることが強みです。

――後手の対応ではなく、侵入したプログラムが怪しい動きを見せた瞬間に反応する先手の対応ということですね。

例えば、PC内で悪意のあるプログラムがバックグラウンドでなんらかのコマンドを入力し始めた場合、従来のアンチウイルスソフトはこのコマンドが無害なのか有害なのか判別できません。しかし、EDRならコマンドを入力し始めた時点で、異常な振る舞いであると察知して対処することができます。

犯罪者が犯罪を犯してから逮捕するのではなく、犯罪をする人間に共通してみられる行動パターンを知っていれば未然の対応が可能です。ちなみに、ラスベガスのカジノにある監視カメラは客やディーラーの体温や脈拍も計測できるそうです。極端に脈拍の多い人物は不正を働く可能性が高いので、その時点でマークされるわけです。侵入対策を強固にするのではなく、侵入は100%防げないことを前提にして被害を未然に防ぐ。それがEDRの考え方です。

――ランサムウェアの被害増加には、どのような背景があるのでしょうか?

ランサムウェアについては「RaaS(Ransomware-as-a-Service)」という言葉が出てきました。かつて、ウイルスをつくるのは悪意のある一個人であり、攻撃自体も本人が行っていましたが、現在ランサムウェアについては分業体制が構築されています。ランサムウェアをつくり出す人物と、どこからか不正に入手した膨大な数のIDとPWのデータベースを持っている人物がいて、ダークウェブ(※3)上でそれらを販売しています。ダークウェブを通して、ランサムウェアのツールとデータベースを購入した人物が実行犯になるわけです。もちろん、ダークウェブ上のやり取りなのでそれぞれ面識はありません。

※3 ダークウェブ:通常のWebとは異なり、匿名性の高い特別なネットワーク上に構築されたWebサイトのこと。

さらに上手く身代金を入手できたら、その引き出し役も別に存在します。実行犯たちはそれぞれ独立しており横のつながりがないので、誰かが摘発されたとしても芋づる式に捕まるリスクがない。身代金も現金ではなくビットコインなどが使われるので、匿名性が高く足がつきにくい。犯罪者からすれば安全性が比較的担保された上で、成功すれば大金が手に入るということで、これからもランサムウェアの被害は増加していくでしょう。

自動翻訳技術の向上と企業のDXにより、日本も海外ハッカーからの標的に

――日本企業のセキュリティにはどのような課題がありますか?

これまで日本企業は海外のハッカーたちのターゲットになりにくい状況がありました。それは日本語という言語の壁に守られていたからです。ウイルスをつくる側からすれば、英語のように多くの地域で使われている言語のほうがメリットが大きい。日本の企業を狙うためにわざわざ日本語を学びウイルスをつくろうとする人間は少数派でした。しかし、最近は自動翻訳の技術が向上してマルチランゲージ化が一気に進みました。アジアのなかで考えれば日本はまだまだ経済大国です。そのため、日本企業は新しいターゲットとして狙われる可能性が高いといえます。事実ここ数年で、地方の病院がランサムウェアの被害にあったケースが複数報告されています。

また、日本のサプライチェーンも攻撃対象の一つです。先日も自動車メーカーの取引先がランサムウェアの被害にあって、自動車メーカーは国内すべての工場を停止させました。サプライチェーンには中小企業も多く含まれており、そういった企業は大企業に比べてセキュリティ対策も手薄になりがちです。自動車メーカー本体を狙うのではなく、取引先の中小企業をターゲットにしてサプライチェーン全体にダメージを与える。半導体の部品が一つでもそろわなければ車は組み立てられないので、たった1日の稼働停止が全体に大きな影響を与えてしまいます。完璧な生産体制が構築された日本企業はこの手法にも気をつける必要があります。

――国を挙げてDXを推進している今の状況では、どんな企業もセキュリティ意識を高める必要がありますね。

そうですね。DXとは単に紙をデジタルに置き換えることではなく、業務プロセスも含めてすべてをデジタル化することです。顧客やパートナーとの関係もすべてデジタル化される。しかし、デジタルでつながった瞬間にサイバー攻撃を受けるリスクも発生します。DXの時代にはセキュリティの強化も必須です。

テレワークの普及をきっかけに、セキュリティ対策のあり方を考える

――テレワークの普及により私物のPCを業務で使用するケースも増えましたが、ここにはどんな問題がありますか?

会社内で会社のPCを使って作業をするなら、ファイアウォールで守られておりWebのアクセスも管理されているので、大きなリスクはありません。しかし、自宅から私物のPCでインターネットにつなぐということは、ファイアウォールもなく、どんなWebにもアクセスできるため当然ウイルス感染のリスクは高まります。個人のPCにもパーソナルファイアウォールがありますが、企業のファイアウォールほどセキュリティは高くないので安心はできません。

私物のPCを使うときは、一度会社が用意したVPN(Virtual Private Network)に入ってから外部のWebにつなぐことを推奨されますが、面倒なのでダイレクトにWebに接続してしまい感染するケースがよくあります。これまでのセキュリティ対策は「安全な社内」と「危険な社外」という具合に境界で切り分けてきましたが、これからは社内外問わずすべての環境を信頼せずにセキュリティ対策を講じる「ゼロトラストセキュリティ」の概念が必要になってくるでしょう。

――では最後に、サイバーリーズンの今後の展望を教えてください。

EDRをさらに進化させた「XDR(Extended Detection and Response)」に注力していきます。XDRはEDRを包含しているもので、ネットワーク機器のログ情報やクラウドにあるアプリケーションのログ情報などを束ねて、より深いセキュリティ監視を可能にします。不正アクセスの被害にあって初めて気がつくのではなく、リアルタイムで監視して不正アクセスの被害前に兆候を見つけて阻止する。すでにEDRは日本一のシェアを持っているサイバーリーズンですが、このEDRの技術をベースにより広範なセキュリティ監視を実現していきます。
山野 修
サイバーリーズン・ジャパン株式会社 社長

東京工業大学 大学院で制御工学の修士号を取得(1984年)し、スタンフォード大学ビジネススクールでExecutive Programを修了(2001年)。 1984年に米AT&T Bell Laboratoriesでキャリアをスタートし、横河ヒューレット・パッカード、オートデスクを経て、1996年にコンピュータ・アソシエイツの会社設立に参画。1998年には日本RSAに入社し、翌年に社長に就任。その後、12年間RSAセキュリティで社長を務め、2010年よりEMCジャパンで執行役員副社長を経て、同社 代表取締役社長に就任。2016年よりマカフィー 代表取締役社長、2019年よりアカマイ・テクノロジーズ 職務執行者社長を務め、2022年4月よりサイバーリーズン・ジャパン株式会社に入社し、6月に同社の社長に就任。
※経歴に記載の社名は在籍時の名称。

人気記事

AIの思考を人間が助ける。AI領域で人気の職種「プロンプトエンジニア」とは何か

AIの思考を人間が助ける。AI領域で人気の職種「プロンプトエンジニア」とは何か

プロンプトエンジニアという言葉をご存知でしょうか。英語圏では2021年頃から盛り上がりを見せている職種の一つで、中国でも2022年の夏頃からプロンプトエンジニアの講座が人気を呼んでいます。今回は、プロンプトエンジニアとは何か、どうトレーニングすればよいのかについて、日本国内でプロンプトエンジニアの採用と教育を実施している株式会社デジタルレシピ 代表取締役の伊藤 新之介氏に解説していただきました。
「組織としての自己変革にかける想いに共感し、みずほへ入社」。みずほFG執行役員 秋田夏実氏×立教大学ビジネススクール田中道昭教授【前編】

「組織としての自己変革にかける想いに共感し、みずほへ入社」。みずほFG執行役員 秋田夏実氏×立教大学ビジネススクール田中道昭教授【前編】

国内外の金融機関と前職のアドビを含め、主にマーケティングや広報領域で手腕を発揮してきた秋田夏実氏。2022年5月に入社したみずほフィナンシャルグループでは、これまでのキャリアから一新して、グループCPO(Chief People Officer)とグループCCuO(Chief Culture Officer)を務め、組織開発・D&I推進等と企業文化の改革に挑戦をしています。立教大学ビジネススクールの田中道昭教授とともに、これからの時代のキャリアと学びについて意見を交わしました。 前半は秋田氏のこれまでの経歴、アメリカのビジネススクールでのエピソード、みずほに入社を決めた理由などをうかがいます。
【AI×音楽】AI作曲が可能となっても、作曲家の仕事は残る。「FIMMIGRM」が変える音楽の未来<後編>

【AI×音楽】AI作曲が可能となっても、作曲家の仕事は残る。「FIMMIGRM」が変える音楽の未来<後編>

AIによりヒットソングの特徴をふまえたオリジナル楽曲を作成するサービス「FIMMIGRM(フィミグラム)」。AIによる作曲サービスが盛り上がりを見せつつある昨今、音楽プロデューサーとしてYUKIや中島美嘉、Aimerなどのアーティストを手がけてきた玉井健二氏が開発に携わっていることで、大きな話題を呼んでいます。 FIMMIGRMの利用方法は、大量に自動生成された曲から好みの曲をジャンルごとに選択するGENRES(ジャンル)、ワンクリックでAIが曲を生成する ONE-CLICK GENERATE(トラック生成)、ユーザーの自作曲をもとにAIが曲を生成するGENERATE(トラック生成)、AIが生成した曲にプロの編曲家が手を加えるPRO-ARRANGED(プロアレンジ)の4パターン。AIにより専門知識不要で誰もが作曲できるようになる未来が間近に迫った今、音楽業界はどのように変化するのか? 株式会社TMIKと音楽クリエイター集団agehaspringsの代表を務める玉井健二氏にお話を伺いました。
中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国企業の最新動向から、DXのヒントを探っていく本連載。今回は、ガソリン車に代わるモビリティとして期待が高まるEV(Electric Vehicle=電気自動車)と、その核とも言える自動運転技術で世界をリードする中国の強さに迫ります。前編では「EV先進国」の名を欲しいままにしているその理由を、国の政策や技術の面から探ってきました。後編となる今回は、自動車産業に参入してきた新興メーカー3社を紹介するとともに、日本の立ち位置の考察、中国が抱える課題を話題に進めていきます。
「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

テクノロジーの力で子育てを変えていく。そんなミッションを掲げ、泣き声診断アプリや赤ちゃん向けスマートベッドライトなど、画期的なプロダクトを世に送り出してきたファーストアセント社。「CES2021 Innovation Awards」を受賞するなど、世界的に注目を集めるベビーテック企業である同社の強さの秘密とは。服部 伴之代表にお話を伺いました。
世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

国内でMaaS(Mobility as a Service)実証が活発化している。新たな交通社会を見据え、既存の交通サービスの在り方を見直す変革の時期を迎えているのだ。 交通社会は今後どのように変わっていくのか。MaaSの基礎知識について解説した上で、海外のMaaSに関する事例を参照し、その変化の方向性を探っていこう。
イトーヨーカドーの未来を左右する、新社長の店舗・組織変革の勝算。イトーヨーカ堂社長 山本哲也氏に立教大学ビジネススクール田中道昭教授が迫る【前編】

イトーヨーカドーの未来を左右する、新社長の店舗・組織変革の勝算。イトーヨーカ堂社長 山本哲也氏に立教大学ビジネススクール田中道昭教授が迫る【前編】

2020年、創業100周年を迎えた株式会社イトーヨーカ堂。ロシアのウクライナ侵攻に、進む円高と物価高など厳しい経済状況の中、今年3月に社長に就任した山本哲也氏は「信頼と誠実」を掲げ、商売の原点に立ち返ることを標榜しています。イトーヨーカドーはどのように変わるのか? これからの時代のスーパーに求められる形とは? 立教大学ビジネススクールの田中道昭教授との対談をお届けします。 前編は山本社長が社長に就任した経緯、2000年以降業績が落ち込んだ原因の分析、そして現在進行中の新しい売り場づくりの施策などについてお話をうかがいます。
【海外レポートから読み解く】2025年、AIはここまで進化する

【海外レポートから読み解く】2025年、AIはここまで進化する

2022年7月に画像生成AI「Midjourney」がリリースされ、その後「Stable Diffusion」などのさまざまな画像生成AIが数多く登場するなど、大きな話題を呼びました。この数ヵ月の間、世界の人々のAIに対する捉え方は大きく変わったのではないでしょうか。 今後AIはどのような進化を遂げていくのか。今回は、国内外のAI事情に詳しい株式会社デジタルレシピ 代表取締役の伊藤 新之介氏に、海外のレポートから読み解くAIの進化について解説していただきました。
【日本企業のDX格差拡大中】 DXのプロが語る、二極化するDX市場の光と闇の実態とは

【日本企業のDX格差拡大中】 DXのプロが語る、二極化するDX市場の光と闇の実態とは

DXはもはや、企業にとって欠くことのできない重要な経営課題であり、多くの企業がDXの必要性を実感しています。しかしながら、DX推進がうまくいっている企業は一握りに過ぎません。これまで、100社を超える日本企業のデジタルシフトを支援してきたデジタルシフト社の取締役CTOの山口 友弘氏とDX開発事業統括責任者である野呂 健太氏とは、コロナ禍を経てDXがバズワードとなっている状況下において、「企業間の『DX格差』は拡大している」と語ります。 DX格差が生じる理由はどこにあるのでしょうか? そして、その差を埋めるための一手とは――。DXの最前線を走るプロフェッショナルが、全4回にわたってお届けする連載対談企画。第1回の今回は、二人の対談で明らかになった『DXを成功に導く7箇条』をもとに、DXをうまく推進している組織の共通項を深掘りします。
メンタルヘルス後進国、日本。DXはメンタルヘルスに貢献できるのか

メンタルヘルス後進国、日本。DXはメンタルヘルスに貢献できるのか

欧米に比べ大きく遅れているといわれる日本のメンタルヘルスを取り巻く環境。事実、欧米ではカウンセリングを受診した経験のある人は52%にも上りますが、日本では6%という低水準。先進国のなかで突出した自殺者数についても、厚生労働省は深刻な状況と受け止めています。 そんななか、β版での運用を終え、2022年7月5日に正式ローンチされた「mentally(メンタリー)」は、日本では敷居の高いメンタルヘルスに関する相談が気軽に行えるアプリ。株式会社Mentally 代表取締役CEOを務める西村 創一朗氏は、自身も過去に双極性障害(※)を乗り越えた経験を持っています。メンタルヘルス市場はDXによりどう変化していくのか。インタビューを通して、日本のメンタルヘルス市場の未来を紐解きます。 ※ 双極性障害:活動的な躁(そう)状態と、無気力なうつ状態を繰り返す障害。
「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

「8割以上の精度で、赤ちゃんが泣く理由が判明」CES2021イノベーションアワード受賞。注目の日本発ベビーテック企業とは

テクノロジーの力で子育てを変えていく。そんなミッションを掲げ、泣き声診断アプリや赤ちゃん向けスマートベッドライトなど、画期的なプロダクトを世に送り出してきたファーストアセント社。「CES2021 Innovation Awards」を受賞するなど、世界的に注目を集めるベビーテック企業である同社の強さの秘密とは。服部 伴之代表にお話を伺いました。
世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

世界のMaaS先進事例7選。鉄道・バス・タクシーなど交通手段を統合したサブスクモデルも!

国内でMaaS(Mobility as a Service)実証が活発化している。新たな交通社会を見据え、既存の交通サービスの在り方を見直す変革の時期を迎えているのだ。 交通社会は今後どのように変わっていくのか。MaaSの基礎知識について解説した上で、海外のMaaSに関する事例を参照し、その変化の方向性を探っていこう。
中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国EV市場を席巻する、三大新興メーカーを徹底分析。脅威の中国EVメーカー最新事情・後編【中国デジタル企業最前線】

中国企業の最新動向から、DXのヒントを探っていく本連載。今回は、ガソリン車に代わるモビリティとして期待が高まるEV(Electric Vehicle=電気自動車)と、その核とも言える自動運転技術で世界をリードする中国の強さに迫ります。前編では「EV先進国」の名を欲しいままにしているその理由を、国の政策や技術の面から探ってきました。後編となる今回は、自動車産業に参入してきた新興メーカー3社を紹介するとともに、日本の立ち位置の考察、中国が抱える課題を話題に進めていきます。
Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

Googleやビル・ゲイツも出資する“代替肉”スタートアップ「インポッシブル・フーズ」〜海外ユニコーンウォッチ#2〜

「ユニコーン企業」ーー企業価値の評価額が10億ドル以上で設立10年以内の非上場企業を、伝説の一角獣になぞらえてそう呼ぶ。該当する企業は、ユニコーンほどに珍しいという意味だ。かつてのfacebookやTwitter、現在ではUberがその代表と言われている。この連載では、そんな海外のユニコーン企業の動向をお届けする。今回は欧米を中心に注目されている「代替肉」を扱う「インポッシブル・フーズ」を紹介する。
AIの思考を人間が助ける。AI領域で人気の職種「プロンプトエンジニア」とは何か

AIの思考を人間が助ける。AI領域で人気の職種「プロンプトエンジニア」とは何か

プロンプトエンジニアという言葉をご存知でしょうか。英語圏では2021年頃から盛り上がりを見せている職種の一つで、中国でも2022年の夏頃からプロンプトエンジニアの講座が人気を呼んでいます。今回は、プロンプトエンジニアとは何か、どうトレーニングすればよいのかについて、日本国内でプロンプトエンジニアの採用と教育を実施している株式会社デジタルレシピ 代表取締役の伊藤 新之介氏に解説していただきました。
コロナ禍でラジオが復権!? 民放ラジオ業界70年の歴史を塗り替えたradiko(ラジコ)の「共存共栄型 DX」とは

コロナ禍でラジオが復権!? 民放ラジオ業界70年の歴史を塗り替えたradiko(ラジコ)の「共存共栄型 DX」とは

Clubhouseをはじめ、新勢力が次々と参入し、拡大を見せる音声コンテンツ市場。その中で、民放開始から70年の歴史に「大変革」を巻き起こしているのが“ラジオ”です。放送エリアの壁を取り払う、リアルタイムでなくても番組を聴けるようにするといった機能で、ラジオをデジタル時代に即したサービスに生まれ変わらせたのは、PCやスマートフォンなどで番組を配信する『radiko(ラジコ)』。今回は、株式会社radiko 代表取締役社長の青木 貴博氏に、現在までのデジタルシフトの歩みと将来の展望について、お話を伺いました。