ビジネスが、止まる。IT時代の新たなサイバーリスクとは。

サイバーリスク

2019.6.17

ビジネスが、止まる。IT時代の新たなサイバーリスクとは。

「ホワイトハッカー」という職業がその価値を高めている。ハッカーといえば、サイバー攻撃を企む悪い輩というイメージが先行するが、それら悪から守るための救世主として同じハッキング技術を駆使する「ホワイトハッカー」が存在する。Googleはこれらホワイトハッカーの採用を積極的に行なっていることで有名だが、近年は国内でも、年収1000万円を超える技術者が出てきている。目には目を、歯には歯を。企業活動の裏側では、目には見えないサイバー犯罪者との攻防が日々繰り広げられている。世界的に高まるホワイトハッカー需要が示すのはもちろん、被害額が拡大するサイバーリスクの問題だ。年々進化するといわれる攻撃方法。ハッキングにもトレンドが存在するらしい。

「ハッキングの目的、標的はこれまで以上に変化を見せています。悪意のあるハッカーはこちらが思う以上に賢くなってきています。個人によるハッキングやクラッキングで始まった攻撃も、最近は組織化された攻撃が主流になってきていて、手強さは着実に増しています。」と話すのは、MS&ADインターリスク総研でサイバーリスク室長を務める土井剛氏。もはやサイバーリスクは大企業だけの問題ではないともいう。

IT化が進む製造業が抱えるサイバーリスク

IoT化が進む製造業が抱えるサイバーリスク

中でもサイバーリスクが顕著に現れはじめたのが製造業。工場のIT化が急速に進み、利便性が高まったのとは裏腹に、そのリスクは上昇した。大手企業がこぞって導入をはじめた産業制御システムのネットワーク化やOT(Operation Technology)。製造ラインの不具合を知らせてくれるものでは、毎日人の目で確認していたラインの検査をコンピューターがおこなうように。システムによっては海外の工場を含めて遠隔管理が可能なため、わざわざそのために人を送る必要もなくなりつつある。人件費の削減に繋がっているだけでなく、コンピューターは疲れない・飽きない(同じ作業を同じ品質で継続できる)・細かな点も見逃さないといった能力をもって製造ラインの不具合を見つけられるため、対処を敏速化させることができると言われる。ラインの不具合という観点では、リスク管理に繋がると言える。

問題はインターネットを介してシステム化されているところにある。ネットワークにつながるということは、悪意のあるハッカーに侵入経路を与えてしまう可能性が高まるというのだ。そんな中、今、世界を震撼させているのがランサムウェアと呼ばれる攻撃。このウイルスに感染すると、コンピューターの中にある情報へのアクセスができなくなるだけでなく、接続された別のコンピューターやストレージまで暗号化されることもあり、被害が広範囲に広がりやすい。システム化された工場の場合、最悪、稼働停止に追い込まれることもある。ノルウェーのアルミニウム工場では、これらのサイバー攻撃により、発生から一週間後の時点で売上・利益が3.5億ノルウェークローネ(日本円で約45億円相当)もの被害になったと報じられている。さらに、台湾にあるICチップ製造メーカーでは、同じく工場の停止を余儀なくされて180億円の損害が出たとの報道もされている。

サイバー犯罪による全世界の被害額
出典:株式会社シマンテック「2013年ノートンレポート」

「最近話題の自動運転やコネクテッドカーでも、同様のリスクはあります。ある自動車メーカーが製造する、音楽などのエンターテイメント系システムと、車の基幹系のシステムは別に構築されているため、セキュリティ上、安全であるとされていた自動車において、ホワイトハッカーによる攻撃テストがエンターテイメント系システム側から行われ、分離されているはずの基幹系システムにまで侵入し、自動車自体を遠隔操縦することが出来ることが発表されました。このように、ハッキングのテクニックは日々進化し続けているため、セキュリティ対策が出来ているので絶対に問題がない、とは言い切れなくなっているのです」(土井氏)

ハッキングの本当の狙い

ハッキングの本当の狙い

悪意のあるハッカーの目的は多くの場合、金銭的なものだ。では、工場停止によってどのように金銭的な見返りを得ているのだろうか。ランサムウェアの場合であれば、身代金を受け取ることが考えられる。さらに、ハッキング被害による事業中断が公になることで生じる株価の変動により不正な利益をあげようとしている犯罪組織もあるという。しかも、サイバー犯罪は容易に国境を跨いで行われるため、犯人の特定を難しくしている。また、これまで以上にハッキング等の犯罪が高度化・組織化・分業化されてきており、対策・捜査を難しくしているのも事実だ。

「自社のサイバーセキュリティの対策は万全なので、被害に遭うことは考えにくいと思っている企業も少なくないようですが、ネットワークに接続したシステム化された製造プロセス・産業制御システムを共有しているケースであれば、ネットワークでつながっている取引先の中小企業からウイルスが侵入するケースも出てきています。サイバーセキュリティは、自社を守るだけでは不十分という時代になってきたと言えます。」(土井氏)

犯罪者がターゲットを攻撃する時、まず取り掛かるのが偵察だ。社内に潜り込んで行うアナログでの情報収集に加え、IT機器やソフトウェアの脆弱性を調査する。守備を固める大手企業が存在する一方で、サプライチェーンとして連なる中小の体制までは管理できないというのが現状だろう。だが、サプライチェーンの脆弱さもハッカーは見逃さない。攻撃対象の本丸である大企業だけではなく、連結する別のシステム、つまり、サプライチェーンのシステムを入り口に侵入される危険もある。

IoTによる「つながり」が増えることで、多様化するサイバーリスク
参考:経済産業省(2019年)「サイバー・フィジカル・セキュリティ対策フレームワーク」

複雑化する犯罪を防ぐ手段を各社が独自に持つ必要があるものの、これだけ犯行手口が複雑化してくると、自社だけで守りきるには技術的・費用的にも限界がある。だが、一たび何かが起きてしまえば、多額の損失は免れない。「復旧作業に加え、関係各所へのお詫びの手配も必要ですし、顧客など個人が絡む場合、或いは取引先に被害を拡大させてしまった場合には状況によっては賠償責任も発生します。それらを見越したリスクマネジメントをしっかりと取ることが大事になります」と土井氏。コネクテッドカーにスマートハウスなど、日常生活においてもITの普及は急速に進むだろう。便利さとリスクはまさに表裏一体、スピードを持った企業活動をする上でこのことを忘れてはならない。先手を打つべきことは増えている。


土井剛(どいたけし)

プロフィール
土井剛(どいたけし)氏
MS&ADインターリスク総研株式会社 新領域開発部 サイバーリスク室長 兼 
MS&ADインシュランスグループホールディングス 総合企画部イノベーション室 課長(上席)、慶應義塾大学SFC研究所・所員、東京電機大学サイバー・セキュリティ研究所・所員

1996年住友海上火災保険株式会社(現三井住友海上火災保険株式会社)に入社。2004年よりブラジル現地法人MitsuiSumitomo Seguros社に駐在し、2006年からはCIOとして基幹システム(MS10)導入プロジェクトを推進。2009年に帰国、MS&ADグループのシステム統合プロジェクト「ユニティ」のPMOにて、開発管理、テスト推進等を担当。2013年より内閣官房情報通信技術(IT)総合戦略室に出向し、参事官補佐として「農業情報創成・流通促進戦略」の企画推進を始め、オープンデータやプログラミング教育、自治体クラウド等を担当。

MS&ADグループのニュースリリースや
IRニュース等をメールでお知らせいたします。

メール配信のご登録