サイバー訓練、企業が実践重視 迅速初動へ瞬発力磨く
国内外でサイバー攻撃の脅威が高まる中、企業が攻撃を受けた場合を想定した実践的な訓練が広がっている。詳しい被害状況が分からない中で、いかに素早く状況を見極め、被害を最小限に食い止められるかが焦点だ。企業が順位を競う大会形式の演習も登場。専門家は「実際に攻撃を受けた場合も初期対応が重要」と対策の強化を呼びかけている。
「パスワード変更は必要ないかな」「あと30秒しかない」。自動車部品製造を手掛けるニッパツの本社・横浜工場(横浜市金沢区)。情報システム部の男性社員3人が大きなモニターを凝視し、対応策を矢継ぎ早に選んでいった。
情報セキュリティー会社のカスペルスキー(東京・千代田)が開発したサイバー防衛の実践演習だ。全国各地で5月、同時に製造業からサービス業まで多様な業種の20社が参加した。
今回はある自治体がサイバー攻撃を受け、「サイトに変なメッセージが表示された」「電子入札の情報が盗まれた」といった場面を想定した。参加者は自治体のシステム担当者となり、同僚からの報告などをもとにどんな方法で攻撃されているのかを推測する。
▽特定のウイルスの有無を調べる▽全職員向けの研修を行う▽広報用の報告文書を用意する――など、取り得る対策の選択肢は10を超す。
参加者は一定の予算内で収まるよう気を配りつつ、最適と考える選択肢を数分以内に選ぶ。有効な対策を選べば高い点が得られる。最終的にその合計点を競う仕組みだ。
1時間半の演習が終わると、ニッパツの3人は疲れきった様子だった。20社中5位だった同社のリーダー、山上元郎主査は「とにかく時間がない。でも実際に攻撃を受けたら正確な情報がなくても決断を迫られる。システム部門だけでなく法務や広報など他部門との連携が必要だと分かった」と話した。
無料で参加できるカスペルスキーの訓練にはこれまで延べ80社あまりが参加した。宮橋一郎専務執行役員は「手順を確認するだけの従来型演習に比べ、瞬時の判断力など実践的な対応が求められる。体験することで企業の課題が浮き彫りになる」と話す。
こうした実践的なサイバー演習はトレンドマイクロなど民間企業のほか、独立行政法人の情報処理推進機構(IPA)が企業向けに提供している。
サイバー攻撃は初期対応が遅れると被害が拡大する。2015年に日本年金機構から125万件の個人情報が流出した事件では、ウイルスが仕込まれたメールが職員のパソコン端末に最初に送られてきた際、職場全体への注意喚起が不十分だった。このため、他の端末も次々に感染し、大規模な情報流出を招いた。
政府は5月に改訂した重要インフラ事業者向けのサイバー防衛指針で、各企業が攻撃を早期に検知し、情報を共有する仕組みが必要と指摘した。緊急時の対応を速やかに判断できるよう、訓練・演習の実施を求めている。
サイバー攻撃の実践訓練を導入した企業は一部にとどまるのが現状だ。MS&ADインターリスク総研(東京・千代田)の調査では、67%の企業がサイバー攻撃を想定した訓練を、計画中も含めて「実施していない」と答えた。
特に中小企業では緊急時に備えた組織整備も含めて対策に遅れが目立つという。同社の土井剛サイバーリスク室長は「こうした企業が攻撃され、取引先や大企業にも被害が広がる『サプライチェーン攻撃』の脅威も高まっている」と警戒する。
国際的にみても日本企業の対策は遅れ気味だ。英セキュリティー会社のソフォスが日本や米国、英国、インドなど12カ国の企業計3千社を対象に行った調査では、不審な通信を検知・分析するソフトの導入を予定する企業は、世界平均89%に対して日本は僅か34%だった。攻撃を受けてから侵入に気づくまでの時間も日本企業が最も長かった。
同社の佐々木潤世セキュリティソリューションコンサルタントは「東京五輪では重要インフラへのサイバー攻撃も懸念される。攻撃は年々高度になっており、経営者の意識の向上や対策強化が急務だ」としている。