明治子会社へのサイバー攻撃からセキュリティの将来を考えてみた
セキュリティコンサルタント小牟田 です。
~セキュリティコンサルタント 小牟田が斬る!~
『明治子会社へのサイバー攻撃からセキュリティの将来を考えてみた』
少しずつ暑さも和らぎ、秋の匂いがしてきましたね。
秋刀魚、梨やぶどうなどのフルーツ、栗などがスーパーに並び始めるこの時期。
目に飛び込んできた旬の味覚たちを何も気にせず買い物カゴに放り込みたいところですが「えっ!?こんな値段するの!?」と驚いては伸ばした手を引っ込めての繰り返しです。
食欲の秋に襲いかかる ”値上げの秋” 。
子供も大人も大好きなお菓子がこの9月からさらに値上げとのこと。
例えばカルビーは「ポテトチップス」や「じゃがりこ」など定番シリーズを10%~20%、ロッテは「パイの実」や「チョコパイ」、チューインガムの「Fit’s」などを4%~17%値上げへ。
帝国データバンクによると、9月に値上げされる食品は2424品目、さらに10月には6500品目を超えるようで家計に ”厳しい秋” がやってきます。
きのこの山、たけのこの里で有名な食品メーカーの『明治』はもちろんご存知だと思います。
明治も今年は値上げラッシュですが、最近、値上げ以外で話題になりました。
『明治HD、シンガポール子会社がサイバー攻撃被害』
同社によると8月29日7時半ごろ、同グループ会社事務所においてパソコンを起動したところ、プリンターより大量の脅迫メッセージが印刷され、調査を行ったところランサムウェアによる被害であることが判明。
今回の問題に関連し、世界最大のサイバー犯罪集団の「LockBit 3.0」がダークウェブ上で攻撃の犯行声明を公表し、10万ドルを支払うよう要求してきました。
今年の6月に徳島県の鳴門山上病院(鳴門市)が受けたランサムウェアと同じ犯罪グループです。
「不当な要求には屈しない!わが社はビタ一文払いません!!」
お金を払ったからと言って情報が漏洩されない保証はないので要求に従うべきではなく、毅然とした態度で身代金交渉に応じないのが得策です。
ただ、LockBit 3.0は新しい恐喝モデルを利用しているようで、盗み出したデータを他のサイバー攻撃者に販売する手法をもっています。つまり、身代金を得られなくてもカネにできる余地があります。
個人情報、企業秘密、技術・特許、決算資料、M&Aなどの秘匿性の高い情報を犯罪グループや競合他社に提供し、高値で売買する。
過去、身代金を拒否したり、お金が払えなかったりしても関係ないでしょう。盗み取った情報がお金になればそれでいいのです。
タイムリーですが今週9月6日に、日本政府もサイバー攻撃の標的になりました。
https://www3.nhk.or.jp/news/html/20220906/k10013806361000.html
身代金以外にもサイバー攻撃の目的は様々ですが、誰でもサイバー攻撃の標的になりうることは疑う余地はありません。
サイバーセキュリティの未来
今後もサイバー攻撃は増えていくことは言うまでもありませんが、将来のサイバーセキュリティと企業の動向について考えてみたいと思います。
今年の7月、ガートナージャパン株式会社 (本社:東京都港区、以下Gartner) は、2023年以降のサイバーセキュリティに関する主要な8つの仮説を発表しました。
①2023年末までに、ユーザーのプライバシー権のうち世界の50億人、世界の GDPの70%以上が、政府規制の対象となる
②2025年までに、企業の80%は、Web、クラウド・サービス、プライベート・アプリケーションへのアクセスを、単一ベンダーのSSEプラットフォームに集約する戦略を取る
③2025年までに、組織の60%は、セキュリティの出発点としてゼロトラストを採用する。しかしその半数以上がゼロトラストのメリットを得られず失敗する
④2025年までに、組織の60%は、サードパーティーとの取引やビジネス契約における意思決定要因として、サイバーセキュリティ・リスクを重視するようになる
⑤2025年末までに、ランサムウェアへの支払い、罰金、交渉を規制する法案を可決する国家の割合は、30%に上昇する (2021年には1%未満)
⑥2025年までに、攻撃者はオペレーショナル・テクノロジー環境を武器にして、人的被害を与えるようになる
⑦2025年までに、CEOの70%は、サイバー犯罪、異常気象、内紛、政情不安による、同時発生的な脅威を切り抜けるために、組織的レジリエンスを重視する文化を必須とする
⑧2025年までに、サイバーセキュリティ委員会を取締役が監督する企業の割合は、40%に上昇する (2021年には10%未満)。2026年までに、Cレベルの経営幹部の50%は、リスクに関連する業績要件を雇用契約に組み込んでいる
やや専門的で咀嚼が必要な表現ですが、簡単にまとめるとこんな感じでしょうか。
セキュリティのプラットフォームは集約したほうがよい
3分の1の国家がランサムウェアへの対応を法的に規制する
CISO(最高情報セキュリティ責任者)などが取締役に加わることで、経営環境におけるセキュリティの監督、精査を実行できるようになる
経営幹部の業績評価にサイバーリスクに対する対応や説明責任が加わる
私もCISOの必要性について前回の記事で書きましたが、サイバーセキュリティがもはやITの問題ではなく、ビジネス環境におけるリスク・問題だと認識しています。
セキュリティプラットフォームは集約すべきという指摘は、情報が分散して管理されて生まれるリスクを減らすという観点でたしかにその通りだなと思いました。
仮説のひとつで挙げられた「ランサムウェアへの対応の規制」ですが、対応を制限したからと言って、攻撃が止むわけではありません。身代金交渉に進む前に、専門のインシデント対応チームや、法執行機関、規制当局を関与させる必要があるため、なにかあった時には常に迅速に対処できる体制を整えるべきでしょう。
自分の会社の資産や情報は自分たちで守る。
そして、取引先やサプライチェーン全体の安全を脅かすきっかけとならないように、自分事ととしてセキュリティ対策に向き合う経営が求められています。
セキュリティへの投資は、大企業や儲けている会社だけがやるものではありません。また、日々の平和を守るセキュリティ部隊は決してコストセンターではありません。
会社を守るための ”投資の秋” にしませんか?
セキュリティに関心を持っている企業様や求職者様からのお問い合わせをお待ちしています。
ペルソナで働きたい・キャリア相談したい・採用の相談したい
大歓迎です!お気軽にお問い合わせください!
ペルソナ株式会社 問い合わせ先
問い合わせフォーム
お気軽にご相談ください
小牟田のLinkedIn
▼小牟田が書きました
尼崎市のUSBメモリ紛失事件からCISO/CSOの必要性を考えてみた
セキュリティ人材確保になやむ企業様へ
まずは脱PPAPを~トヨタの工場停止は他人事ではない~
サイバー空間から日本が乗っ取られる時代~企業がセキュリティ対策をやるべき理由~
▼ペルソナってどんなところか気になったら
30代キャリア漂流記
天国と地獄もすべてを学びに変える
行き当たりばったりでもいい、誰かのために生きよう
▼代表 佐野ってこんな人です、Twitter始めました
佐野のTwitter
▼YouTubeはじめました
#1 ペルソナ創業の思いとこれまで
#2 ペルソナの事業や制度について
#3 若手社員から見たペルソナ