サイバー攻撃で被害に遭っても気づかない、中小企業の深刻さ　識者が指摘する、日本のサプライチェーンのリスク

軽視されている、サイバー社会の「安全安心」

森井昌克氏：神戸大学の森井です。「サプライチェーンに対するサイバー攻撃」という題で、副題は「半田病院の事案が示唆する中小企業が可能なセキュリティ対策」ということになっております。それでは講演を始めさせていただきます。

まず簡単に自己紹介です。ここでお話しておきたいことは、この黄色い枠に囲まれているように、サプライチェーンサイバーセキュリティコンソーシアムというものがあります。私はその運営委員を仰せつかっており、またその中にある、中小企業対策WG（ワーキンググループ）の座長をさせていただいております。

この話も含めて今、国としてサプライチェーンをいかにして守るかという施策をいろいろと練っているわけです。その内容についても紹介させていただきたいと思います。それでは本論に入っていきます。

まず、この「サイバーセキュリティとは」。みなさんもよくご存知だと思いますけど、一般社会、特に企業としては安全安心が最優先事項になっています。なぜ一般社会と並列で動いているサイバー社会においては、安全安心を疎かにするのかということなんですよね。（スライドにも）「おかしいぞ」と書いてありますけれども。

これがなかなか難しい問題で、サイバー社会上、あるいはインターネット上でセキュリティを確保することは難しいと、以前からずっと言われています。それでもサイバー社会に対して安全安心というものを、まず第一に考えていかないといけないというのが現状です。

そこで一番大きな問題になっているのが、サイバー攻撃という話になるわけですけれども、詳しく説明していくと時間が経ってしまいますので、簡単に済ませます。

世界中の犯罪者に狙われているのに、ノーガード戦法

要は一般社会において、企業への不法侵入、窃盗、器物破損等、許されざる行為があると、多大な被害に遭うというのはよくわかっているわけなんですけれども、サイバー社会も同じなんですよね。

サイバー社会上では、サイバー攻撃による不正アクセスというものによって、ここに書いている一般社会上の不法侵入、窃盗、器物破損が行われて、同じように大きな被害に遭うのが現状だということです。

それに対する安全安心を確保することが、やはり第一にならないといけないわけなんですけれども、どうもそれがなかなか行われていない。例えば一般社会では、2020年のいわゆる空き巣の被害は4万件以上あるので、10分に1回発生しているんですけれども。

ことサイバー社会という話になると、世界中の犯罪者に狙われており、しかも「自社あるいは自分は狙われない」という考えで、ノーガードという戦法を取ると。そうすると当然ですけれど、10分や10秒どころか、10マイクロに1回くらい、そういう被害に遭うことが必然的なわけですよね。

それにもかかわらず、守らないというのはどういうことなんでしょうというのを、まず肝に銘じていただきたいというのが最初です。こういう状況で、サプライチェーンに属している中小企業も含めて、これから一般の中小企業がどのようにしてセキュリティを確保しないといけないかということです。

これからお話していきますけれども、実は今の中小企業が狙われている中心になるわけです。自分の会社が狙われていると意識していない会社が多いのですが、決してそうではないということなんですよね。

徳島県の町立病院で起きてしまった、甚大な被害

副題にもありましたように、徳島県つるぎ町立半田病院というところがサイバー攻撃を受けて、大きな被害に遭いました。ここは病院なんですけれども、ここに書いていますように、実は中小企業の典型なんですよね。

それについて少し解説をしていくというか、逆の手本として、反省点などを述べさせていただきたいと考えています。

この事案については、どういうことが行われたのかというのはみなさんもよくご存知でしょうけれども。簡単にお話しすると、10月末にランサムウェアという身代金を要求するウイルスに感染して、データがすべて暗号化されてしまって医療業務ができなくなってしまった。

電子カルテだけじゃなくて会計業務や、あるいはMRIといった電子診療システムはすべてネットワークにつながっているんですけれども、それが一切使えなくなってしまった。

MRIの画像も今はもうすべて電子化されていますので、暗号化されると一切見られないわけですよね。昔のようにフィルムに焼いていれば見ることができたのかもしれませんけれども、そういうことは一切していないわけです。

そういう状況で診療ができなくなった。しかもこれが2ヶ月間続いてしまったということなんですね。もちろん数日のうちに、一応応急処置的な対応はできるようになりましたが、完全復旧は年末まで掛かってしまった。なぜそういう状況になってしまったかというのが、一番大きな問題になるわけです。

これは別に病院じゃなくても、中小企業においても同じことが起こるということなんですよね。6月にこの件についてのかなり詳しい報告書が出ました。一般的にこういう報告書で特に病院の話となると、通常はそれほど詳しくは書かないので話題となりました。

「人、モノ、金」がない、典型的な中小企業

この報告書に関しては、やはり半田病院だけでなく他の病院も同じようなことが起こりうるということで、その手本となるように詳しく書かれ、しかもその対策をいかにすべきかということも書いてあります。

40ページ以上あり、かつガイドラインに近いような技術的な内容も含めると200ページ近い報告書になっていますので、もし興味のある人は読んでいただきたいと思います。

結局何が原因でこういう事態になったのかというと、病院の知識不足だけじゃなくてて、ネットワークやシステムを入れている、ベンダーさんの十分な知識および技術が足りなかった。この2つの要因が重なって、このような状況になってしまったということです。

病院側としてはほんの少しの知識があれば、ひょっとするときっちり対応できたかもしれない。プラス、ベンダーさんもそれなりの対策を行うための知識や技術を持っていれば、診療が完璧にできない状況が2ヶ月も続いてしまうことはなかったと、報告書には書かれています。

一部の人が、この報告書で特にベンダーに対してかなり厳しいことばかり書いていると言われますが、やはりベンダーさんにも問題がある。当然ですが病院にも問題があるという書き方をしていますので、決してベンダーさんだけを批判している内容にはなっていませんので、それはちょっとご理解いただきたいと思います。

とにかくここに書いています、「人、モノ、金がない中小企業の典型」というかたちで、捉えることができるわけなんですよね。

先ほど、一言で「どういう原因か」をお話しさせていただきましたけれども、やはりサイバー攻撃に対する病院側の無知。そして、複数のベンダーさんが関わっていたわけなんですが、そのベンダーさんのサイバー攻撃とその対策に対する、知識および技術力の欠如ということが、報告書にまとめられています。

これについてはまもなく、「半田病院 ランサムウェア事件の経緯と教訓」として、情報処理関係の一番大きな学会である情報処理学会の学会誌に掲載される予定ですので、ぜひ参考にしていただればと思います。

ちょっと待てない方は、『半田病院ランサムウェア事件の経緯と教訓』という同じ題名で、すでに電子化されています。副題は「ランサムウェアが本質ではない!?」ということで、検索の際に「森井　半田病院」という2つの単語を入れれば、おそらく上のほうに情報処理学会の電子ページが出てくると思いますので、それを読んでいただければと思います。

危機管理の基本は、被害の想定と演習の実施

話を元に戻しまして、病院側とベンダー側さんに原因があったとして、どう対策を取ればいいのか。中小企業ではなくてまず病院にということで、ここでは対策と書いています。

まず「取引のある情報化。ITに関わるシステムベンダーとの情報交換、コミュニケーションをしっかり取るべきであった」ということなんですよね。これがあまりよくできていなかった。もう1つは、「被害を想定すること。さらに被害を想定するだけではなくて、その想定から得られた対策についても実際に演習として実施すること」と書いています。

こちらはどちらかというと病院側の落ち度になるわけですが、こういうことが起こり得るということを、一切考えていなかった。やはり被害に遭えばどういうふうになるのかは考えるべきだということですよね。

危機管理の基本ですけれども、その被害から想定される、できる限りの対策を考えて実施することが対策の根本として書かれています。この情報処理学会のまとめのところですね。

ここでは時間がありませんので、ランサムウェアについては詳しくはお話ししませんが、それについてはちょっと、Yahoo!ニュース個人に私のブログのような記事のページがありまして。

「ランサムウェアは怖くない!？」「ランサムウェアの真実」「ランサムウェアに感染したら？」という資料を作っておりますので、興味のある方は読んでいただければなと思います。

ランサムウェアの被害を防ぐ対策

ランサムウェアについてもう少しちょっと詳しめに解説します。半田病院がランサムウェアに感染したということを中心に、「なぜ感染したのか」という話と「それに対する対策をどうするべきか」という話ですね。

簡単に言うと、先ほどのページの内容になりますけれども、まずここで最初の項目に、「ランサムウェアは感染しない!?」と書いています。これはちょっと大袈裟に書いているわけなんですけれども。

ランサムウェアは非常に恐ろしいマルウェアだと、今までいろんなところで解説されています。非常に危険で、しかも容易に感染してサイバー攻撃に遭ってしまうと考えがちです。

けれども、しっかりと対策を取っていれば、ランサムウェアに感染することはありません。ランサムウェアは厳密に言うと、いわゆるコンピューターウイルスじゃないんですよね。どちらかというとトロイの木馬的なもので、発症しないとランサムウェアとしての機能が現れないわけです。

ランサムウェアの機能は、データを暗号化して使えなくしてしまう。もう1つはデータを外部に送出して、そのデータを人質にして身代金を要求するというものです。

ランサムウェアを発症させるためには、当然ですけど（コンピューターウイルスに）感染しないといけないわけですよね。そのコンピューターウイルスがランサムウェアを引き込むようなことをしないといけませんので、「ランサムウェアに感染することはほぼない」ということはちょっと言い過ぎですけれども。

マルウェア対策をしていれば、それほど簡単にはランサムウェアに感染することはないということです。これはちょっと頭に入れておいていただきたいと思います。

ただ、「簡単には感染しないから安心だ」と思うのは間違いで、マルウェア対策を含めたウイルス対策をしっかりしておかないと、最終的にランサムウェアに感染するということですね。

ランサムウェア感染時は専門家に相談

それから「ランサムウェアの暗号化は解ける」と書いています。一般的に、ランサムウェアに感染してしまうと、データが一切復元できないと思いがちです。けれども、そうじゃない場合もあります。

ランサムウェアに感染しても、そのランサムウェアによっては（暗号が）解ける場合がありますので、身代金を払わなくてもいいこともありますから、これは専門家に相談していただきたいと考えています。

また、一般的には身代金交渉には応じてはいけないと言われていますけど、これもやはり専門の人に相談して、身代金を要求している犯人グループとまったく接してはいけないということではありません。

身代金交渉には応じないけれども、場合によっては専門家を通じて接触することで、暗号化キーを解くような、いわゆる復号鍵を提示してくれる場合もありますので、それはよく考えたほうがいいです。

一番大事な対策は「オフラインバックアップ」

ここからが最重要になってくるのでしょうけど、ランサムウェアの対策として一番重要なのはバックアップという話です。オフラインバックアップをしないといけないんですけれども、これはバックアップがネットワークにつながらないようにしておく。

バックアップを取る時はネットワークにつながらないといけないですけれども、通常はネットワークにつながないことが大事です。そうすると感染してデータが暗号化されてしまっても、それ（オフラインのデータ）を利用できますからね。

それから大事なのは、「ランサムウェア被害を想定する」ということなんですよね。例えばバックアップを取っていたとしても、それを使って元に戻すことができない場合もあります。

なぜかというと、バックアップを取っていたとしても、それを元に戻すにはそれなりの方法が必要です。マニュアルに書いてある通りにやれば戻るというものでもない可能性もありますので、ぜひ演習をしておくということですね。

それから「現実的に一番の対策」と書いてありますけれども、やっぱり信頼できるセキュリティパートナー（とお付き合いすること）。必ずしもセキュリティの専門家でなくてもいいですけれども、ベンダーさんとしっかり話をすることと、最小限のセキュリティ意識（を持つこと）。

これはベンダーさんじゃなくて、利用する側の最小限のセキュリティ意識が要求されるということなんですよね。

とにかく半田病院の事例は中小企業の典型です。サイバーセキュリティに対する意識がない。人がいないというのは、半田病院も大変な状況だったわけですよね。中小企業もほとんど同じような状況で、「人、金、知識」がないとよく言われるわけです。

サイバー被害に遭っていても気づかない中小企業

じゃあどうすればいいのか。非セキュリティ系ITベンダーと書いていますけれども、DXという言葉がありますように、中小企業も当然ITを使って情報システムを運用しています。

情報システムを入れているベンダーさんにも頼らざるを得ない状況があると思いますけど、そことしっかりと連携を取ることが大事です。ただそれがなかなか難しいというのが現状なんですよね。しかも今、中小企業が狙われています。

冒頭にも言いましたように、「うちの企業は小さいし関係ない」ということではなくて、狙う側はそういうことは一切考えずに、どこの企業に対しても触手を伸ばしています。

例えば、大阪商工会議所で共同研究として、大阪市内の30社の中小企業を3ヶ月間調査したんですけれども、30社すべてがサイバー攻撃を受けていました。小さい企業からそこそこの規模のところまで、いろんな業種もありますけれども、すべてがサイバー攻撃を受けている。

しかも（30社のうち）半数が何らかの被害を受けていたんですよね。さらに、そのすべてが被害に気づいていませんでした。これが現状です。

本丸の大企業を狙う前に、まず中小企業を攻撃

その中でも特に、サプライチェーンのセキュリティの要になっているところが、実は中小企業なんですよね。今も「サプライチェーン攻撃＝中小企業に対する攻撃」と言ってもいいくらいです。まず中小企業を狙って、そこから本丸の企業を狙っていくという攻撃方法が一般的になっているわけです。

このサプライチェーン攻撃は、いろんなところで解説されていますけれども、難しいことは置いといて、サプライチェーン攻撃に関しては、IPAが提示している「サイバーセキュリティ経営ガイドライン」というところに、詳しいことが書いてあります。

ただこれをしっかり理解して、厳密にフォローするのは中小企業としては難しいですよね。ということで要はなんなのかということなんですけれども、「可視化とゼロトラストセキュリティ」をぜひ守ってほしい。

ただ、一般的な中小企業に「ゼロトラストセキュリティをやれ」という話をしても、「それって何なの？」という話から始めないといけませんし、説明されて何とか理解できたとしても、なかなか大変なものですから、導入するというのは難しいわけですよね。

「可視化とゼロトラストセキュリティ」は何なのかというと、「可視化」は現状の把握。情報資産を洗い出し、その重要度を設定してリスクを定量化すること。「ゼロトラストセキュリティ」は、すべてのアクセスを逐次検証する。これでもまだ難しいですよね。

もっと簡単に言うと、とにかくこれ（データやシステム）を守るためには、どういう考え方をしないといけないのかという話なんですけれども。「可視化」と「ゼロトラストセキュリティ」という概念は確かに大事なんですけど、理解するのはなかなか難しい。

「可視化」はUTMやSOCによる監視サービス。「ゼロトラストセキュリティ」はEDRなどのエンドポイントによる監視サービスという話になるんですけれども、これを中小企業に導入しましょうという話になっても、なかなか簡単にいかないわけですよね。

十分な人とお金があれば別ですけれども、中小企業さんがそんな潤沢なお金を持っていることはほとんどありませんから、ゼロトラストセキュリティを完璧に守るという話になると、やっぱり難しいんですよね。かなり厳しい書き方ですけれども、厳格なゼロトラストセキュリティで守るのは「カネなし、ヒトなし、知識なしの中小企業には絶対無理」と。

「安心しないこと」と「見える化」

じゃあ、どうすればいいのかという話になります。ゼロトラストセキュリティと可視化をすごく簡単に言うと、「安心しないこと?!」と「見える化」ですね。当たらずも遠からずと書いていますが、あまりにも抽象的過ぎますから、もう少し噛み砕いて具体的に話をしていきます。

結論的な話ですが、「できる・できない」ではなくて、できることが必ずあるんですよ。例えばウイルス対策ソフトを入れるというのは、今どこの企業でもやっているんですけど、その次の段階になると、SOC、UTM、あるいはEDRをパソコンにすべて入れるという話になって、いきなり高価なものになってしまうわけですよね。

そうじゃなくて、その間もたくさんあるんですよと。そういうものを導入してくださいということです。

「国の取り組み」と書いていますけれども、サプライチェーンを守ることについて、非常に心配をしていていろんなことを考えています。その中の1つとして、サプライチェーンサイバーセキュリティコンソーシアム（SC3）という団体があります。こういう趣旨で活動しているわけなんですけれども、ほとんどの業界団体が加入しています。

もう少し部分的に大きくすると、自動車工業会や機械工業会がほとんど入っているという団体になるわけですね。こういう組織立てになっていて、いくつかのワーキンググループで具体的な動きをしているわけです。

その中でも中小企業対策ワーキンググループというものがありまして、具体的に施策として何をすべきかということを考えています。ただ単にガイドラインを作るという話ではなくて、どうすれば中小企業がそれをしっかりと守れるのかということを議論しています。

年商1億円以下の中小企業を救う「お助け隊」

これだけじゃないんですけど、特に今こういう話について、いろいろと施策を練っているわけです。その中で今、中心的に動いているのは、（中小企業の）サイバーセキュリティを助けるものを作るという話です。

中小企業と言っても、もちろんいろんな業種がありますし、規模もいろいろなわけですよね。ここに書いていますように、年商で考えても100億円以上の企業もあれば、1億円以下の企業もあるわけです。

まず第一歩ということで年商1億円以下の企業を助けますよということで、先ほど言いました「お助け隊」という事業を行っています。

もう時間がありませんので、サイバーセキュリティお助け隊の説明はしませんけれども、要はサイバー攻撃に対する必要最小限の機能と月額1万円以下の料金で事業者にもお願いをして、苦心してもらって、これを導入すれば何とか守れますよという施策を取っています。

これで完全かというとそうではなくて、少なくともこれだけという範囲で、導入の初期段階としてこのサービスを考えてもらいたいということで、アンチウイルスソフトの次の段階の1つの施策として今行っているところです。

もう少し強力な対策として、今後どうしていくのかというのも議論しています。どうして中小企業が、サイバーセキュリティ対策のほうをなかなか向いてくれないのかということなんですけれども、まず第一は、ここに書いてますように、深刻な被害に遭っていることに気づいていないということなんですよね。

我々の調査でも30社すべてを調査したわけなんですけど、サイバー攻撃を受けていて、かつ半分くらいの会社が被害に遭っているにもかかわらず、1社として気づいていなかったと。

ランサムウェアに感染すると、（システムが）もう使えなくなってしまいますから、（被害に遭ったと）わかるんですけれども。今のサイバー攻撃は、わからないようにして情報が漏洩してしまうとか、あるいは裏口を作られていつでも入られて、何らかの被害を被る一歩手前の状態にしているということが、あるわけなんですね。そういうのにまったく気づかないというのが現状です。

企業の競争力も「安全」にあり

「まとめに向けて」ということで、中小企業として一番考えてほしいことは、やはり「可視化」と「ゼロトラストセキュリティ」。「見える化」と、とにかく「安心しないこと」なんですね。

「見える化」はもし被害を受けた場合には、何が起こるかを考えてください。そして「安心しないこと」というのは、最悪の事態を想定して、その被害を最小にするようにしてくださいということなんですよね。

特に「安心しないこと」という話なんですけれども、企業にとってはやはり一番大事なのは安全安心です。にもかかわらず、サイバー社会上での安全安心をなぜ重要視しないのか。

ランサムウェアを代表にしてですけれども、サイバー社会上でも不正アクセスを受け、あるいは不正なサイバー攻撃を受けると、大きな被害を被ることがわかっているわけです。やはり、なかなか対策を取るような考え方に至っていないことが一番問題ですよね。

ここに書いていますように「企業の競争力は安全にあり！」というのは、昔から社会でよく言われていて、当然サイバー社会上でもそれが効いてくると。

リスクマネジメントの問題だということになって、セキュリティというのは投資であり、かつ経営者にとっては経営リスクに通じるわけです。

極端な場合、経営リスクは事業破綻に通じるわけですから、経営者にとっても非常に重要な問題です。これがなかなか振り向いてくれないという背景があって、中小企業のセキュリティ対策が難しいところだという話になっているわけです。

とは言え、今SC3というサプライチェーンの団体も含め、サプライチェーン上の産業を守る要になっているのが中小企業ですので、中小企業がしっかりとサイバーセキュリティを確保しないと、産業全体が大きな影響を被る。

中小企業の方々は、ぜひサイバーセキュリティを重視し、かつ必要最小限、そしてできる限りの対策を取ってほしいというのが、この講演の趣旨になっています。

まずは自社を客観視し、最悪の事態を想定

そのためには何をしなければいけないかというと、まず自社の状況を客観的に知ることですね。「知る」ことは重要です。自ずから対策が見えてきて、自分の状況が分かればこれはダメだということが分かりますから、その状況で対策を考えましょう。

もちろんいろんな対策がありますけれども、その中でまずできることからするんだと。一切対策がないということはありえないので、できることは必ずあるはずです。自分がわからなければ教えてもらえばいいわけですよね。

最悪の場合を想定する。危機管理の大前提と言いますか、基本になるわけなんですけれども、最悪の場合を想定して、それが起こらないようにする。被害を最小に抑えることをまず考えるというのが、中小企業におけるセキュリティの要になるわけです。

システムやソフトウェアの脆弱性を確実に排除する。これが一般に言われているサイバーセキュリティ対策の基本になっているわけなんですけれども、併せて人間の脆弱性というのもあるわけですよね。

人間の脆弱性を排除するためには、セキュリティ意識を持つということなんですけれど、なかなかそれが難しい。「言うは易し、行うは難し」という状況になっているんですけれども。

セキュリティ意識を持つのはそれほど難しいわけではないわけですよね。中小企業でも資金がなくてもできることは必ずあるんだ。専門員がいなくても社員のわずかな知識、セキュリティ意識、それから注意で対応できることは必ずあります。

中小企業とベンダーは連携してセキュリティ対策を

先ほど半田病院の例ですけれども、一人ひとりがある程度のセキュリティ意識を持っていれば防げたことが、たくさんあるわけですよね。極端な言い方ですけれども、残念ながら誰一人としてセキュリティ意識がなかったということで、ベンダーさんの言うことをすべて信じてしまう。

そうするとベンダーさんがしっかりとやっていれば別ですけれども、ベンダーさんでもしっかりできていなければ、相乗効果で大きな被害が起こり得るということですよね。

したがって半田病院のようにならないためにも、しっかりしたセキュリティ意識と、ベンダーさんに対しても、できるだけ必要十分な技術と知識を持って対応していただく。

さらにそれを有効に活かすために、ベンダーさんとその中小企業さんがしっかりとコミュニケーションできることが大事です。可能な限りの対策があるはずですので、それをベンダーさんとしっかり考えるということなんですね。

（サイバーセキュリティ対策について）しっかりと考えてくれない、あるいは話に乗ってくれないベンダーさんはやはり問題ですから、今後はそのベンダーさんとの付き合い方とを考えるべきだと思います。

ということで、厳しいまとめ方をしましたけれども、私の講演はこれで終わりにさせていただきます。どうもありがとうございました。