セキュリティリスクの報告は、情シスではなく経営者に行う　正しい経営判断につなげるサイバーセキュリティ対策のすすめ

サイバー攻撃に対するセキュリティトレーニングの効果

石田洋治氏：サイバージムジャパンの石田と申します。よろしくお願いします。今日は『最新のサイバー攻撃事例とソリューションご紹介』というテーマで、最近多発しているサイバー攻撃に備えるための最適な対策をご紹介いたします。

まず自己紹介ですが、1985年に富士通に入社して、約35年法人営業として製造業のお客さまの対応をしてきました。そのあとインフラ系の専門商社を経由して、今サイバージムジャパンでパートナーさま担当として営業を行っています。よろしくお願いします。

まずは簡単に会社の概要とソリューションのご紹介をさせていただきます。親会社はバルクホールディングスという名証（名古屋証券取引所）に上場している会社です。

その配下にセキュリティ事業とマーケティング事業の2つがありまして、我々サイバージムジャパンはセキュリティ事業の中核会社として、セキュリティ人材の育成事業を中心に展開しています。

（スライドの）左のバルクという会社は、ISMSおよびPマークの支援をするコンサルタント会社で、2つ隣のCELは約30名のホワイトハッカーがセキュリティ診断、および調査事業を行う会社です。

サイバージムは、もともと2013年にイスラエル電力公社とサイバーコントロール社が共同で設立した会社で、サイバーセキュリティトレーニングを中心にサイバーセキュリティソリューションを提供しています。また、2021年にはイスラエル最大手の銀行と提携してトレーニングアリーナの運営もしています。

（スライドのように）イスラエル電力公社は2022年に3億回以上サイバー攻撃を受け、月間1,000〜3,000件の攻撃は防御しきれず、電力公社内に侵入された状況ですが、これまで一度もインフラを停めたことがありません。

それは、経営層から一般社員まで、公社で働く半分以上の人がサイバージムの実施するトレーニングを受けていることが理由だと言われています。

（スライドは）サイバージムのトレーニングアリーナのマップで、全世界に30拠点あり、日本は赤坂をはじめ10拠点のアリーナを展開しています。

アジアにおいても現在のフィリピンのほか、今後はタイとベトナムに展開する予定です。

サイバーセキュリティ先進国のノウハウを活かした実践トレーニング

当社のセキュリティソリューションは、（スライドの）3つの軸でご提供しています。

先ほどご紹介した「サイバーセキュリティトレーニング」がその1つで、イスラエル電力公社のセキュリティを守るところから来ています。

右下の「サイバーセキュリティ診断・調査」は、ホワイトハッカーの部隊を持つCEL社が展開しており、左下の「サイバーセキュリティコンサルティング」は、バルク社が行っているサイバーセキュリティのコンサルティング事業になります。

「サイバーセキュリティトレーニング」事業は、サイバーセキュリティ先進国と言われるイスラエルのノウハウを活かした実践トレーニングを提供しています。

特徴的なのは、イスラエルのRedチーム（組織のサイバーセキュリティの強化を目的に攻撃を行うチーム）によるリアルなAPT攻撃（標的に対して持続的に行われる攻撃）が受けられることです。

また、経営者から一般社員、あるいはITのエンジニアまで幅広く対応した豊富なラインナップを揃えているところも特徴です。

（スライドは）アリーナの施設です。

左はITエンジニア向けのトレーニング風景で、イスラエルのRedチームからAPT攻撃を受けているところです。トレーニングは朝から晩まで続き、「疲れるけれどもいい体験だった」と参加者から非常に評価が高いトレーニングになります。

右がOTトレーニングという制御系のトレーニングです。右端のロッカーに入っているPLC（小型コンピューター）が乗っ取られてAPT攻撃を受け、左のタービンとかモーターが加熱して止まるという具体的なトレーニングが受けられるところが特徴です。

（スライドは）トレーニングのラインナップで、左がIT、OTのエンジニアリング向け、右が従業員の各階層向けのトレーニングになります。

左下の赤字で書いてある「Lockbit Training」は今猛威を振るっているLockBit 3.0のAPT攻撃を体験できるもので、2023年10月から提供しております。

サイバーセキュリティ診断とコンサルティング

「サイバーセキュリティ診断・調査事業」では、次の5つのサービスを提供しています。

1つ目がホワイトハッカーによる脆弱性診断サービスで、AIプラットフォームやWebアプリなどの脆弱性の診断をします。

2つ目は企業モニタリングの「Discovery」。ハッカーによる企業情報の収集や情報漏洩の調査や、インシデント発生後のリークサイトの監視などを提供します。

3つ目はデジタルフォレンジックで、インシデントが発生した際の原因や被害状況の調査を行い、4つ目はランサムウェア被害に遭った時にワンストップで対応するインシデント収束サービス、最後にサイバーセキュリティに詳しい弁護士による支援サービスを行っています。

「サイバーセキュリティコンサルティング」のラインナップは（スライドの）7つになります。

後ほど詳しくご説明しますが、1番上のセキュリティリスク分析「V-sec」は、セキュリティリスクがどのくらいあるかを診断してコンサルティングするサービスです。

以下、サプライチェーンのセキュリティマネジメントのコンサルティングや、CSIRTの構築支援、自工会ガイドラインのコンサルティング、さらにセキュア開発のコンサルやセキュリティ顧問。最後のCYBERGYM Expressは、会員制のなんでも相談窓口サービスです。

ランサムウェア攻撃の仕組み

続いて、最近のサイバー被害のトピックスを少しご紹介したいと思います。ひとつが7月4日にあった名古屋港でのランサムウェア被害です。

これは朝の6時半頃に名古屋港の統一ターミナルシステムに障害が発生したというもので、LockBit 3.0への感染だと見られています。

これによってコンテナの搬出入ができなくなり、トラックの大行列ができたというニュースをご覧になった方も多いと思います。この時はバックアップデータやシステム障害中のコンテナ情報の再入力を行って、7月6日夕方のシステム復旧まで2日半の業務停止がありました。

一般的には2日半も停めたのかと思われるかもしれませんが、我々から見ると通常復帰まで1〜2ヶ月かかると言われたところを2日半で業務を再開できたのは、かなり訓練されていたのではないかと考えています。

次が、台湾の半導体製造会社TSMCのサプライヤへのランサムウェア攻撃で、LockBitからTSMCに98億円の身代金が要求された事件です。

TSMCがサプライヤとのデータ交換を即座に停止して調査をした結果、顧客情報の流出などはなかったということで、ビジネス運営には影響を与えなかったと発表していますが、これも十分に準備ができていたためであろうと考えています。

LockBit 3.0は2019年に活動を始めたロシアに拠点を置く最も警戒すべきサイバー犯罪組織で、世界のランサムウェア被害の31パーセントがLockBitによるものと言われています。

日本企業のランサムウェア被害も28パーセントがLockBitと言われています。有名な徳島の半田病院や、ブリヂストンさん、しまむらさんなどがLockBitのランサムウェア被害に遭っています。

（スライドの）こちらは実際のダークウェブ上のLockBitサイトのハードコピーです。

左上の赤いところに14D……と書いてますが、これは14日と4時間51分45秒後にデータが公開されるというカウントダウンです。

このように身代金支払いまでのカウントダウンが画面上に出て、それまでに払われないと、グリーンの箇所のようにコピーしたデータが世界に公開されるという仕組みになっています。

サイバー攻撃による被害金額の大きさ

ご存知の方も多いと思いますが、最近のランサムウェア攻撃は基本的には二重攻撃です。

情報を盗み取って、ランサムウェアを実行してファイルを暗号化したりPCをロックしてしまうのが攻撃1で、その上で「身代金を支払わなければ情報を暴露するぞ」と脅迫するのが攻撃2です。この二重脅迫で組織は多額の身代金を払わざるを得なくなっています。

最近はダークウェブを介したランサムウェアのレンタルも行われており、ハッカーが定額でランサムウェアプログラムを貸し出す「プロバイダサービス」も増えており、知識があまりない人でもサイバー攻撃ができるという恐ろしい世界になっています。

そのサイバー攻撃の被害は2025年には世界で10.5兆ドルになると予想されています。

2022年は世界で6兆ドルの損害が発生しました。今、日本のGDPは4.2兆ドルですから、日本の総GDPよりも多いということです。

また世界の自然災害による損害よりもサイバー攻撃の損害のほうが大きく、もっと驚くべきことに、全世界の麻薬取引の収益よりもサイバー攻撃の収益のほうが多い。最も被害の大きい犯罪だと言われています。

（スライドの）これは警察庁サイバー警察局が出している数字ですが、2022年度はランサムウェア被害は230件、前年比158パーセントでした。

インターネットバンキングの被害件数は1,136件で、前年比195パーセントと約2倍になっています。

サイバー攻撃の被害金額は1,000億円で、前年比は330パーセント。約3倍まで被害額が増えていますが、不正アクセス被害に遭った企業、団体のうち、届け出なかった数が44パーセントあると言われており、実際は今ご紹介した数字の2倍は起こっていると言われています。

働き方の多様化で高まる、セキュリティリスクの「分析需要」

では多発するサイバー攻撃に対してどう対応すれば良いのか。我々がご提供するセキュリティリスクの見える化ソリューション「V-sec」をご紹介します。

これだけ毎日のようにインシデントのニュースが出ると、経営陣の方も「うちは大丈夫か？」と言われると思いますが、その問いにお答えするソリューションになっています。

テレワークの増加や在宅勤務による仕事の仕方の変化によって、セキュリティリスクの分析需要が高まっています。

今まではファイアウォールを立てて内と外に分ければ良かったのですが、これからは在宅の人々も（社内）ネットワークに接続するため、対策レベルの見える化をして、評価・見直しをすべきタイミングだと言われています。

そうした中、我々は第三者機関としてV-secというセキュリティリスク分析サービスを提供しており、V-secの結果に基づき、セキュリティ強化のための対策をご提案しています。

第1ステージの「FTA」で17の設問に答えていただくと、無料で現状の情報漏洩発生確率を算出いたします。この結果、漏洩発生率が高い方々に対しては、有償の第2ステージで「ST」「FA」「HO」というコンサルメニューをご用意しています。

経産省からは工場におけるサイバー・フィジカル・セキュリティ対策ガイドライン、厚生省からは医療情報システムの安全管理に関するガイドラインなどが出ていますが、そのガイドラインに適しているか、あるいはネットワークに脆弱性がないかをコンサルティングして、脆弱性の可視化や現状の課題をご報告するサービスです。

そして第3ステージの「SS」で、出てきた課題のソリューションをセキュリティ設計やセキュリティポリシーの策定としてご提案します。

一般的には、セキュリティリスク分析は情シスの方が自分たちのリスクを見える化するかたちになりますが、我々は正しい経営判断の指標になるように、費用対効果も含めたサイバーセキュリティ対策を提案しています。

スライドの「多層防御の視点からセキュリティリスクを明確化」「費用対効果を考えたセキュリティ対策立案」、そして「経営陣と現場のリスクレベルを共有した適切な対策」の3つです。

V-secの4つの特長

V-secの特長ですが、1つ目は情報システムだけではなくガバナンスやマネジメントの観点から多面的なセキュリティリスクの分析を行うことです。

2つ目は、セキュリティ対策上の不備を指摘するだけでなく、セキュリティ強化のアクションをスムーズに行えるよう優先順位を提案することです。

また、最初から高い投資をするのではなく、例えば「まずは社内通知や標的型メールの訓練から始めましょう」といった費用対効果を考慮したロードマップ案を提示しています。

3つ目は、経営者の方でも直感的にわかる報告書の作成です。

同業他社と比べてどの位置にあるかや、現状の対策がちゃんと効いているかどうか。あるいは赤はリスクが高く、黄色はこれから、青は問題がないなどセキュリティリスクが一目でわかるかたちでご報告しています。

4つ目は品質の安心で、システム監査技術者など、政府機関が実施する監査の資格要件を満たす人材がアセスメントを行うことで品質を担保しています。

V-secは経産省の情報セキュリティ監査サービス基準適合サービス、経産省に承認されたサービスになります。またIPA（独立行政法人 情報処理推進機構）のセキュリティサービス基準適合リストにも記載されるなど、第三者からも認定されたサービスです。

先ほどお伝えしましたが、（スライドのように）V-secの第1ステージの「FTA」は無料です。

情報漏洩の発生確率を数値化して、わかりやすく抜けのないかたちで分析をしてご提供させていただきます。

またV-secの第3フェーズの「SS」では、「クラウド領域」「脅威インテリジェンス」「組織」「エンジニア」「従業員」など、スライドのオレンジ色の箇所すべてに対してあらゆるセキュリティ対策のご支援が可能です。

V-secの価格は、「ST」と工場系の「FA」、病院など医療系の「HO」と3項目ありますが、すべて同一です。

スタンダードが約2週間で40万円で、プレミアムは約1ヶ月で70万円と、リーズナブルなかたちでご提案をさせていただいております。

実績もスライドのように150社以上のセキュリティリスク分析を実施し、かなりご好評をいただいております。

私のご説明は以上になります。無料で、第三者的に見える化できる第1ステージの「FTA」はいろいろなお客さまにご好評をいただいています。ぜひ何かございましたら、スライドのメールアドレスか携帯にご連絡いただければと思います。ありがとうございました。