セキュリティ対策として「閉域網を使っているので安全」は間違い　ハッカーが教える、制限されたネットワークの「穴」

中小企業のセキュリティ年間予算は「100万円以下」

司会者：「ハッカーが教える、妥協しない高コスパなセキュリティ対策」と題し、一般社団法人日本ハッカー協会代表理事・杉浦隆幸さんよりご講演いただきます。それでは杉浦さん、よろしくお願いいたします。みなさん盛大な拍手でお迎えください。

（会場拍手）

杉浦隆幸氏：今日は「ハッカーが教える、妥協しない高コスパなセキュリティ対策」ということで、私もいろんなセキュリティ製品やセキュリティの施策を見ていますが、その中で中小企業の人たちがどういうことをやると効果的なセキュリティ対策ができるかについて、簡単に説明したいと思います。

私は日本ハッカー協会の代表理事で、それまではセキュリティ企業を立ち上げて、バイアウトしてということをやっておりました。現在はいろんな会社さんや官公庁も含めて、セキュリティのコンサルティングやセキュリティの面倒をみたりということをしています。

中小企業はそれほど人数が多くない中で、セキュリティ対策として何をしたらいいかで迷う方がいらっしゃると思います。大企業もそうですが、無限にコストをかけられるわけではなく、中小企業だとさらにシビアになります。

「リスクを最小限にすると、良いことがあるんだろう」と言われますが、基本的に直接的なメリットは実は少ないんですね。でも、個人情報などを扱っていますと顧客に対する信頼性が上がりますし、取引先から回答を求められるセキュリティのアンケートなどにたくさん丸をつけられて、次の仕事が任せられやすいというのもあります。

それ以外にも、最近ですと安全なかたちでテレワークを実施するために、絶対にセキュリティが必要です。

中小企業にセキュリティにかけられる年間予算を聞くと、「100万円以下」と言われることが多いんですね。

そうすると、できることが限られます。ですが「ITの予算はけっこうあるんだよね」と言われます。セキュリティ個別で見ると予算は少ないんだけど、ITの予算の中にうまく含めればできることを増やせるのかなと思います。

IT予算の5パーセントぐらいがセキュリティになることが多いようですが、一人当たりにするとけっこう少ないので、そこは課題になります。

中小企業が取るべきセキュリティ戦略の基本

杉浦：そういう意味で、中小企業が取るべきセキュリティ戦略の基本は、「持つな」「借りるな」「使うだけ」です。

すべてを持つと、1から10までセキュリティ対策が必要になります。サーバーを持てば、アップデートもそうですし、保守も入るなど、かなり負荷が上がります。借りてもサーバーやソフトウェア的なOSのメンテナンスはする必要があります。

「使うだけ」は、クラウドやSaaSとかになるんですけど、使うためだけのセキュリティ設定をすればいいので、わりと負担は軽くなるんですね。そこがポイントです。持ったり借りたりでかかっていたコストが、使うだけですとかなり少なくなるというメリットがあります。

クラウドやSaaSでは他社で評価が高いところを狙うのが一般的で、ソフトウェアは特にそうなります。セキュリティ予算をちゃんと取り、監査などチェックもしっかりしているところが重要です。テストもちゃんとされているので、品質も高いだろうと。

逆に自社開発で全部やろうとすると、開発費用、運用費用、検証費用、さらに5年に1度ぐらい大規模な改修もあって、けっこうお金がかかるんですね。やはりできるだけ開発せずにやるのが中小企業のセオリーだと思います。

ただポイントがありまして、基本的にクラウドサービスは無料で試せるんですけど、使う時は有料版にしたほうがいいことが多いです。アクセス制限やセキュリティの監査機能などは、だいたい有料なんですね。無料で試してから有料版にすると安全に使えます。

でも、最近ちょっと事件になりましたが、こういうこともあります。ナンバーワンサービスを使っていればみなさんだいたい大丈夫かと思うんですが、ITにあんまり詳しくない事業者がサービスをしているケースもあります。

情報漏洩などが起こって大変なことになるんですが、それだけでは済まないですね。使っているだけでも、利用者に問題が起きたら、ちゃんと報告や謝罪をしなければいけないこともあります。クラウドサービスの業者が代わりにやってくれるわけではありませんので、官公庁に報告しないといけないケースも出てきます。

実際に最近起きた事例です。これは社労士用のシステムですが、800万件ぐらいかな、個人情報が漏洩しました。社会保険、厚生年金に入る時に中継する社労士の方が使うシステムで、けっこうな数の中小企業が被害に遭いました。

情報セキュリティの2原則

杉浦：それでは、セキュリティで基本的に何をするのか。情報セキュリティの3原則というのがありますが、2つだけやります。OS・アプリは必ず最新版にアップデートする。さすがにサポートが終わっていますので、今時Windows 7やWindows XPを使っていないですよね？　必ず最新のWindows 11にしたり、macOSも新しいものにしていただく必要があります。

あと古いAndroidのスマホなんかもサポートが終わっていますので、インターネットを使うのは非常によろしくありません。

あともう1つ。パスワードは安易なものにしない。そして使い回さない。最近パスワードが漏洩した事件がありました。そこは自治体でしたが、自治体の名前がそのままパスワードだったんですね。さすがにそれはないぞと思ったんですけど、実際にそんなふうになっているケースがあります。

このセキュリティの3原則ですが、1個消えています。「ウイルス対策ソフトをちゃんと導入しましょう」ですね。

これは中小企業ではもう当てはまりません。なぜかと言いますと、OS自体にセキュリティ対策がされていて、ウイルス対策ソフトが標準で入っている、もしくは不要な状態になっていることが多いからです。

ですので3原則ですが、現在は2つで十分になっています。

「閉域網」の95％以上がインターネットに接続している

杉浦：古いパソコンやサーバーを未だに使っている方もいらっしゃるかと思いますが、サポートが切れていて基本的に安全に使うことはできないので、インターネットに接続した状態での使用はできるだけ避けてください。

ただ、どうしても古いものを使わないといけないというところもあると思います。古いパソコンで動いていて、OSの移植やソフトウェアの移植ができないシステムで事業が成り立っている方もいらっしゃると思います。その時は完全にインターネットから切り離す必要があります。

インターネットにつながっていて、いつ悪意のある侵入者に入られてもおかしくない状態になっているところが多々あります。特にインターネットの接続、ネットワークの接続、あとはUSBメモリや外付けのSSD、SDカード。そういうのを禁止していただく。

ただQRコードリーダーぐらいは大丈夫です。QRコードにしてデータを読み込むぐらいなら簡単にはできませんので、そういうものは大丈夫かと思います。

また、「閉域網を使っているので安全」という方がけっこう多いんですが、実は95パーセント以上の閉域網がインターネットに接続しているんですね。なぜかと言いますと、閉域網を作った事業者がインターネットにつなげて、メンテナンス用に入れるようにしていたりとか。

NTT東（日本）のフレッツ網とかも閉域だと言っていることが多いんですが、実はインターネットにつながっていて、そこから侵入されて危険な状態になるということが多いです。

セキュリティ上のリスクが高い「メール」を強化するには？

杉浦：特にセキュリティ上でリスクが高いのはメールなんですね。メールアドレス宛に何かしらウイルスがついたものを送ってきたり、あとはフィッシングメールなどが来る方にはたくさん来るんですけど。

銀行の何かに不備があります、Amazonプライムが終了します、えきネットが勝手に退会になっています、買ったものはこれでいいですか、とか聞いてきたり。そういうメールがいくつか来ていると思います。それに引っかかってしまう人もいますので、そういうのをできるだけ防いでくれるメールサービスを使ったほうが、セキュリティ的にはかなり安上がりになります。

少なくとも迷惑メールやこういう攻撃への耐性が強いGmailだったり、MicrosoftのOutlookやLiveを使っていただいたほうが完全に強くなります。

少なくとも代表のアドレスとかはこっちにしたほうがいいです。メールを使うすべての従業員がこれにしたほうが当然安全ですけどね。

常に不正アクセスにさらされているので、こういうところは強くセキュリティ対策をしないとみなさんが使えないようになります。たくさんある攻撃サンプルを分析して回してくれるので、メールを使う時はこういうサービスを使っていただくとよろしいかなと思います。

セキュリティポリシーのベースはChatGPTで作れる

杉浦：あとはポイントとして、中小企業でセキュリティポリシーを作ったりするじゃないですか。もちろんできているところはいいんですが、もし作っていなければChatGPTに「セキュリティポリシーを作ってください」と言えば、かなり正確に作ることができます。

いろんな企業が弁護士がレビューしたプライバシーポリシーやセキュリティポリシーを公開していて、ChatGPTはそれを元にするからです。95パーセントぐらい正しいセキュリティポリシーが出てきます。

会社名が間違っていたり、入っていないところもありますので、ちゃんと上から下まで読んでいただく。生成AIはかなり使えるツールとなっていますので、セキュリティポリシーがなければぜひとも作って負荷を軽減してください。逆にセキュリティコンサルはこんなことしかやっていないので仕事がなくなるんですけど、それでもいいかと思います。

あと先ほど原則でありました「アップデートをちゃんとしてください」ですけど、Windowsアップデートが来るのでみなさんWindowsの話はわかると思います。ネットワーク機器、サーバーですと（スライド）右下のように、コマンドラインでアップデートする必要があります。

アップデートをしないと本当に大変なことになります。（スライドの）これはFortiGateですね。

日本で一番売れていて良いセキュリティ製品ですけど、医療機関のランサムウェア被害の75パーセントがこれをアップデートせずに放置していたためにやられたんですね。

FortiGateは2～3ヶ月に1回ぐらい、大規模な脆弱性というファイアウォールの問題が報告されるので、できれば自動アップデートしていただく、もしくは毎月チェックしていただく必要があります。

特に大手さんが入れていたりすること多いんですけど、事業者に任せていれば大丈夫だと思っても、ほとんど何もやっていませんので。そうしますと責任は入れた企業になってしまうんですね。もしこのFortiGateが会社にあったら必ずアップデートしているかを確認してください。もしくは誰かに確認させてください。最新になっていなければ最新にしていただく必要があります。

セキュリティチェックをしても意外とわからないのですが、私どもは各都道府県に何台ぐらい脆弱性があるFortiGateがあるかを知っています。実は公開されているんですね。

セキュリティで犠牲になるのは利便性ではなく「安定性」

杉浦：1つ注意点があります。セキュリティは安定性と実は相反にあります。昔は利便性だったんですけど、今は安定性が犠牲になります。アップデート時に全部の検証ができていないこともありまして、たまにトラブルが発生します。そこはもう仕方がないことです。

さらに、最近はパソコンが安く、事務用ですと10万円を切っていますので、もし古いパソコンが残っていたら新しいパソコンに買い換えていただいたほうがいいと思います。ちょっとした作業用ですと、最近ですとWindows 11のProが入っているものがAmazonとかで25,000円ぐらいで売っていたりします。

5年以上前のPCを使っているんだったら、これにしたほうが早くて安全です。あとアップデートも、Windows 10は2025年までしかサポートされませんので、早めに買っていただくのがいいかと思います。

もう1つ。中小企業ではUSBメモリでデータの移動をすることも多いかと思います。この時、暗号化機能を持ったUSBメモリを使ったほうが、セキュリティコストが下がります。USBメモリを使う時は、挿してデータを移してから消すという作業が必要になりますが、消し忘れて漏れたりすることがあるんです。

私も数年に1回ぐらい、道端に落ちたUSBメモリを拾うんですけど、見るとだいたいデータが入っているんですね。で、消えたデータも実は復元することができます。ただ3種類ぐらい出ている暗号化機能を持ったUSBメモリを使うと、復元が非常に難しくなります。

「使って、消して」という運用がちゃんとできていれば、安全に使うことができます。これを普通のUSBメモリでやると毎回完璧に消去しないといけないので、けっこう時間がかかるんですね。

中小企業で大企業並みの「ゼロトラスト」を実現する方法

杉浦：さらに、最近は流行りのゼロトラストセキュリティを達成したいというお客さんがけっこう増えています。基本的に中小企業は、Windowsを使っているところが一番多いと思いますが、Microsoft 365のE3かE5を使うとゼロトラストセキュリティに必要なものが全部含まれています。

これを使うとパソコンはもちろん、スマートフォンなんかも制御することができて、かなりお得……お得といってもけっこう高いんですよ。安いほうでも毎月ユーザーごとに4,500円かかったりするので、中小企業にはかなり手痛い感じですが、大企業並みのセキュリティでゼロトラストをやりたいというのであれば、けっこうおすすめではあります。

もし中小企業でゼロトラストセキュリティをやりたいというのであれば、ほかのものでセキュリティ対策をするよりはお得ではあります。月額費用のほかに設定や運用の費用もかかるので、それなりのコストはかかりますが、いろんなところを変えられたりするのでおすすめです。

今日は、中小企業向けに即効性のあるセキュリティ対策をご説明させていただきました。我々日本ハッカー協会が集めたハッカーの方々の知見や、ハッカーの方々が社会で活躍できる活動を通して、中小企業の方々も簡単にセキュリティの有効性を向上させることが十分できると思っています。

そういう意味で、こういう中小企業の方々が見ていただくところで話すことで、少しでもセキュリティ対策を進めていただければよろしいかと思います。本日はどうもありがとうございました。