HOME > 部会報告 > 人財育成・教育研修部会 > 静岡情報産業協会 会員ニーズ対応セミナー【企業のためのサイバーセキュリティ対策セミナー】ご報告

静岡情報産業協会 会員ニーズ対応セミナー【企業のためのサイバーセキュリティ対策セミナー】ご報告

投稿日:2024年2月26日 月曜日

開催概要
  • 開催日時:2024年2月21日(水)13時30分~15時00分
  • 場  所:静岡商工会議所
  • 参 加 者:公安調査庁様4名、受講者19名
  • 講  師:公安調査庁 公安調査専門職 中村信貴氏
  • 対  談:静岡情報産業協会理事長 久保田光二氏
報告等
(1)テーマ「国家主体が関与するサイバー攻撃の脅威」

周辺3か国からのサイバー攻撃状況の事案をご紹介いただきました。
攻撃する組織の目的達成のために、まったく関係のない学校や企業がさまざまな手口で無差別に攻撃をうける可能性があります。
サイバー攻撃は犯罪であり、情報摂取、金銭支払は大きなダメージであると同時に、攻撃する組織や個人に大きな利益をもたらせてしまうことに危機感を感じる内容でした。

(2)トークセッション「企業に求められるサイバーセキュリティ対策を考える」

当協会理事長の久保田氏から企業目線で多くのテーマについてご質問する形式で対談をしていただきました。
対談の中でいくつか学んだ点を紹介しますと、

  • サイバー攻撃は個人や小国が大国に攻撃できるほど簡単な手段である。
  • 我々企業は、サイバー攻撃に対して対応していくことが必要であり、対策にかかる必要はコストではなく、資産として投資していけると良い。
  • あらゆる防御策を実行するには莫大な投資が必要になってしまう。出来ることから始め、積み重ねることが大事。
  • 攻撃を受けた際の事業損害を想定し、リスクにあった対策ができると効果的。
  • システム開発契約先に周辺国の企業が入り込む可能性もある。委託先の選定や管理には、情報だけでなく十分なコミュニケーションをとり見極めることが大事。

など非常に考えさせられる内容であったと思います。

まとめ

サイバー攻撃は必ず被害に合うものではないかもしれませんが、被害を受けたあと、学校や企業がどうなってしまうかを想像し、まずは危機感をもつことがスタートであり、それぞれが大切な資産を守るためにサイバーセキュリティ対策を実施することが大事だと感じました。

【企業のためのサイバーセキュリティ対策セミナー】内容要約

(1)テーマ「国家主体が関与するサイバー攻撃の脅威」
  • 目的は先端技術の情報摂取による自国成長、自国を有利にするための攻撃・情報操作、不正な金銭獲得による軍事開発などがある。
  • 手段はネットワークを使った直接的攻撃、日本国内サーバを活用した攻撃、退職後の未削除アカウントを使った不正侵入、ランサムウェアによる脅迫や暗号資産や外貨の獲得、身分を隠したプログラム開発の受託による外貨の獲得など様々。
  • 情報活動への協力が法律に定められている国も存在し、国民が従うケースもある。
  • サイバー攻撃は攻撃者側にとってはコスパの良い活動で今後も継続されていき、手法も進化合理化されていく。
(2)トークセッション「企業に求められるサイバーセキュリティ対策を考える」
  • サイバー攻撃は個人や小国が大国に攻撃できるほど簡単な手段。
  • ランサムウェアには専門組織がテンプレート化されたものがあり、世界各地の犯罪者が利用して攻撃できてしまう状況にある。
  • 暗号化での脅迫以外にもデータ公表するという脅迫に手口も変わってきている。
  • 被害にあった場合の身代金要求に対しては、成功することで第2第3の被害が生まれないように国としては身代金を払わないことをお願いしている。暗号化を解除してもらえないリスクもあり、払い損になることもある。
  • 脆弱性対応について注意する点は、公表されている脆弱性を利用とした攻撃もかなり多く確認されているので、活用しているシステムの脆弱性情報を収集して適用していくのが大事。
  • ゼロデイ攻撃など対策が難しいものもあるが、IPAやJP-CERTなどは危険な脆弱性を優先して公表しているので参考にしてほしい。しかし、そういう専門家を企業内におくのも悩ましい問題ではあるが、サイバーセキュリティ対策はコストではなく資産として規模に合った投資をしていただければと思う。
  • 情報資産が暗号化されたとした場合、事業損害がどのくらいあるのかを想定して、情報資産のバックアップなどのセキュリティ対策をしていくのが大事。一般的な脅威だけでも良いので検討して対策を進めていくことが大事。
  • ゼロトラストのような知らないうちに侵入されて知らないうちに情報を抜かれることもある。EDRサービスを活用し、すべての端末の挙動を監視して、普段実施しない異常な動きを検出するサービス導入も選択肢のひとつとして検討できる。
  • 生成AIで間違えたニセ情報で学習したしまったものを正解だと思って活用してしまうリスクがあり、攻撃する組織の戦略になりえる可能性がある。必ずしも真実ではないと疑ってみるべきで、聞き方など変えたり、逆引きであったり、情報元を確認するなどをして事実に近づけることができる。
  • 外貨獲得目的で請負開発をするケースで、情報搾取されるものが仕込まれてしまうリスクが考えられる。日孫請けの会社が北朝鮮だったというケースもあるので、契約先のバックグランドの調査、対面や会話でのコミュニケーションをする。仕事をする相手なので相手を見極めることが大事。
  • 機微な情報でもないがPPAPを実施している企業はまだ存在する。脱PPAPは認識されてきており徐々には改善されている。別の手段を用いて通知するという工夫が必要。
    パスワード付きZIPファイルを受け付けないシステム導入する省庁・企業も存在している。
参加者からのトーク
  • サーバ攻撃を防ぐのは100%難しい。入られることを前提として被害を防ぐ方法を検討して対策をされるのが良い。すでに入られている可能性があるという危機感をもって検討してもらえればと思う。ネットワークの設計思想上日本はアメリカに比べると被害に追いにくいとみている。
  • PC以外のIT機器を利用しているIT機器に詳しくない方々への効果的な教育や訓練は少し難しい面もあるが、教育は受けているだけでは実効性がないため、年1回長くやるような教育よりも、これだけは守ってほしい・いちばん気を付けてほしいことを繰り返し伝えていくことIT機器への効果的な対策は、業務システムへ接続する端末を管理・説明していくことが大事ではないかと思う
  • ゼロトラスト導入目的は「早期発見する」ということであれば必須となってくると感じる。
    IT知見の少ない方々への導入を進言するには、驚異の高まり、実害を認識して頂ける内容でお話しされると良いと思う。
    世の中の脅威度合いが分かると説得しやすいが、目安があれば良いですがなかなか無い。
    導入されたことで検知されるケースもあるので、危機意識をもって対応していただければと思う。
    経営者の方への危機意識を持っていただくために公安調査庁も広報や啓発活動をしている。
    ぜひ経営層向けに差し迫っていることを伝えていただけるようなことも企画してほしい。