去る12月14日、トーランスのToyota USA Automobile Museumで、第200回ビジネスセミナー「米国日系企業の抱える経営リスク：サイバーセキュリティー・情報漏えいに関する最新事情」を開催した。講師には、Soliton Cyber & Analytics, Inc.の藤澤哲雄さん、Squire Patton Boggs所属の須山大樹弁護士、NRIセキュアテクノロジーズの原田大さんの3人の講師が、日系企業が注意すべきサイバー攻撃の脅威について解説した。

第1部 米国と日本のサイバー攻撃の現状

[講　師]

藤澤哲雄さん
Soliton Cyber & Analytics, Inc. 社長。日本IBMに勤務した後、米国日立製作所で12年間、技術管理および米国ビジネス開発マネジメントに携わる。米国にてIT関連ベンチャーを立ち上げ、日本にも展開。情報漏えい防止のための新しいIT分野を開拓している。

企業にとって脅威となるサイバー攻撃とは

今回のテーマであるサイバーセキュリティーを語るにあたって、藤澤さんは「保険会社Travelersの2015年の調査によると、米国の経営者がビジネスで最も心配していることは、1位の医療費の上昇に次いで、2位が情報漏えいであり、企業にとって情報漏えいが大きなリスクとして認識されていることが分かります。特に米国では不正アクセスによる情報漏えいが多発しており、被害も大型化しています。大手企業に比べると中小企業は、サイバー攻撃への対策が後手に回っていますが、サイバー攻撃には情報漏えいがつきものですので注意が必要です」と、サイバーセキュリティーを疎かにした場合のリスクから解説を始めた。

米国における身近な情報漏えいの例では、2013年には小売りチェーンTargetの4000万件のクレジットカード情報を含む個人情報が流出、2014年にはホームセンターのThe Home Depotからも顧客のカード情報が流出する事件があった。「こうした過去の大型の情報漏えい事件の95％は、フィッシング詐欺から始まっています 」。フィッシングは、誰かになりすましてEメールを送り、メール内のURLをクリックさせて偽サイトに誘導し、住所や氏名、銀行口座、クレジットカード情報などの個人情報を入力させて盗もうとするものである。近年、そのEメールの内容は巧妙化しており、詐欺かどうかを見分けることが難しくなっているという。また、そのEメールに添付されているファイルをクリックさせることで、マルウェアと呼ばれる悪意のあるソフトウェアに感染させるものもある。

サイバー攻撃増加の背景と対策

サイバー攻撃が増加している背景について、藤澤さんは犯罪組織のインフラが整備され、一般の人が気軽にオペレーターとして犯罪に加担できてしまうようになっていることを挙げた。「自分の知っている企業や相手にフィッシング・メールを送り付け、1カ月30万ドルを稼ぐ人もいます。 大量に送れば送るほどクリックする人も増えますし、要求した金銭を支払う人も出てきます。この分野で2015年には3億2500万ドルの資金が集まったと言われています」。

そうしたサイバー攻撃を受け、情報漏えいが発生した場合、大手企業では平均379万ドルの損失が発生しているという。「謝罪、損害賠償金に加え、ブランドに傷が付くことも計算に入れると、金融、医療関係企業の被害はもっと大きくなるでしょう。一方で、中小企業では情報漏えいの被害に遭っても、コンプライアンス団体からの要求がない場合、原因調査をせず、問題の起きたコンピューターのマルウェアの消去と、再発防止のためのソフトウェアをアップデートして終わりということもあります」と藤澤さん。

日系企業が講じるべきサイバー攻撃への対策は

サイバー攻撃への対策として以下の3つが推奨された。(1) 従業員に対するサイバーセキュリティー教育、(2) 社内で規定したポリシーの徹底、(3) 新型のマルウェアに対応したセキュリティーソフトなどの技術の利用である。「まずは従業員にセミナーなどでトレーニングを行い、社内のサイバーセキュリティーのリテラシーを高めること。そして、外部から端末を持ち込ませない、私用のクラウドサービスの利用を制限する、業務に関係のないインターネットの閲覧を避けさせるなどのポリシーを規定して徹底させること。それから、アンチウィルスソフトを導入した後はアップデートを欠かさないことです」。しかし、これらをもってしてもサイバー攻撃は完全には防げるものではない。「まずはこれら最低限の発生防止策に取り組み、発生の可能性を最小限にするとともに、発生してしまった場合はいかに早く発見し、早く対応するかということが重要です」と強調した。

もう一つ注意すべきは、内部からの情報漏えいだという。PWCの2015年の調査によると、 情報漏えいの原因は、米国の場合、現行の社員35％、退職者30％、ハッカー24％、委託業者18％、過去の委託業者15％、不明18％（日本の場合、現行の社員27％、退職者11％、ハッカー18％、委託業者5％、過去の委託業者8％、不明43％）という結果である。「外部だけでなく、内部からの情報漏えいリスクに備える対策が必要と言えます」。また、近年、サイバー攻撃の対象が広がってきており、WindowsのPCだけでなくMacをはじめ、タブレット端末や携帯、iPhoneやAndroidのスマートフォンなどを対象にしたマルウェアも出てきているという。藤澤さんは、今後IoT（Internet of Things、インターネットに接続されたモノ）が増えれば、自動車やカメラなどにもその対象が広がっていくのではないかと予想した。

第2部 内部からの情報漏えいを防ぐ

[講　師]

須山大樹さん
Squire Patton Boggs所属弁護士。企業法務、訴訟、コンプライアンス、および国内・国際間の商業取引を専門分野としており、雇用、商業契約、企業秘密、知的財産権などに関する訴訟や紛争解決について豊富な経験を有している。

情報漏えいの大半は内部から起こる

外部からのハッキングによる情報漏えいに比べるとあまりニュースにならないが、情報漏えいの大半は内部に原因があるという。例えば、現職の社員、退職した社員、コンサルタントなどの委託業者、過去の委託業者などの関係者だ。須山さんは「彼らは社内のどこに価値のある情報があるかを知っているので、それらを持ち出そうと思えば簡単にできてしまいます」として、内部からの情報漏えいに焦点を当てて話し始めた。

弁護士である須山さんは「内部からの情報漏えいを防ぐとなると、雇用契約や委託契約に秘密保持条項を入れたり、Confidentiality AgreementやNon-Disclosure Agreement（秘密保持契約書）を交わすことを考えますが、重要なのはそのような秘密保持契約で保護したい『自社の秘密情報とは何なのか』をしっかりと定義することです。一般的に営業部門であれば顧客リストであったり、食品業界であれば製造工程であったりしますが、そのような情報の中からでも貴重な顧客に関する情報、また一つや二つの工夫されている工程プロセスが会社にとって特に重要なわけです。 秘密情報は漠然と捉えるのではなく、会社にとって本当に重要な秘密情報が何かをなるべく細かく特定することにより、その情報を分割して守りやすくなります。特にアメリカで狙われるのは、公開して法的保護を受ける特許、商標、著作権などの知財よりも、秘匿することにより営業秘密という保護を受ける秘密情報です」と解説した。ここで注意すべきは、営業秘密は、会社がそれを保護する努力をしていないと法的に保護される営業秘密として認められないという点だ。その営業秘密を守るために、企業が合理的な措置を実施していることを立証できないと、営業秘密として認められず、保護されない場合がある。「一昔前であれば秘密情報は金庫にいれて鍵をかけておけば良かったかもしれませんが、現在、秘密情報は会社のシステムやクラウドに上がっており、盗み出す手口も、それを保護する方法も変わってきており、技術的進歩に見合った適切な保護を行っていたかどうかが問われます」という。

秘密保持契約の作成と注意点

2016年には「営業秘密保護法（Defend Trade Secrets Act of 2016）」が成立。これにより、これまで各州法で認められていた営業秘密の保護措置を連邦裁判所で提訴することが可能となった。また、秘密保持契約には「会社の不正や違法行為を政府当局や弁護士に対して通報する場合は、営業秘密を条件付きで開示できる」という記載が必要になったため、この法律の成立前に作成された秘密保持契約の見直しが必要になっている。

人事で見落とされがちなのが、自社が雇った人が前職の秘密情報を持ち込んでしまうケースだ。転職をする場合、前職の貴重な秘密情報を持ちだすというのは転職者にとって大きな誘惑となる。自社の従業員が他社の営業秘密を不正利用した場合は会社の責任も問われる違法行為になるので、新しい従業員が入った場合は、前職の秘密情報を使用しない、持ち込まないということを雇用契約書に盛り込むことも重要である。「ヘッドハンティングには、前職の情報や顧客リスト、ノウハウを手に入れたいという思惑もあると思いますが、他社の営業秘密を不正使用することは違法です。そのような場合、雇った会社側が訴えられるケースは珍しくありません」と注意を促した。

そのほか、会社全体のポリシーとして「情報システム管理規定」を導入するべきという。基本的な内容には、(1) 会社の情報システムに保管されている情報は全て会社のものである、(2) 会社の情報システムは業務を遂行する目的以外で使用しない、(3) 会社はそのような情報をいつでも調査またモニターする権利があり、それはプライバシーに優先する、(4) 個人のPCや携帯に存在する会社の情報は全て会社のものであり、退職する場合は会社の情報が全て削除されているか確認する権利がある、という規定が必須である。「規定があっても、従業員がそれを実行していないと意味がありませんので、定期的なトレーニングや内部監査を行うことで教育と実施を強化していくことが重要」だという。

退職に伴う情報漏えいリスクを軽減するために

退職は人的な情報漏えいリスクを伴うが、退職者面接を行うことによって、そのリスクを減らすことができるという。退職者面接の準備としては、(1) そもそもどんな情報へのアクセス権を持っていたのか、(2) その情報が持ち出されていないかどうか、(3) メール、クラウド、外付けのハードドライブなどを接続して情報を外部に持ち出すなど、不審な行動が退職前になかったかを確認しておくこと。さらに、退職者のコンピューターのデータを保管しておくことも有効であるという。「PCそのものの物理的な保管、またはハードドライブのForensic Imageを取って保存しておき、何かあったときに確認できるようにしておくのも一つの方法です。また最後に、情報は全て返還しましたという証明書に署名してもらうことも忘れずに」。

さらに万全を期すなら「もし退職者が競合に転職する場合は、転職先にレターを送って 『転職者との秘密保持契約書が存在する』とけん制することもできますが、その場合は新しい雇用主との関係を妨害しているとみなされないよう慎重に行う必要があります。ほかには、退職後にリマインドを送り、『あなたはうちの会社に対する秘密保持の義務がある』という念押しをすることも一つのオプションです」という。須山さんは「これらの対策は、大手から中小まで、どの規模の会社でもできる簡単なことです。内部からの情報漏えいを防ぐための一つのステップとして検討ください」として締めくくった。

第3部 企業を標的にしたサイバー攻撃の実態を知る

[講　師]

原田 大さん
2007年NRIセキュアテクノロジーズ入社。12年から北米支社駐在。米国でのセキュリティオペレーションセンター（SOC）の事業立ち上げに従事し、現在はSOCマネージャーとして米国・インドのSOCオペレーションを担う。

マルウェアによる被害の現状

原田さんは、「 『敵を知り、己を知れば、百戦危うからず』ということで、まずはコンピューターのウィルスにはどんなものがあるか、攻撃者が何をしようとしているのか、視覚的に見て学んでもらえればと思っています」として、実際に送られてくる不審なEメールや添付ファイル、誘導されるウェブサイトの画面を見せながら、具体的な事例をもとに解説を行った。

「サイバー攻撃の発端となるマルウェアとは、ウィルスなど、コンピューターに被害をもたらす悪意のあるソフトウェアの総称です。 2016年、世界でマルウェアに感染してしまったコンピューターの割合は、アメリカで約30％、中国では約50％、日本で約25％です。米国では3台に1台のコンピューターが感染している、そのくらい身近な脅威になりつつあります」と衝撃的な数字を紹介した。「15年には8400万個のマルウェアが作られました。これは毎秒2個のスピードで新しいウィルスが生まれていることになります。多くのアンチウィルスのソフトウェアは、インターネット上に出回るマルウェアを集めて解析し、特徴を抽出。定義ファイルを作成し、ユーザーに配ることによって、コンピューターを保護していますが、このスピードに追い付けていないのが現状です」。

マルウェアの種類とその手口

マルウェアの手口を知り、サイバーセキュリティーのリテラシーを高めるのが一つのサイバー攻撃対策である。マルウェアとして以下の4種類が紹介された。

(1) アドウェア
インターネットを見ていると画面を埋め尽くすようにポップアップで広告が表示される。作成者の狙いはクリック数を稼ぐことによる広告収入である。Googleの調査によると、いまも多くのユーザーがアドウェアに引っかかっているという。「広告が表示されるだけなのでユーザーに害はありませんが、感染している自覚がない場合があります」と原田さん。

(2) ロウグウェア
正規のセキュリティーのソフトウェアを装った画面で、ユーザーのコンピューターがウィルスに感染していると警告してくる。さらに、駆除するために金銭を要求してくるのが特徴。「最近ではスマートフォンでの事例も増えている」という。

(3) ランサムウェア
感染するとコンピューター内のデータを暗号化してしまい、元に戻すための身代金（Ransom）を要求してくる。あるいは、データを人質に取って、時間が経つごとに削除する、またはコンピューターをロックして使用不可能にするケースもある。「ランサムウェアは、当初は個人を狙っていましたが、最近は企業を狙う傾向があります。16年2月にはロサンゼルスのThe Hollywood Presbyterian Medical Centerがランサムウェアによる攻撃で病院のデータを暗号化され、業務が止まってしまったという事件がありました」。

(4) ボットネット
ほかのマルウェアと異なり、ボットネットは感染しても症状がない。感染したほかのコンピューターと通信を行い、ネットワークのもっと重要なところに入り込もうとする。感染したコンピューターを自由自在に操り、何千台、何万台というネットワークを形成し、そこから一斉にスパムメールを送ることができる。「末端のコンピューター1台が感染して、本社のネットワークに入られてしまい、重要な技術情報を持ち出されてしまうケースがあります。セキュリティーの弱いところを狙うのが攻撃者の常套手段です」と原田さん。

Eメールによるフィッシングの手口

マルウェアとは異なる、攻撃者が仕掛けてくる巧妙なEメールでのフィッシングの手口として、二つの事例が紹介された。

(1)Eメール詐欺によるIDの乗っ取り

Eメールで『寄付するので連絡ください』などの内容を読ませ、URLをクリックするよう誘導するもの。「攻撃者にとって、直接的な金銭以外の目的はIDの乗っ取りです。こうして取得したID情報は、闇市場で取り引きされています。ただし、こういった情報の価格は下落しています」。

(2)マルウェアの配布

知り合いなどになりすましてEメールを送り、 添付ファイルをクリックさせようとする。添付ファイルをPDFに見せかけるなど巧妙化している。そのほか、宅配業者のFedExの不在通知に見せかけたメール、Apple IDの確認に見せかけてIDを乗っ取ろうとするメール、Bank of Americaを装って偽サイトにログインさせようとするメールなどの例があったという。また、タックスリターンの時期には、「IRSと見せかけて返金の手続きのウェブサイトに誘導し、ソーシャルセキュリティー・ナンバーや銀行口座を入力させようとするもの」も出てくるという。

最後に行われた質疑応答では、企業にとって関心の高いクラウドサービスについて質問があった。「自社でサーバーを持つべきか、クラウドに委託するべきか。どちらが安全なのか」という質問に対して、原田さんは「クラウドサービスを利用するメリットは、最新のセキュリティーがアップデートされていること。自社で最新のセキュリティーに対応しなくていいことです。一方でデメリットは、クラウド委託業者の提供するサービスのレベルに左右されることです。自社のサービスを載せる条件を満たしたスペックかどうかチェックしましょう」と事業における具体的なセキュリティー対策の選び方を助言して締めくくった。

参加者の声

NEWCOM Inc. の関口さん
「最近のサイバー攻撃の動向を知ることができました。感染したらあまり手立てがないので、最終的には社内の教育が最大の防御だということがよく分かりました」

KDDI Mitsubishi Rayon Carbon Fiber & Composites, Inc. の野村さん
「IT担当者なので、専門の方からいろいろな話を聞けて参考になりました。これをどう自社に落とし込んでいくかがこれからの課題です」

過去レポート一覧に戻る