気になるのは「パスワードの脆弱性をつかれた」部分…アサヒのサイバー攻撃被害に学ぶ企業のリスク管理
大企業をターゲットとした、サイバーテロ攻撃の脅威が増しています。昨年のKADOKAWA・ニコニコ動画への攻撃によるサービス停止は記憶に新しいですが、今年も飲料メーカー大手のアサヒグループHD(以下、アサヒ)、ネット通販大手アスクルなどへの攻撃が続発しています。 【画像】情報漏えいの発生、またはそのおそれがある個人情報の詳細
◆企業はサイバー攻撃にどう対処するべきか
被害が甚大なアサヒのケースは、ロシア系ハッカーグループと思われる「Qilin(キリン)」によるランサムウェア攻撃でした。発注システムが機能不全となり、同社は急きょ、電話、FAXなどを駆使したアナログ対応での業務継続を余儀なくされました。 被害総額は約30億円ともいわれ、個人情報191万件が流出した可能性も懸念されています。企業は明らかな犯罪行為であるサイバー攻撃に、いかにして対処するべきなのでしょうか。
◆アサヒのサイバー攻撃被害から得る大きな教訓
アサヒは攻撃発覚から約2カ月を経て、トップによる記者会見を行いました。 それによると、同社のセキュリティーレベルについては、「米政府機関NISTが策定したサイバーセキュリティー対策基準に基づいて対策を講じ、ホワイトハッカーによる模擬攻撃を実施するなど、必要十分な対策をとっていたと認識していた」(勝木敦志社長)とのことで、考え得るセキュリティーレベルに瑕疵(かし)はなかったとの見解を示しました。 その上で今回の攻撃について、「私どもの認識を超えるような高度かつ巧妙な攻撃だった」と無念さをにじませました。確かにハッカーのハッキング技術は、日々高度化しているのは確実で、企業サイドのセキュリティー強化とはいたちごっこの感を拭えません。 ただ気になるのは、会見の中でそのハッカーの侵入を許した原因として、「パスワードの脆弱性をつかれた」という言葉で語られた部分です。細かい説明はありませんでしたが、言ってみれば、「推測されやすいパスワード」「複数個所での同じパスワードの使いまわし」「長期間同じパスワードでの放置」などが、その中身であると推測されます。 すなわち、どれだけ強固なセキュリティーを構築しようとも、現場での意識の甘さがあった場合、それは容易に打ち破られてしまうリスクをはらんでいると言えるのです。この点は、今回のケースからの大きな教訓の1つであると考えます。 そのあたりを強化するためには、社内管理体制の整備も重要になってくるでしょう。リスク管理部門は上場企業であれば、基本的に設置されているはずですが、企業によってはITセキュリティーの専門担当者の設置がなく、IT部門との兼務でむしろリスク管理については副業的な扱いになっているケースも散見されます。 アサヒで見られた情報セキュリティーを統括する担当役員が置かれていないなどのケースも含め、サイバー領域におけるリスク管理に対する認識の甘さがあるならば、今回の件を他山の石としてしっかり強化する必要があるでしょう。
