第34回 サイバー攻撃とBCP、そしてヒヤリハット

先般、自動車メーカであるトヨタの関連会社がサイバー攻撃の被害に遭い、トヨタの国内ほぼ全工場、関連自動車メーカの主たる工場のラインまでもが、終日止まることになり、大きな話題になりました。サプライチェーン上の一会社の、一台のパソコンから始まったマルウェアの感染が、大企業の製造ラインを丸一日止めてしまう結果になったのです。一万三千台の自動車製造に影響が及びました。結果的にBCP(Business Continuity Plan、事業継続計画)の不備を突かれたことになります。近年、サイバー攻撃もテロや災害、システム障害等、予期することが出来ず、また避けられない事象として扱われるようになり、その重要な対策として、改めてBCPの見直し、あるいはサイバー攻撃への対応が注目されています。

サイバー攻撃による危機は身近なものであり、被害にあった時、特にそれが目に見える形となった時の損害は甚大なものであり、取り返しがつかない場合も少なくありません。今回のトヨタの事象はその典型でしょう。しかしながら可能な限りのセキュリティ対策を行うことによって、サイバー攻撃をかなり防ぐことができることは周知のとおりです。ただし、残念ながらそれは絶対ではありません。例えば、いくら注意深くとも、マルウェアを仕込まれた添付ファイルを開けてしまうことはあり得るのです。標的型メール攻撃の演習と称して、最近のマルウェアの手法である、過去に送られたメールや実際に存在する関連会社、あるいは顧客会社の名を騙って、添付ファイルを開けさせるように仕向け、それに騙されてしまう人に注意を促す訓練を行っていますが、その演習によって、騙されない人を皆無にすることは不可能なのです。騙される人が100人から10人に減ろうが、10人から1人に減ろうが、常に0人にならない限り、一人でもマルウェアに感染してしまえば、内部から感染を他に広めていくことは一般に容易なのです。

最近、「レジリエントセキュリティ」という言葉が聞かれます。レジリエントとは、復元力、回復力と訳され、防災の分野では、万が一に災害にあったとしても被害を最小にとどめ、復旧を容易にすることです。セキュリティの分野で、しかも個人のパソコンやスマホが対象となると、レジリエントを実現するのはなかなか難しいことです。しかし、少なくとも、被害にあった際のことを想定しておくことは必要であり、そこから必要な対策は見えてくるでしょう。

「セイフティ」と称する労働安全の分野では、「ヒヤリハット」という言葉が存在します。これは日本語であり、仕事中にヒヤッとしたこと、ハッとしたことで、幸いにして事故に至らないまでも、危ないと感じたこと、事故を起こしそうになることです。労働災害の分野では、このヒヤリハットを重要視し、問題の大小に関わらず、個々のヒヤリハットを必ず企業内で報告、共有し、そして分析することによって、事故を未然に防ぐ活動が行われています。セキュリティの分野でも同様に、このヒヤリハット活動が必要なのですが、極めて残念なことに、このヒヤリハットが通常、見えない、感じないことが最大の問題なのです。この見えない、感じないヒヤリハットを幾分でも見えるように、感じるようにする工夫が大事です。UTMやSOC 等、物理的な監視装置で実現できる可能性はあるものの、中小企業にとっては、そのコストを考えると必ずしも容易ではないでしょう。結局、従業員一人一人の意識教育が重要であり、この見えない、感じないヒヤリハットを少しでも見えるように、感じるようにすることで、事故、すなわちサイバー攻撃の被害を防ぐことが可能となるのです。

さらに労働安全の分野では、「ハインリッヒの法則」というものがあります。それは1件の重大事故の背後には、29件の軽い(軽症)事故、そして300件の無傷事故、つまりヒヤリハットが存在するというものです。この300件を従業員で共有することによって、重大事故を防ぐのです。サイバーセキュリティの分野でも、多数のサイバー攻撃から、見えない、感じないヒヤリハットに晒されており、同様なハインリッヒの法則は存在します。サイバーセキュリティ対策でも、まずヒヤリハット活動と同様、重大事故を想定し、それを防ぐために、従業員個々の意識を高め、サイバーセキュリティでのヒヤリハット、つまり、何が被害につながるのか、何が起こるのかを理解することが重要です。