22年2月にトヨタ自動車の関連会社でサイバー攻撃が発生しました。

と、影響範囲はとてつもない規模です。サイバー攻撃の狙いは大企業のトヨタ自動車を狙うのでなく、関連会社を狙ったサイバー攻撃であり、結果的に自動車生産に大きな影響が出ました。

近年は関連会社のシステムを乗っ取り、大元の大企業を攻撃をする「踏み台攻撃」と呼ばれるサイバー攻撃が急増しています。「踏み台攻撃…？」とあまり馴染みがない方もいるかと思いますので、普段からサイバー保険を売っている僕がわかりやすくまとめてみました。

本記事を読んでほしい人

僕の自己紹介

踏み台攻撃とは

「踏み台攻撃」とは、比較的セキュリティ対策の弱い会社のコンピュータを乗っ取って、ターゲットである企業への攻撃に使用することをいいます。

ちょっとわかりにくいので、例を使って解説します。

<とある日>

<数日後>

と、いったような流れです。

被害者であるA社と同様にＢ社も被害者ですが、結果的には加害者のようにサイバー攻撃に加担してしまう。これを「踏み台攻撃」と呼んでます。

直接大企業は狙わない、中小企業を狙ってくる

踏み台攻撃が怖いのは狙われたのは関連会社のＢ社という事実です。
いきなり大将を狙うのではなく、比較的セキュリティが弱いであろう中小企業のシステムに侵入してきます。

つまり大企業だけでなく中小企業も含めたあらゆる企業が攻撃対象であるということです。

私もよく、中小企業の社長様とサイバー攻撃関連のお話をさせて頂くのですが

と、お話される経営者様も多いです。

でも実際は。

冒頭にご紹介したトヨタ自動車の関連会社へのサイバー攻撃は、被害を拡大しないように外部とのネットワークを遮断したことで部品の受発注ができなくなったのが理由なので、厳密には「踏み台攻撃」ではないですが、魔の手は中小企業にも及んでいます。

サイバー攻撃のニュースは後を絶たない

乱雑で恐縮ですが、話題になったニュースをいくつか紹介します。

話題になったニュースをピックアップ

など、サイバー攻撃による被害は日々増えています。

特にインフラにも影響がある製造業へのサイバー攻撃のニュースが多いように思いますね。かくいう保険業界でも起きています。

経営者のみなさまには、踏み台攻撃をはじめとするサイバー攻撃は決して他人事ではなく、自分事化して真剣に向き合うべきと強くお伝えしたいです。

踏み台攻撃の影響範囲はデカい

では実際に踏み台攻撃を受けた場合の影響範囲についてですが、ザッと考えるだけでもこれだけのリスクがあります。

考えられるリスク

参考：サイバー攻撃が企業に与える影響

踏み台攻撃ではないですが、私も前職でTVやニュースでも取り上げられるようなネット上でのトラブルを経験したことはあり、やはりあることないこと含めて叩かれました。社内でも変な噂が流れたりもしました。

「信頼は簡単に落ちる、取り戻すのは時間がかかる」ことを、身をもって経験したからこそ、できる限りみなさんにも今できる対策は取っていただきたいですね。

アンケート結果からわかるサイバーリスクの実態

中小企業の経営者に聞いた、こんなアンケート調査結果があります。
※踏み台攻撃だけでなく、サイバー攻撃全般のアンケートです

サイバー攻撃の被害に遭うとも、被害の規模もイメージができていない会社様も多いのが事実。

こんな実態もわかっています。

サイバー攻撃の対策は十分でないし、そもそもどう対策したらいいかわからないと感じている企業様も多い。サイバーリスクは専門用語が多く、普段からWEBサイト構築やシステム関連業務に接していない人だと、なかなかとっつきづらいのも確かにわかります。

一方で、

アンケート結果では約20%もの企業様がすでに被害を経験しています。知らない、わからないでは大きな損失になりかねないですし、もし踏み台攻撃による損害賠償請求がされた場合には最悪倒産リスクも出てきます。

サイバー攻撃による被害はニュースで取り上げられることも増えてきていますし、今後より増える可能性が高そうです。

参考：日本損害保険協会
中小企業の経営者のサイバーリスク意識調査2019
国内企業のサイバーリスク意識・対策実態調査2020

個人情報保護法が22年4月に改正【より厳しく】

これだけサイバー攻撃が増える中、22年4月に個人情保護法が改正しました。個人情報を持っている企業ならば、マストでおさえておきたい法改正ですね。

いくつか変更点がありますが、サクッとサイバー攻撃に関連しそうなポイントを2点だけご紹介します。

①個人情報漏えいの報告義務と本人への通知も義務化に。

法人に対して「個人情報漏えいの報告義務」と「被害者への通知義務」が追加されます。

前までは個人情報が漏えいした事実の報告はあくまでも「努力義務」だったのですが、改正法では「法令上の義務」になります。企業としては当たり前の責任かもしれませんが、言い逃れができなくなります。報告フローも先に決めておかないと、いざ事故が発生した際にはてんやわんや。なんてことも。混乱しないように報告フローを整えておきましょう。

②命令違反や虚偽報告などをした際に発生するペナルティが厳しくなります。

改正前後の法定刑の比較（法人の場合）

22年4月の個人情報保護の改正により、法人に対する罰金刑が引き上がりました。

個人情報保護委員会からの命令違反や虚偽報告と、きちんと対応すればないこともしれませんが罰則規定は厳しくなりますので、的確に調査・対策して、正しく報告したいですね。より詳しく知りたい方は個人情報保護委員会のサイトでも個人情報保護法改正の概要や対応のチェックポイントがまとめられていますのでご参照ください。URLを貼っておきます。

参考：個人情報の保護に関する法律等の一部を改正する法律（概要）/個人情報保護委員会、改正個人情報保護法対応チェックポイント/個人情報保護委員会

サイバー攻撃への対策

最後に、サイバー攻撃、踏み台攻撃について紹介してきましたが、どういう対策が必要かまとめます。

大前提としてはトヨタ自動車の取引先事故にもあるように、サイバー攻撃の手口は日々進歩しており、くどいようですが完全に防ぐことは難しいです。ただ、適切な対策を講じておけば、被害を最小限に抑えられます。

会社のセキュリティ対策を強化する

出費や工数のかかるものではありますが、企業としてはリスクマネジメント観点からもどれも必ず対応しておきたいTODOです。いくつか例をあげておきます。

自分たちでできる範囲の対策をとる

費用をかけずとも小さなことからでもできる対策はたくさんあります。まずは以下のような身近なところから始めてみるのはいかがでしょうか。

サイバー保険で備える

私が保険マンということでサイバー保険もおススメさせてください＾＾；

そんな課題をお持ちの企業様も多いので、ぜひサイバー保険をおススメしたいです。損害賠償請求をはじめとする費用面のカバーはもちろんのこと、専門コンサルタントを紹介してくれるサービスも付いてたりします。なので自分で動かなくても保険会社が色々と助けてくれます。

いざという時に、すぐ近くに相談ができる人がいるいないでは安心感も、事故対応スピードも格段に変わります。うちは「全国どこでもOK!リモートでのご相談」「まずはメールでの見積もりもOK！」です。不安なことは早めに解消していきましょう。

1分で問い合わせ！

他にも経済産業省が出しているサイバーセキュリティのガイドラインも参考になります。サイバー攻撃から企業を守るための『経営者が認識しておくべき3原則』と、セキュリティ対策の責任者に指示すべき『重要10原則』が紹介されていますので、リスク回避のために一読しておくのがよいでしょう。

参考：経済産業省
サイバーセキュリティ経営ガイドライン

まとめ

いかがでしたでしょうか。サイバー攻撃の手口は巧妙化してきており、実際「踏み台攻撃」と呼ばれる手法では、大企業だけでなくあらゆる業種、規模の企業が狙われるリスクがあります。

みなさんも、例えば「自動車事故が起きると人の命に係わるので怖い。保険でカバーしないと！」と、自動車保険に入られらっしゃる方は多いと思いますが、サイバー攻撃も身体的なダメージはなくとも、企業にとっては致命的なダメージになる可能性は往々にしてあります。
まだサイバー攻撃に対する対策が足りないなと感じた方は、ぜひ紹介させてもらった対策を今日から始めてみてくださいね。