新型コロナウイルスの感染拡大は、2020年度の株式相場を大荒れにしたが、サイバー空間にも大きな影響を及ぼしている。三密を避けながら業務を継続していくため、多くの企業がテレワーク導入へ舵を切ったが、止むにやまれない中での性急な対応は、サイバー空間に蠢く攻撃者に新たに付け入る隙を与える格好となった。

もとより日本の多くの企業において、全社的なサイバーセキュリティ対策は初めの一歩を踏み出し始めたばかりと言える状況にあった。我が国のサイバーセキュリティ政策の根幹をなすサイバーセキュリティ基本法が施行されたのが2015年1月。それを受けて省庁や関連機関が各業界に対して様々なサイバーセキュリティ対策指針を出しているが、重要インフラ分野として位置付けられている業界の一部大手企業を除けば、満足な対策を取れている企業は少ないのが実情だ。

■CISO設置企業は半数

NRIセキュアが国内約1800社を対象に調査を行った「企業のセキュリティ実態調査2019」によると、CISO（最高情報セキュリティ責任者）を設置している企業の割合は53.4％に留まっているという。同じく調査対象となった米国は86.2％、シンガポールは86.7％だ。これは日本の半数の経営層がサイバーセキュリティの重要性を意識していないか、組織内に適切な人材がいないことの表れとも読み取れる。

CISOを設置できている企業においても、その配下の人材不足に悩まされているケースは少なくない。本来、サイバーセキュリティ対策は全拠点・全社員に関わる横断的な一大プロジェクトとして捉えて然るべき規模のものだが、それを主導するための人材も予算も足りていない企業が大半だ。たとえ予算があっても人材は急には育たない。長年に渡る社内IT人材教育への投資不足は、サイバーセキュリティ人材不足へそのまま跳ね返って来ている。実際、筆者の企業へ寄せられる依頼として2番目に多いのが、経営層やCISOに対するサイバーセキュリティ戦略策定支援であることから、企業が抱える課題がそこにあることが分かる（ちなみに1番多いのはサイバー攻撃のインシデント対応である）。

つまり、多くの企業において全社的なサイバーセキュリティ対策が未成熟なところに今回のコロナ禍が起こったと言えるが、性急なテレワーク化の副産物として生まれたのが、攻撃者にとっての侵入経路とターゲットの拡大だ。

■急増するビジネスメール詐欺被害

テレワーク化のための大きな要素を挙げるとすれば、自宅など外部からの社内ネットワークへのアクセスと、クラウドにおけるやり取りの増加だろう。外部からアクセスできる窓口が広がったことは攻撃者にとっても侵入の選択肢が増えたことを意味する。また、クラウドに多くのデータが置かれるようになったことは窃取対象の情報が増えたことを意味する。本来であれば、組織内においてどこに機密情報や個人情報があり、事業内容に応じて何をどう守るかを整理したうえで、全社的なセキュリティポリシーを策定し、個別の対策を講じるのが常道だが、コロナ禍は一足飛びにテレワーク化に向かわせた。急な対応を迫られたIT担当者の方々には同情を禁じ得ないが、性急な対応は脆弱性を見落としがちだ。

昨今の攻撃者の目的は金銭であることがほとんどである。ビジネスメール詐欺被害が拡大しているのはその証左だろう。脆弱性のある侵入経路から組織内に入り込み、内部でのやり取りを盗み見たうえで、実在する取引を装った偽の振込指示を出す手口の背景にあるのは、内部の状況を相当な期間を掛けて観察しているという攻撃者の動態だ。

緊急事態宣言が解除され、通常業務への段階的な移行が進み始めた6月以降、社内のシステムやネットワークで不審な動きが見つかったという問い合わせが急増している。それらに共通するのは問題が発生した時期が3月から5月であるということと、気付くのが遅れたのは検知システムやレポートラインの不備に起因するということである。が、これらはコロナ禍が問題発生を早めたかもしれないものの、いずれは同じようなことが起こっただろう。結局のところ、サイバーセキュリティ対策は経営層が何を守り何を捨てるかを決めるところからしかスタートできないものだからだ。

7月16日にはビジネスメール詐欺に関わったとされる日本人男性2名が警視庁に逮捕された。従来は海外の組織犯罪グループによるものと考えられていたビジネスメール詐欺も、一部で内製化が進んでいるとも推測される。動いたのが警視庁組織犯罪対策総務課であることも気掛かりだ。経営層や経理部門に内部情報に基づいた不審なメールが届いている場合は、一度社内のセキュリティ状態をチェックし直すことが望ましい。（スプラウト 高野聖玄・代表取締役社長）