会社がランサムウェア攻撃を受けたらどう対応する？「事業継続」に関わる重大リスクに、専門家2人が提言

BE PREPARED!

2024年12月25日（水）17時43分

構成・山田敏弘　写真・遠藤宏

中谷　VPN対策は単純ですが、国を挙げて行えば、中小企業は数が300万以上あり規模のメリットが働くので、効果は絶大だと思います。中小企業の対策では、イギリス型が参考になります。イギリスでは、国家サイバーセキュリティーセンターが、国として中小企業にサイバーセキュリティーの支援を行っています。セキュリティサービスも提供しています。

ただ全ての企業が難しいなら、重要インフラ15業種とそのサプライチェーンを国で支援する形でもいいでしょう。

ただし、現在のサイバーセキュリティの主流の考え方は、VPNなどによる境界型の防御から、多層防御に移っていますので、リスクが高い事業や企業はいわゆるゼロトラストセキュリティを実装することが不可欠です。簡単に言えば、ネットワーク、エンドポイント（サーバーやパソコン）、そしてクラウドのセキュリティ対策をリスクに応じて実装するものです。たまたまですが、この３つの英語にして（Network、Endpoint、Cloud Security）、頭文字を繋げるとNEC Securityになるんですよね（笑）。

──いま企業がまずやるべき対策はどのようなものか。

山岡　多要素認証の徹底と脆弱性対応の2点だと思います。これらは先ほどのVPN機器の対策にも当てはまります。これらを徹底するだけで大幅にサイバーリスクを減らせます。

中谷　ネットに対する見方を変えたほうがいいと思います。インターネットにつなぐと「盗まれる」「だまされる」「脅される」「邪魔される」のです。それを理解しておくことは大事です。例えば学校で防犯教育をするように、デジタルセキュリティー教育もやるべきだと思います。

──いまランサムウエア攻撃について関係者の間で大きな話題になっていることの1つに、ランサム（身代金）を支払うかどうかがある。

山岡　ランサムウエアの身代金を支払うことの適法性が問題になります。アメリカの場合は、財務省外国資産管理局が重要です。日本では、現在のところ外為法規制も関わってくる。いずれにも共通するのは、そこに列記された集団に対して身代金を払ってはいけないということです。

次のページ身代金を要求されたときに備える企業が増加