いまだ復旧のめどが立っていない、アサヒグループホールディングス(アサヒGHD)のシステム障害。
アサヒGHD のコールセンター・受発注・配送・人事・会計など、企業運営の中枢を担う統合基幹業務システム(ERP)が停止し、ランサムウェアグループ「Qilin」が関与したことも明らかになってきた。
さらに、アスクルへのランサムウェア攻撃は、倉庫管理システム(WMS)を中心に被害を受け、物流センター入出荷業務や受注業務が停止し、加えて ASKUL LOGIST が請け負う物流業務も停止した。
「アスクルのランサムウェア攻撃被害は、無印良品、ロフト、西武・そごう、ネスレだけではない、その他の委託企業も。さらにそれだけではなく、ラストワンマイルはアスクルロジスト社だけでなく、中小の物流会社も関係。さらに特定の物品受注配送(例えば医療用品)に影響。いわば幅広い意味でのサプライチェーンに影響を及ぼしている」
―――そう伝えるのは、神戸大学 森井昌克 名誉教授・特命教授(神戸市サイバー攻撃対策アドバイザー、兵庫県警・徳島県警サイバー犯罪対策アドバイザーなど)。
何が被害につながるのか、何が起こるのかを理解することが重要
森井教授は、あらためて「安全管理の鉄則」を全社員で認識し、「セキュリティの可視化」「ゼロトラストセキュリティ」を徹底することを強調する。
「ランサムウェア攻撃の前に、犯行側はさまざまな侵入を試みている。
労働安全の分野では、「ハインリッヒの法則」というものがある。
それは1件の重大事故の背後には、29件の軽い(軽症)事故、そして300件の無傷事故、つまりヒヤリハットが存在するというのである。
この300件を従業員で共有することによって、重大事故を防ぐのである。
サイバーセキュリィの分野でも、多数のサイバー攻撃から、見えない、感じないヒヤリハットに晒されていて、同様なハインリッヒの法則は存在する。
サイバーセキュリティ対策でも、まずヒヤリハット活動と同様、重大事故を想定し、それを防ぐために、従業員個々の意識を高め、サイバーセキュリティでのヒヤリハット、つまり、何が被害につながるのか、何が起こるのかを理解することが重要である」(森井教授)
攻撃に至ることを前提とした事後対策が不可欠
「重要なのは『被害を防ぐ』ことではなく、『被害を受けたとしても、その被害を最小化し、迅速に復旧する』こと。
ランサムウェア被害が頻発する現状では、バックアップの整備は基本中の基本だが、それだけでは危機を回避できない。
肝要なのはBCP(事業継続計画)であり、それが単なる計画倒れとならないよう、実際に効率的な復旧を可能とする体制や訓練も併せて整備する必要がある。
計画を机上のものにせず、実践的に検証・改善し続けることこそが、次なる攻撃への最大の備えとなる。
アスクルのランサムウェア攻撃被害のように、大企業一社の被害が、多様な業種を巻き込む構図は、まさにサプライチェーンの脆弱性そのもの。
サイバー攻撃を「自社の問題」と矮小化せず、取引網全体を視野に入れた対策が求められている。
したがって、攻撃に至ることを前提とした事後対策が不可欠だ」(森井教授)
リスクの可視化 → 防御体制の構築 → モニタリングと改善
経済産業省「セキュリティ対策評価制度」が始動し、こうした専門家の考察・提言を受け、キヤノンマーケティングジャパングループのキヤノンITソリューションは、「年末商戦を前に企業がとるべきサプライチェーン防御策」について説明。
キヤノンITソリューションズ サイバーセキュリティラボ マルウェア解析課 池上雅人アナリストは、リスクの可視化 → 防御体制の構築 → モニタリングと改善 を継続的にサイクルを回すことが重要と唱える。
自社IT資産を把握しセキュリティ対策診断サービス導入を
「リスクの可視化」は、サプライチェーン全体像と自社IT資産を把握し、サポートの切れているソフトウェアやハードウェア、個人所有の機器や個人利用のサービス(シャドーIT)といった見落としがちなIT資産もチェックしていくことが求められている。
「防御体制の構築」では、技術面では ASM(Attack Surface Management)や EDR(Endpoint Detection & Response)、SOC(Security Operation Center)などの導入、人的対策面ではインシデント対応マニュアルの整備、BCP(事業継続計画)の策定、委託先との情報共有や共同訓練、委託先のセキュリティ対策状況を契約条件に含めるといった徹底が必要という。
そして、「モニタリングと改善」では、第三者評価を通じて客観的な改善指針を得る「セキュリティ対策診断サービス」の利用や、経済産業省が検討する「サプライチェーン強化に向けたセキュリティ対策評価制度」などを参考に、社内外の対策状況を定量的に把握することが重要と池上アナリストはいう。
専任エンジニアがヒアリングから報告まで実行
キヤノンITソリューションズ ITインフラサービス「SOLTAGE」に6月ローンチした「セキュリティ対策診断サービス」は、キヤノンITSにおいてマルウェア解析やセキュリティ技術研究など専門組織「サイバーセキュリティラボ」の専任エンジニアがヒアリングから報告まで実行。
診断結果をもとに分析した結果をレポートとして提供するほか、課題に対する優先順位をつけて具体的なセキュリティ対策を報告会にて提案してくれる↓↓↓
https://www.canon-its.co.jp/solution/industry/cross-industry/sec/sec-diag
リスクの可視化 経営層への説得力
キヤノンITソリューションズ 池上アナリストは、「セキュリティ対策診断サービス」で得られる3つのメリットをあげる。
◆セキュリティの現状把握とリスクの可視化 ――― 自社のセキュリティ対策状況を分野ごとにスコアリング対策として「何が足りていないか」現状が明確になる。
◆対策優先順位の明確化 ――― とくに対策が必要な項目を優先度をつけて提示、時間と予算を無駄にしない投資ができる。
◆経営層への説得力 ――― 診断結果はわかりやすいレポート形式で納品、社内経営層に対しての予算申請やリスク説明への活用が可能。
IT資産を発見 報告する ASMサービス
さらに池上アナリストは、インターネットにさらされているIT資産を発見・報告する「ASMサービス」で、サイバー攻撃の侵入口となりうる IT資産を発見し継続的に管理する対策も推奨する。
このキヤノンITソリューションズ 「ASMサービス」は、Menaya社が提供する ASMツールを使用し、ASM検査の継続的な実施とレポートを提供するサービス↓↓↓
https://www.canon-its.co.jp/solution/industry/cross-industry/sec/asm-service
その特長は、次の 4点だ。
分かりやすくレポート 危険度を可視化 利用しやすい価格帯
◆キヤノンITSの技術者が運用し評価を分かりやすくレポート ――― ASMツールをキヤノンITSが設定し、インターネット側から継続的に診断。利用企業はレポートを受け取り確認するのみで、ツールの習熟・設定の必要がない。
◆スコアリングにより危険度を可視化 ――― 発見された、インターネット上に公開状態となってしまっているIT資産のスコアリングにより危険度を可視化し、対策の優先度や脆弱性診断の要否判断情報を提供する。
◆脆弱性診断サービスと組み合わせることが可能 ――― ASMで脅威面を確認したのち、より詳細に脆弱性を発見する脆弱性診断サービスを組み合わせることで、脅威面の検査から脆弱性診断までを一貫して実施可能。
◆予算に応じて利用しやすい価格帯を選択可能 ――― ASMツールの初期設定・実行・継続検査・毎月のレポートといったサービスメニューから、予算に応じて選択できる。利用料金は月額6万2000円から。
―――キヤノンマーケティングジャパンは、2025年上半期サイバーセキュリティレポートを公開。
証券口座乗っ取り被害の急増や能動的サイバー防御新法成立と各国の動向を解説している↓↓↓
https://canon.jp/biz/solution/security/it-sec/info/250925
