ランサムウェア被害は大企業だけではない! 業務担当者が知っておくべき中小企業向けセキュリティ対策とSaaS型クラウドの選び方
サイバー攻撃の被害は、もはや大企業だけの問題ではありません。中小・中堅企業もランサムウェアをはじめとする攻撃の主要なターゲットとなっており、業務システムの停止やデータ喪失による経営リスクは年々高まっています。なぜすべての企業がセキュリティ対策を講じなければならないのか。そしてどうすれば効果的に自社を守れるのか。株式会社オービックビジネスコンサルタント(以下OBC)の執行役員で、開発本部 ICTセンター長の日野和麻呂に、サイバー攻撃の実態と具体的な対策について話を聞きました。
目次
- ランサムウェアによる「業務停止」は事業継続の危機に直結する
- ランサムウェアの標的は60%以上が中小企業
- 「侵入されることを前提」としたセキュリティ対策を行うべき
- コストとセキュリティを考えたら「SaaS型クラウド」がおすすめ
- 【SaaS型クラウド選定ポイント①】ランサムウェア攻撃を無力化する「権限分離設計」
- 【SaaS型クラウド選定ポイント②】データセンターの設置場所とクラウド基盤
- 【SaaS型クラウド選定ポイント③】ソフトウェア自体のセキュリティ対策
- 【SaaS型クラウド選定ポイント④】運用管理体制への「第三者評価」
(撮影:矢島宏樹)
株式会社オービックビジネスコンサルタント
執行役員 開発本部 ICTセンター 部長
日野和麻呂
同社製品の「勘定奉行iクラウド」「奉行V ERPクラウド」をはじめとする「奉行クラウド」の運用管理、デリバリー、モニタリング、継続的利用のための環境整備などを行うチームを統括。自社の情報システム部門の責任者も務める。
ランサムウェアによる「業務停止」は事業継続の危機に直結する
私は現在、お客さまに「奉行クラウド」を安心して利用していただくサービス提供者側の視点と、自社の情報システム部門責任者としての視点の両方で、日々セキュリティと向き合っています。その中で、近年はDXが進んで便利になる一方、サイバー攻撃のリスクは確実に高まっていると感じます。
私がコンピュータの世界に入ったのは、MicrosoftがWindowsを出す前、MS-DOSと呼ばれていた時代で、インターネットもまだダイヤルアップ接続していたような頃です。当時のウイルスは、PCの画面表示が崩れるような「いたずらして驚かせたい」「世間に見せつけたい」というような愉快犯的なものに過ぎませんでした。
しかし、ランサムウェアが登場したことで、直接お金を奪うという「犯罪行為」にシフトしたのです。ランサムウェアとはPCやデータベースに侵入して重要なファイルを暗号化・窃取して、身代金を要求するもので、近年、世界では年間約5,500件、日本では年間約230件程度のランサムウェア事件が発生しています。
ランサムウェア
ランサムウェアとは、感染したコンピュータ内のデータを暗号化したり利用不能にしたりした上で、その復旧と引き換えに金銭(身代金=ランサム)を要求するマルウェア(悪質なプログラム)の一種。
<インシデント被害額(機会損失を含む)>
| 業種 | 年間売上額 | 営業損益 | 被害額 |
|---|---|---|---|
| 電機・精密機器メーカー | 2617億円 | 142億円 | 約130億円 |
| 出版・映像メディア企業 | 2582億円 | 184億円 | 105億円 |
| 小売・流通業者 | 4711億円※ | 314億円※ | 42億円 |
| 物流・倉庫運営企業 | 152億円 | △4700万円 | 12億3100万円 |
| 包装資材・化学製品メーカー | 1500億円 | 101億円 | 10億円 |
| ITソフトウェア開発企業 | 26億3900万円 | 3億4800万円 | 2億6100万円 |
※被害額が複数年度にわたる事案については、参考としてインシデントが発生した年度の売上額と営業損益を表に記載しています。
【引用】デジタルアーツ株式会社「2025年上半期国内セキュリティインシデント集計」
これまでのランサムウェアは、個人情報を盗み出して公開されたくなければ金を出すよう脅迫するものが大半でした。しかし、近年は標的が大きく変わっており、その大半が「業務システム」です。
企業にとって業務システムの停止は、事業継続の危機につながり、被害額のインパクトは非常に大きいものです。100億円超の損失を出した企業や、工場生産や物流が止まった企業もあります。今後、ランサムウェア対策を行わなければ、大きなリスクを抱えることになるでしょう。
ランサムウェアの標的は60%以上が中小企業
【引用】警察庁 PDF「令和7年におけるサイバー空間をめぐる脅威の情勢等について」
狙われるのが大企業ばかりかというと、そうではありません。警察庁が公表している統計によれば、ランサムウェア被害の60%以上が中小企業です。大企業はサイバー攻撃のリスクに対して専門の人材を雇うなど対策を講じる余力がありますが、中小企業はどうしても投資が追い付かない側面があり、狙われてしまうのです。
さらに恐ろしいのは、ランサムウェア攻撃自体もクラウドサービス化(RaaS: Ransomware as a Service)していることです。犯罪集団は専門家が作ったツールを利用し、攻撃に成功したらその身代金の何パーセントかをツール提供側にバックする。こうしたマルチ組織による犯罪ビジネスモデルが確立されています。電話詐欺のようにあちこちに手当たり次第に攻撃を行い、成功したところから金銭を奪っていく。インターネットにつながってビジネスをしている以上、どんな企業でも攻撃が来ない日はありません。それに、先ほど述べたような大企業ですら被害を受けている現状では、セキュリティ投資が不十分な、防御力の弱い会社ほど、結果として被害を受ける比率が高まってしまうのです。
「侵入されることを前提」としたセキュリティ対策を行うべき
そもそも、こうしたランサムウェアなどのウイルスはどうやってPCやデータベースに侵入しているかというと、その多くの原因は「人間」です。システムの脆弱性を突くのはもちろんですが、実際に多いのは、人がうっかりフィッシングメールをクリックしてしまうようなケースです。
「ソーシャルエンジニアリング」と呼ばれ、「知人からのメールだと思い込む」「請求書の内容を確認しようとして開く」など、人間の心の隙を突く攻撃です。近年、各企業の社長の名前をかたって、LINEグループやチャットツールなどに金額を振り込むよう指示する詐欺手口が広まっていて話題になっています。
VPN装置の脆弱性もよく言われますが、これらも修正パッチが出ているのに、管理担当者の管理が行き届かずにアップデートされていなかったケースなど、人間が原因であることがよくあります。
つまり、人が狙われてしまう以上、セキュリティ対策に「完璧」はないとも言えます。ですから重要なのは、「サイバー攻撃で侵入されてしまうこと」を前提として、「被害を最小限にとどめる」という方針で対策していくべきです。
ソーシャルエンジニアリング
ソーシャルエンジニアリングとは、システムの技術的な脆弱性ではなく、人間の心理や行動の癖を利用して機密情報を不正に取得する手法のこと。なりすましメールや電話、のぞき見などが典型例で、主にID・パスワードの窃取などに悪用される。
コストとセキュリティを考えたら「SaaS型クラウド」がおすすめ
では、実際に「どのようなセキュリティ対策を取るべきか」ということになりますが、おすすめはSaaS型クラウドの利用です。というのも、自社でシステムをオンプレミスで運用していくとなると、モニタリングするセキュリティソフトの選定や担当者の確保、開発会社の費用など、莫大な費用がかかってしまいます。SaaS型クラウドであれば、システムにかかるコストを抑えられるうえ、バックアップやセキュリティ対策なども費用に含まれています。
ただし、「SaaS型クラウドなら何でも安全」というわけではありません。より安全性・セキュリティの高いサービスを、適切に見極めることが重要です。選ぶポイントは、以下の4つが挙げられます。
- ①ランサムウェア対策
- ②稼働している場所
- ③ソフトウェアの対策
- ④運用管理体制
OBCの「勘定奉行iクラウド」「奉行V ERPクラウド」をはじめとする「奉行クラウド」なら、このいずれのポイントも高いレベルでクリアしています。実際に自社でも利用しており、有効性を実感しています。以下、詳しく説明していきます。
【SaaS型クラウド選定ポイント①】ランサムウェア攻撃を無力化する「権限分離設計」
ランサムウェアは従業員のPCなどから、その企業の社内ネットワークに侵入した後、社内の他の端末へと感染を広げていき、最終的に、一般的な社員の権限ではアクセスできない、システムの深い部分にアクセスできる「特権(特別な管理権限)」を奪いに行きます。「特権」がなければ、サーバー内の基幹データを一括で暗号化することはできません。ランサムウェアは、誰かが「特権」を使用する瞬間まで潜伏して待ち伏せし、使用した瞬間にそのIDとパスワードを盗み取って、重要ファイルを一気に暗号化していくのです。
特権(特別な管理権限)
特権(特別な管理権限)とは、システムの設定変更やユーザー管理、データの閲覧・削除など、通常の利用者には許可されない高度かつ広範な操作を可能とする権限のこと。特権の管理を誰が担っているのかはサービスによって異なり、サービス提供会社が管理している場合もあれば、クラウド基盤の提供事業者が管理している場合もある。
「奉行クラウド」は、ランサムウェア対策として、Microsoftの「Microsoft Azure」という世界最高峰のクラウドプラットフォームを採用しています。OSの「特別な管理権限」はMicrosoftが一元管理しており、OBCを含む第三者が触れない仕組みになっています。
この「権限分離設計」により、万が一、ランサムウェアがシステム内部に侵入できたとしても、「特権」にアクセスできません。「特権」を奪われるリスクそのものがないため、管理権限を乗っ取るランサムウェア攻撃そのものが成立しないのです。オンプレミスや一部のSaaS型クラウドの場合、管理者やベンダー側が「特権」にアクセスできるため、ランサムウェア攻撃のリスクは残ります。
加えて、OSやミドルウェアのセキュリティアップデートもMicrosoftが自動的に最速で適用するため、パッチ未適用による脆弱性リスクがなくなり、人手に依存しない「仕組みによるセキュリティ維持」を実現しています。更新プログラムの公開と同時に適用されるので、遅延もなく、ランサムウェア攻撃の付け入る隙はありません。
【SaaS型クラウド選定ポイント②】データセンターの設置場所とクラウド基盤
稼働している場所としてチェックすべきポイントは「データセンターの設置場所(国)」と、「採用しているクラウド基盤」の2つです。
「奉行クラウド」のデータセンターはすべて日本国内で動いています。海外に設置されている場合、そのデータセンターに保管されたデータの取り扱いは、設置されている国の法律に左右されます。例えば、設置されている国によっては、法律に基づいて政府がデータを開示するように言えば応じることもあるのです。従って、データの保管場所が日本国内か否かは重要なポイントと言えます。
また、「奉行クラウド」では、データの物理的なバックアップも徹底しています。お客さまのデータは東日本で3重化され、西日本にも3重で複製されるため、合計で6重のバックアップ体制を敷いています。万が一、どこかのデータセンターが損壊するような大規模災害が生じても、データが消失することはありません。
2つ目のポイントの「クラウド基盤」には前述のとおり、Microsoft Azureを採用しています。Azureは、世界最高水準のセキュリティ基準を持つクラウドプラットフォームであり、ガバメントクラウド(日本政府共通のクラウド基盤)に採用されています。米国国防総省に次ぐ数のサイバー攻撃を防御しており、そのパターンを学習し、情報を反映しています。
【SaaS型クラウド選定ポイント③】ソフトウェア自体のセキュリティ対策
これまでは主にシステムの基盤の話でしたが、そこで動くソフトウェア、アプリケーション自体のセキュリティ対策も重要です。ソフトウェアのセキュリティ対策としては以下の5つの観点でチェックすると良いでしょう。
- なりすまし対策は十分か?
- データを扱える人を制限・管理できるか?
- データは保管中も通信中も守られているか?
- 常に異常に気付ける体制が整っているか?
- 脆弱性への備えは継続的に実施しているか?
「奉行クラウド」は、多要素認証やIP接続制限などにより、なりすましや不正ログインを防止するほか、暗号化により保管・通信時の盗聴からデータを保護します。また、24時間365日体制で利用状況を監視し、WAFとファイアウォールで多様なサイバー攻撃をブロック。さらに、脆弱性診断テストを定期的に行うことで、万全の対策を継続できる仕組みです。
多要素認証
多要素認証とは、ログイン時にパスワードだけでなく、複数の方法を組み合わせて本人確認を行う仕組みのこと。パスワード以外に組み合わせる方法として、スマートフォンやICカードなどの所持情報、指紋や顔などの生体情報が挙げられる。
IP接続制限
IP接続制限とは、特定のIPアドレスやIPアドレス範囲からのアクセスのみを許可、または拒否することで、システムやネットワークへの不正アクセスを防ぐセキュリティ対策のこと。外部からの攻撃リスクを低減できるが、IPアドレスの偽装を完全には防御できないため、他の認証手段と組み合わせた運用が推奨される。
WAF
WAF(Web Application Firewall)とは、Webアプリケーションへの通信内容を解析し、不正なリクエストを検知・遮断することで攻撃から保護するセキュリティ対策のこと。SQLインジェクションやクロスサイトスクリプティングなど、アプリケーション層を狙った攻撃に有効とされる。
ファイアウォール
ファイアウォールとは、ネットワーク間の通信を監視し、あらかじめ設定されたルールに基づいて許可または遮断を行って、不正アクセスや不正通信を防ぐ仕組みのこと。主にIPアドレスやポート番号などを基に制御を行い、内部ネットワークの安全性を確保する基本的なセキュリティ対策として位置付けられる。
【SaaS型クラウド選定ポイント④】運用管理体制への「第三者評価」
最後の選定ポイントは、システムを動かす「人」に対する運用管理体制です。どれほど堅牢なシステムでも、管理する人が適当であっては意味がありません。カフェのトイレで「掃除しました」という記録がよく貼ってありますが、あのように、ルールどおりの運用管理が行われていることが重要です。
運用管理体制を見極めるには独立機関による「第三者評価」を参考にするのが良いでしょう。OBCは「SOC1 Type2」報告書、「SOC2 Type2」報告書を2019年から継続して取得しており、米国の公認会計士協会が定める厳しい内部統制の監査を毎年受けています。「ルールどおりに運用されているか」を第三者の監査法人がチェックし、証明書を発行しています。
SOC1/SOC2
SOC1およびSOC2は、委託業務に関する内部統制を第三者が評価・報告する監査報告書のことで、いずれも国際的な基準に基づき実施される。SOC1は、アウトソーシング事業者が委託されている業務のうち、委託会社の財務報告に係る内部統制の適切性・有効性を対象とした保証報告書で、SOC2は、ある一定期間におけるクラウドサービス会社のセキュリティの内部統制を評価する保証報告書を指す。
さらに、日本政府が定めるセキュリティ評価制度「ISMAP(イスマップ)」にも登録されました。これは日本政府が使うシステムとして求められるレベルの管理体制を維持していることを示すもので、国産ERPベンダーとしては国内初です。
ISMAP
ISMAP(政府情報システムのためのセキュリティ評価制度)とは、政府が利用するクラウドサービスの安全性を評価・登録する制度のこと。登録されているクラウドサービスは、ISMAP運営委員会が定めた厳しいセキュリティ要求基準を満たしている。国家サイバー統括室・デジタル庁・総務省・経済産業省が共同で運営する。
OBCの「勘定奉行iクラウド」や「奉行V ERPクラウド」をはじめとする「奉行クラウド」は、機能が便利なだけではなく、「ランサムウェア攻撃を構造的に無力化する権限分離設計」「日本国内のデータセンターのみ利用」「ソフトウェア自体のセキュリティ対策」「政府レベルの厳しい運用管理体制」という4つの特徴を兼ね備えています。ぜひご検討ください。
関連リンク
こちらの記事もおすすめ
メルマガ読者20万人以上!
OBC 360のメルマガ登録はこちらから!
メルマガ登録
OBC 360のメルマガ登録はこちらから!
