2020年6月12日「個人情報の保護に関する法律等の一部を改正する法律案」が公布。これにより、従業員が不正に利益を得る目的で個人情報を提供したり、国の命令に従わなかった場合の罰則の上限額が、50万円から1億円に引き上げられました。この罰則は企業規模に関わらず法人であれば例外なく適用されます。

法律改正に驚いたのが、これまでコストなどの都合からセキュリティ対策に着手できていなかった、中小企業の経営者たちです。セキュリティに予算が割けないにも関わらず、違反すると巨額の罰則が待ち受ける中小企業を救う手立てはないのでしょうか？

データインシデント対応サービスで14年連続国内売上No.1の実績を誇る「デジタルデータソリューション株式会社（以下、デジタルデータソリューション）」取締役COOの上谷宗久氏に、IT担当者不在の中小企業に官公庁レベルのセキュリティ環境を提供する製品「DDHBOX」について解説いただきました。保険会社や銀行のセキュリティセミナーでも数多く登壇依頼があるようです。

中小企業も例外ではない

サイバーセキュリティ.com
まず、中小企業へのサイバー攻撃の実態について教えてください。

上谷氏
大阪商工会議所・神戸大学大学院が、中小企業に特化したサイバー攻撃の実態を調査しています。結果、調査対象の中小企業30社すべてにおいて、何らかの攻撃があったことが確認されました。この数値は国も想定内の結果だと思われます。

サイバーセキュリティ.com
中小企業はサイバー犯罪者に狙われているということですね。でも、中小企業より大企業を直接狙ったほうが、価値の高い情報が盗み出せそうですが・・

上谷氏
おっしゃる通り、サイバー犯罪者の最終目的は、大企業の保有する機密情報へアクセスし、それを盗取することです。現在では多くの大企業で強固なセキュリティ対策が施されており、突破するのは効率が悪い。そこで攻撃者が目をつけたのがサプライチェーン（部品の調達・製造・在庫管理・配送・販売という一連の流れ）です。

大企業は多数の中小企業と相互につながっており、同じ情報を持っていることも多いです。攻撃者も人間なので、サプライチェーン上で一番セキュリティ対策の脆弱な中小企業や関連子会社にまずマルウェアを送りこみます。その後マルウェアに感染した中小企業のPCを踏み台として、取引メールを装うなどして大企業にマルウェアを送り付け、機密情報の盗取を試みるわけです。

サイバーセキュリティ.com
中小企業への攻撃の増加と個人情報保護法の改正は関連していますか？

上谷氏
前述の中小企業30社すべてでサイバー攻撃の痕跡があったという事実は、会社規模に関係なく攻撃が増加していることを意味しています。個人情報保護法の罰則が、企業規模を問わずあらゆる法人で引き上げられたのも、このような中小企業への攻撃の増加が背景になっているのではないかと思われます。現在1日９億件のサイバー攻撃が国内で観測されています。中小企業が380万社とすると、各社1日230回以上の攻撃を受けていることになります。

サイバーセキュリティ.com
御社にも、様々な企業から相談が入っているそうですね。

上谷氏
企業のセキュリティ対策の悩みを支援し続けている弊社「デジタルデータソリューション」でも、中小企業への攻撃の増加を実感しています。2020年10月だけで大型の法人案件が10件もあります。例えば、2020年8,9,10月で約200社の中小企業をエンジニアと共に訪問し、経営者に直接ヒアリングしたのですが、200社のうちほぼ全ての法人様で、何らかのマルウェア感染や不正通信の疑いを確認しています。

私が訪問した200社は、法人様からのセキュリティ対策の相談依頼を受けて訪問したケースが大半ですので、無作為に抽出した企業200社よりも問題の発生割合は高いはずですが、それでも、何の問題もなかった企業がほぼゼロだったという結果に驚きました。今やどの企業もセキュリティ上の問題を抱えていると考えて問題ないと言えます。

マルウェアの侵入は防げない！感染前提のセキュリティ対策が必要

サイバーセキュリティ.com
大企業を狙うサイバー攻撃に中小企業が立ち向かうのは難しそうです。最も効果の高い対策は？

上谷氏
中小企業を含め、各企業がこれまで何のセキュリティ対策もしてこなかったのではありません。IPA（情報処理推進機構）による調査報告書によると、84.6％の企業がセキュリティ対策を導入済みと解答しています。そして、多くの企業では次のような対策を行ってきました。

このような入口対策・内部対策が功を奏したかと言うと・・・、残念ながらそれでもなお国内法人組織の78.5%が2019年4月～2020年3月の1年間に何かしらのセキュリティインシデントを経験したことがあると、トレンドマイクロ社の調査結果によって明らかとなっています。

出典2018年度 情報セキュリティ事象被害状況調査/報告書/IPA（情報処理推進機構）
出典法人組織のセキュリティ動向調査 2020年版/トレンドマイクロ

日々新規のマルウェアが120万個も登場すると言われており、また、攻撃の手口も巧妙化しています。いくら社内ネットワークの入口や内部で、マルウェアを検知・除去する対策をしたところで、知人からのメールを防ぐ方法はありません。パートを含めた従業員の教育にも限度があります。

このような背景から、サイバー攻撃を壁を築いて防ぐのではなく、攻撃・感染する前提で、万が一の場合も機密情報を流出させないように対策する、ネットワーク出口での対策が重視されています。入口対策＋出口対策での多層防御は国もガイドライン等で推進しているポイントです。

サイバーセキュリティ.com
よってデジタルデータソリューションは、出口対策製品「DDHBOX」を開発したのですね。

上谷氏
はい。サイバー犯罪者は情報を盗もうとするときに、C&C（C2）と呼ばれるサーバを遠隔操作して、自分の居場所を特定されないように通信の宛先を変えながら情報窃取といった不正を働きます。

「DDHBOX」は、企業内の端末から外部（C2サーバ）への不正通信を自動で検知して遮断します。ネットワークの出口で情報を守ることに特化した出口対策製品です。また、なりすましメールやランサムウェアなどでもC2サーバとの通信が発生しますので効果を発揮します。

サイバーセキュリティ.com
「DDHBOX」の仕組みや特徴は？

上谷氏
「DDHBOX」の出口対策の仕組みについて詳しくは、「中小企業向けセキュリティ出口対策「DDHBOX」について解説」も参照していただくとして、「DDHBOX」の最大の特長は、国内最大のセキュリティ監視センターJSOCのC2サーバリストを利用している点です。

このリストはJSOCが毎日更新しており、「DDHBOX」にも365日毎日(13:00頃)共有されます。JSOCは、900を超える企業・官公庁・地方公共団体などの通信を24時間体制で有人監視しているセンターです。つまり「DDHBOX」を導入した中小企業では、JSOCの情報を利用して、官公庁と同レベルのセキュリティ対策ができることになります。

国産最高峰のセキュリティ対策を導入しやすい価格で実現

サイバーセキュリティ.com
中小企業ではセキュリティ対策にあまりコストをかけられない企業も多いと思います。

上谷氏
おっしゃる通りで、一番ネックになるのがコスト面ですね。中小企業は月額1万円のコストにも敏感です。セキュリティ監視センターJSOCでは、官公庁をはじめ大手セキュリティベンダーへも不正通信・不正侵入の検知分析サービスを提供しています。残念ながら、これらの大手企業のようにJSOCのサービスを利用するためには、多大なコストがかかり、中小規模企業には手が出ません。

このため、DDHBOXは中小企業でも無理なく導入できるコストながら、JSOCの情報を活用した高レベルのセキュリティ対策を導入していただけるよう、月額数万円から利用可能な価格設定にしています。プランも監視対象端末が最小10台～選択でき、どの規模の企業でも導入しやすいかと。詳細の見積りはお問合せいただいた際にご案内しています。

サイバーセキュリティ.com
なぜこの品質で安価な価格での提供が実現しているのですか？

上谷氏
弊社とJSOCを運営する株式会社ラックが資本提携しています。このため、JSOCのC2サーバリストを使用可能であることと、そのリストを毎日同時刻にお客様に自動的に配信、反映するシステムの開発に成功したからです。

サイバーセキュリティ.com
どのプランでも「年間最大補償300万円までのサイバー保険が付帯」という点が、気になります。

上谷氏
はい。「DDHBOX」を導入した企業様に導入理由を伺うと、サイバー保険が付帯しているという点が安心だと言う方も多いです。「DDHBOX」が不正通信を検知し遮断した場合には、年間300万円までサイバー保険を適用させることができます。つまり情報漏洩は防いだ上で、原因特定や今後の対策費用に保険が適用になるという使いやすい保険が標準で付帯されています。

サイバー攻撃を受けてしまうと、原因究明や調査（フォレンジック）や消失データの復旧などで高額な費用が発生します。200名規模の企業であれば、感染端末特定だけで300万円以上の調査費が発生します。万が一のインシデントの際に、このサイバー保険を利用して、弊社のデータ復旧サービスやフォレンジック調査、今後の対策コンサルティングサポートを費用負担なしで受けることが可能です。

サイバーセキュリティ.com
入口対策・内部対策に無頓着な企業でも、「DDHBOX」が出口で不正通信をキャッチしたら年間300万円までカバー？太っ腹過ぎる気がしますが・・

上谷氏
そうですが三井住友海上様は全面的にバックアップしてくれています。

インシデントが起こった場合のアフターサポートまで注力しているセキュリティ商材はあまりありませんので、サービス差別化のポイントとしてご用意させていただいています。セキュリティの事前対策はもちろんですが、実際に何かインシデントが発生した際の対応がその後の企業の信用に大きく関わってくるのが事実です。セキュリティ製品だけを販売する企業はたくさんあるのですが、実際のインシデント初動対応、復旧作業と今後の対策まで一気通貫で対応できる点が弊社の強みでもあります。国内唯一と言ってもいいかもしれません。私はフォレンジック事業部の担当でもあるので、販売後もお付き合いが続きます（笑）

菅内閣が提唱する「ゼロトラスト」の考え方に即したサービスとして、多くのお客様にご利用いただければと思っています。

IT担当者不要！全自動で行うセキュリティ対策の決定版

サイバーセキュリティ.com
ITに詳しい人が社内に一人もいない企業でも、「DDHBOX」は運用できますか？

上谷氏
はい。そもそも、運用する必要すらありません。「DDHBOX」によるセキュリティ対策のキーワードの1つが「完全な自動化」です。「DDHBOX」は、C2サーバリストの更新・不正通信の検知と遮断・アラートの通知を全て自動で行います。

また、「DDHBOX」は、299.5(幅)×144.5(奥行き)×43.5(高さ)mmという、ほぼB5サイズのコンパクトな機器で、設置も弊社のエンジニアが短時間で行います。もし「DDHBOX」が不正通信を検知したときは、不正通信が発生しているPC端末のIPアドレスや通信の宛先などの情報が、企業のご担当者宛にメールで通知されます。同時に、弊社にも同じ通知が届く仕組みになっています。不正通信のアラートが発生したときはパニックになるものですが、すでに弊社にもインシデントの情報共有されているため、お問い合わせや初動対応に迅速に対応できます。

ITやセキュリティ対策には疎い・・そんな企業が気軽に設置できる

DDHBOX 背面

サイバーセキュリティ.com
DDHBOXの効果が最も発揮されるのはどのような企業でしょうか？

上谷氏
「製造業」のお客様に大変ご好評いただいております。例えば、製造業のサプライチェーンはとても長く、関連する企業も広範囲に及びます。その中で自社がマルウェアに感染することで、自身が加害者となるケースが続発しております。

また製造ラインの装置もリアルタイムなデータ取得、遠隔操作を行うためにネット接続することが増えてきました。コロナの影響もあると思います。これまで製造装置をネットに繋げられなかった理由は、効果的なハッキング対策がなかったからです。DDHBOXを設置するだけで、工場全体のセキュリティが守られ、製造装置を安心してネットに接続することができるようになります。IoTセキュリティに効果的なツールですね。

なので工場内でインターネットを活用している事例がありながら、そのリスク管理の方法が分からないという工場・企業では、「DDHBOX」が最大の効果を発揮するでしょう。

サイバーセキュリティ.com
製造業以外で「DDHBOX」を特におすすめできる業界はありますか？

上谷氏
製造業の他、運送・建設・飲食・医療業界など、これまでITやセキュリティとは馴染みがなかった業界で「DDHBOX」は効果を発揮しやすいと思います。私が一番印象に残っているのは餡子を作る製餡所への導入でした。意外かもしれませんが情報通信系の中小企業も、弊社へのお問い合わせが多い業界のひとつです。

昨今ではテレワーク実施におけるセキュリティ強化といった内容のご相談も増えております。コストはかかるのですが、弊社ではテレワーク社員の自宅には全員に１台ずつDDHBOXを導入しています。中小企業や個人でも無理なく設置できる価格ですので、まずは出口対策「DDHBOX」を体験していただくことをおすすめしています。

ITやセキュリティに疎い、馴染みがないという企業ほど、気軽に「DDHBOX」を活用していただきたいですね。