DXを進めると、攻撃される面も増える
このシリーズでは、NASでファイルを共有する、VPNで外から社内にアクセスする、サーバーを立てて業務データを集約する、といった話を書いてきた。どれも業務を効率化するための仕組みだが、同時にサイバー攻撃の侵入口を増やしていることになる。
何も導入していなければ、攻撃者から見て「入る場所がない」。しかしVPNを設置すれば、そこが入口になる。NASをネットワークに繋げば、そこが標的になる。DXとは便利にすることだが、便利にした分だけリスクも増える。この構造を意識しているかどうかで、対策のスタンスが変わってくる。
中小製造業にとって一番怖いのはランサムウェア
サイバー攻撃には色々あるが、中小製造業にとって最もダメージが大きいのはランサムウェアになる。社内のファイルを片っ端から暗号化して使えなくし、復号と引き換えに身代金を要求する攻撃。
大企業であれば情報漏洩のほうがダメージが大きいかもしれない。しかし中小製造業の場合、データが暗号化されて業務が止まること自体が致命的になる。見積データが開けない、図面が見られない、受注履歴が消える。出荷が止まれば売上が止まる。復旧までの数日〜数週間、会社が丸ごと機能停止する。
以前の記事で「やられた後にどう戻すか」を書いた。今回はその手前、「そもそもやられないために何をするか」の話になる。
侵入経路はだいたい決まっている
ランサムウェアの侵入経路は、実はそれほど多くない。警察庁の統計でも、主な経路は次の三つに集中している。
- VPN機器の脆弱性。 最も多い経路。VPN機器のファームウェアにセキュリティ上の穴が見つかり、そこから侵入される。FortinetやPulse Secureなど、中小企業でよく使われている機器で実際に起きている
- リモートデスクトップ(RDP)。 外部からPCに接続するための仕組み。ポートが外部に開いたまま放置されていると、パスワードの総当たり攻撃で突破される
- メール。 不審な添付ファイルやリンクからマルウェアに感染し、そこからランサムウェアが展開される
VPNとRDPで全体の7〜8割を占めている。メールは印象ほど多くなく、むしろネットワーク機器の脆弱性が主戦場になっている。
分からなければ業者に頼む
セキュリティ対策は、このシリーズで書いてきた内製DXとは少し性質が異なる。
内製DXでは「自社固有の領域は自分たちで理解すべき」と書いてきた。しかしセキュリティは自社固有ではない。ネットワーク構成の設計、ファイアウォールの設定、VPN機器の選定と運用——これらは製造業だろうとサービス業だろうと共通の技術領域になる。
→ 中小製造業の内製DXと外注の線引き ──「自社固有」か「汎用」かで決める
だから、セキュリティの設計や運用は業者に任せていい。むしろ任せたほうがいい場面が多い。ただし、以前の記事でも書いた通り、丸投げと任せることは違う。業者に「セキュリティお願いします」とだけ言うのではなく、自分たちが 何を守りたいのか は伝えられるようにしておく。
- うちの業務データはここにある
- 最悪止まっても1日で復旧できれば耐えられる
- バックアップはここに取っている
こういう情報を自分たちで把握しておくだけで、業者との会話が成り立つようになる。
自分でやるなら、最低限ここから
業者に頼むほどではない、あるいは自分でできる範囲でまずやりたい、という場合。中小製造業のIT環境には「ランサムウェア以前の問題」が山ほどあるので、まずそこから手をつける。
セキュリティソフトをインストールして、アップデートを適用する。 セキュリティソフトの期限が切れている、あるいは最初から入っていない。Windows Updateも「再起動が面倒」「更新すると遅くなる」で何年も止めている——こういう環境は珍しくない。Windows標準のDefenderでも、有効になっていて定義ファイルが最新であれば基本的な防御はできる。ソフトを入れて終わりではなく、OSも含めてアップデートを止めないことが重要になる。既知の脆弱性を放置するリスクのほうがはるかに大きい。
利用しているWebサービスのパスワードを複雑にする。 メールのパスワードが全員共通、PCのログインパスワードが全台共通、あるいはパスワードなしで使っている。こういう状態では、退職者でもそのままアクセスできるし、誰がどの操作をしたかも追えない。メール、クラウドストレージ、業務システム、会計ソフト——ログインが必要なサービスすべてについて、推測しにくいパスワードを個別に設定する。パスワードマネージャーの導入まで考える必要はない。まず「共通をやめる」だけで大きく変わる。
NASやネットワーク機器のパスワードも複雑にする。 NAS、WiFiアクセスポイント、スイッチ、プリンター。こうしたネットワーク機器にも管理画面があるが、初期パスワードのまま、あるいはWiFiのパスワードが「123abc」のような文字列で運用されていることが多い。これらの機器はネットワーク上でつながっているので、一つが突破されると他にも影響が及ぶ。管理画面にログインして、パスワードを変更する。WiFiのパスワードも同様になる。
UTMやルータなど外部ネットワークと接する部分は、専門家に頼むか、マニュアルを見ながら慎重に設定する。 ここまでの対策は社内の衛生管理であり、自分でできる範囲の話。しかしUTM(統合脅威管理)やルータは、インターネットと社内ネットワークの境界に立つ機器になる。ファイアウォールの設定、ポートの開閉、VPN機器のファームウェア更新——この領域は設定を一つ間違えると外部から丸見えになる。自信がなければ業者に頼む。自分でやるなら、メーカーのマニュアルやサポートページを確認しながら慎重に進める。「なんとなく動いているからいいだろう」で放置するのが一番危ない。
完璧を目指さない
ここに書いたことを全部やっても、ランサムウェアを100%防げるわけではない。防御を固めても、すり抜けはゼロにならない。
だからこそ、以前の記事で書いた「やられた後にどう戻すか」が重要になる。バックアップをネットワークから切り離した場所に持ち、復旧手順を把握しておく。防御と復旧は両輪で、どちらか片方だけでは機能しない。
今回の記事は「やられる前の最低限の備え」。あの記事は「やられた後の最低限の備え」。この二つをセットで考えることが、中小製造業にとって現実的なセキュリティの全体像になる。
このシリーズの他の記事: