MS&ADインシュアランスグループのMS&ADインターリスク総研など3社は、米インシュアテック大手のCoalition(コアリション)とサイバーリスク診断サービスを共同で開発すると発表した。2023年4月~6月をめどに試用版での検証を開始する。分かりやすさを重視して機能を絞り込み、料金は年40万円程度と割安に設定。2026年3月までに15万社以上の中小企業への導入を狙う。
「攻撃のターゲットにならないようにする」がコンセプト
共同開発するサービスのベースとするのは、コアリションが米国などで展開するリスク診断サービス「Coalition Control」だ。Coalition Controlは顧客企業が外部に公開するサーバーや通信機器の状態などを調べ、サイバー攻撃の被害につながるリスクと推奨する対策を顧客に知らせる。
具体的には、顧客企業が保有するドメイン名などの情報を基に、顧客企業が外部に公開するサーバーやネットワーク機器を洗い出す。これらの機器で稼働するOSやミドルウエア、通信ポートの開閉状況などを調べ、セキュリティー関連情報を集約したコアリションのビッグデータ基盤と照合。危険度に応じたアラートや対処方法を通知する。このサービスを日本の中小企業向けにカスタマイズして提供する。
サイバー攻撃に遭う原因の多くは、外部に公開するサーバーやネットワーク機器の脆弱性を放置していたり、遠隔からの攻撃に悪用されやすい通信ポートを開放していたりと、基本の対策が不十分なことにある。脆弱性を塞ぐパッチ(修正プログラム)を当てる、危険なポートを閉じるといった「戸締まり」さえしておけば、金銭的な利得を狙う攻撃者はわざわざ狙ってこないという。
相応の対策を講じる企業に時間とコストをかけて攻撃するより、対策がおろそかな別の企業を狙ったほうが「コストパフォーマンス」が高いためだ。診断サービスで判明したリスクにしっかり対処すれば、「攻撃の最初のターゲットにならずに済む」とMS&ADインターリスク総研の土井剛デジタルイノベーション本部副本部長兼プロダクト開発部長は語る。
大企業・中小企業の防衛意識の差を埋める
MS&ADが中小企業向けのサービスを開発するのは、国内で中小企業を狙ったサイバー攻撃が増えており、対策を強化するニーズが高まると見込んだからだ。
中小企業のサイバー防衛の意識は、大企業と比べればまだ低い。情報処理推進機構(IPA)が2022年3月に公開した「2021年度中小企業における情報セキュリティ対策の実態調査報告書」によると、中小企業が情報セキュリティー対策投資を行わなかった理由としては、「必要性を感じていない」割合が最も多く、40.5%に上った。
だが大企業にとっては、取引先の中小企業のセキュリティー対策は喫緊の課題だ。取引先の中小企業や子会社がシステムの脆弱性を悪用されてサイバー攻撃の被害に遭う事件が後を絶たないためだ。セキュリティーベンダーの米CrowdStrike(クラウドストライク)の2022年の調査によると、攻撃者がシステムに侵入し、権限を昇格させネットワーク内で攻撃の横展開を始める「ブレイクアウト」の平均所要時間は1時間24分という。
こうしたサイバー攻撃の横展開が、サプライチェーン(供給網)を脅かすこともある。2022年には取引先の部品メーカーが子会社を発端とするサイバー攻撃の被害に遭った影響で、トヨタ自動車の生産ラインが停止した。
このため取引先にセキュリティーレベルの向上を求める大企業が増えている。ただ、「中小企業が自力で対策を強化するのは難しい」(土井副本部長)。そこで攻撃に悪用されやすい重大なリスクを通知し、具体的な対策を紹介して実行を促すサービスにMS&ADは商機を見いだした。
機能を絞り込んで使いやすさと低料金を実現
中小企業の導入を狙うため、MS&ADは開発中のサービスで使い勝手や料金設定を工夫する方針だ。中小企業はセキュリティー専門の組織どころか、専任担当者さえ1人もいないことが多い。詳細なリスク情報を提供しても生かし切れない可能性が高い。
