様々な分野でIoT製品の導入が進む一方で、IoT製品を狙うサイバー攻撃も増えている。実際、DDoS攻撃のボットネットとして悪用される事案も発生した。「IoT機器すべてに管理を行き届かせることは難しい。製品として必要な機能が正常に動いていれば、利用者は製品に問題があると考えることはないため、異常を検知しにくく、リスクが放置される危険性が高いのです」と情報処理推進機構（IPA）の神田 雅透氏は警鐘を鳴らす。

　IoT製品のセキュリティー向上に向け、総務省および情報通信研究機構（NICT）は2024年3月、新しい「NOTICE（National Operation Towards IoT Clean Environment）プロジェクト」を開始した。以前から協力関係にあるISPに加え、IoTメーカーやセキュリティー関係機関との連携を強化し、脆弱性調査と注意喚起に一層力を入れていく構えだ。

　IoT製品の脆弱性対策には速やかなパッチの作成・配信が欠かせないが、大前提として企画・開発段階からセキュリティーを意識する「セキュリティー・バイ・デザイン」によるライフサイクル管理が重要になる。

　これを後押しするため、経済産業省が構築を目指しているのが「IoT製品セキュリティラベリング制度」である。これはETSI EN 303 645やNISTIR8425などの国際基準と調和しつつ、独自に定める適合基準（セキュリティ技術要件）に基づき、その適合性を評価・可視化するもの。適切なセキュリティー対策が講じられているIoT製品の普及を促し、製品選びの指針となることを目指す。この制度のスキームオーナーをIPAが担っている。

　IT製品・システムのセキュリティー機能を客観的に評価・認証する制度として「ITセキュリティ評価及び認証制度（JISEC）」があるが、新制度はこの枠組みを拡張し、対象をIoT製品に絞る。「適合ラベル」のレベルを「★1」から「★4」までランク分けし、自己適合宣言（★1、★2）と第三者評価・認証（★3、★4）を併用する。

　★1は最低限のセキュリティー要件を満たすもの。★2はそれに製品類型ごとの特徴を考慮した要件を追加したもの。この2つはIoT製品ベンダーの自己適合評価に基づいて適合ラベルを付与する。★3以上は政府機関や重要インフラ事業者、大企業の重要システムなどでの利用を想定したものだ。ISO/IEC17025に基づく本制度の認定を受けた第三者機関による適合性評価に基づいて認証を取得した製品に適合ラベルを付与する。

　「政府機関などの調達要件として、ラベル取得済み製品が普及する時期をめどに、ラベル取得済みであることを必須化する方針です。特に重要度の高い分野では、第三者評価・認証によるラベル（★3以上）取得を選定基準に含めることで調整が進められています。そのほか自治体、重要インフラ事業者などでも、ラベル取得済み製品を選定・調達することを求めていくよう、関係機関と調整を進める予定です」と神田氏は述べる。

　適合ラベルには、ラベル取得製品ごとの情報提供ページのURLを埋め込んだ二次元バーコードが掲載される。この二次元バーコードから読み込む情報提供ページで「適合ラベルのステータス表示」と「セキュリティー情報・問い合わせ先の一元表示」を公開する計画だ。

　ラベル取得製品に対して、IPAは事後的に検査やサーベイランスを行える権利を有する。「特に自己適合宣言（★1、★2）ではベンダーの自己適合評価結果をひとまず信頼して適合ラベルを付与します。その代わり、事後に適合基準の適合性に疑義が生じた場合、証跡提出を要求したり、サーベイランスを実施します。結果次第では適合ラベル取り消しも有り得ます」と神田氏は言い切る。

　この制度によって企業や消費者はセキュリティー水準を満たした製品を選定しやすくなる。ベンダー側も自社製品の適合性をラベルとして示すことができ、ビジネスチャンスの広がりが期待できる。「多くのIoT製品ベンダーに制度の理解とラベル取得を働きかけていきます」と神田氏は語る。

　今後、制度は段階的に施行される。まず2024年度下期に制度説明会と事前相談を行い、年度末までに★1の受け付けを開始する。早ければ2025年度上期から受け付け分のラベル付与製品を公表する予定だ。同下期から★2以上の受け付けを開始するという。

　ここ数年でランサムウエアの手口が変化し、被害が拡大している。サプライチェーンの弱点を悪用した攻撃も拡大しており、被害の範囲は個々の企業だけにとどまらない。実際、アイ・ティ・アール（ITR）とJIPDEC（日本情報経済社会推進協会）が共同で実施した「企業IT利活用動向調査2024」によれば、ランサムウエアの感染経験を持つ企業は全体（N=983）の47％に及ぶ。

　「サイバー攻撃のリスクは、もはや自社だけではコントロールできなくなっています。従って侵害されることを前提に、サイバーレジリエンス強化に向けたセキュリティーのプロセスを構築する必要があります」とITRの入谷 光浩氏は説く。

　ITRでは、サイバーレジリエンス戦略を実践するアプローチとして、NIST（米国国立標準技術研究所）のセキュリティフレームワークを基に、「特定」「防御」「検知」「対応」「復旧」「適用」の大きく6つのプロセスを定義している。

　このうち入谷氏が強調するのが「特定」の重要性だ。「ゼロトラストの考え方に基づいて『防御』『検知』『対応』を行う製品の実装は進んでいますが、一方で『特定』が手薄になっています。多くの企業はどうしても“盾”を強化することに意識が向きがちですが、その前に遭遇する敵をいかに減らすかを考えなくてはなりません。未知の脆弱性を早期に発見し、事前に修正すれば、リスクを大幅に軽減することができるからです。逆にこれが不十分なままでは、せっかくの盾も穴が無数に開いた状態にあり、攻撃を簡単に素通りさせてしまいます。最初にこの穴をふさぐことでこそ、より強固な盾を築けるのです」

　具体的には、専門家による脆弱性診断やASM（攻撃対象領域管理）、ペネトレーションテストなどを継続的に実施し、その結果を入念に評価することで、自社のIT環境に潜在している脆弱性の解消に努めることが肝要だという。

　入谷氏が、もう1つの重要プロセスに挙げるのが「復旧」である。万一、ランサムウエアの被害に遭った場合も「こっそり身代金を支払えば何とかなる」と考えている企業もあるかもしれないが、そうした甘い想定は捨て去るべきだ。

　前述の企業IT利活用動向調査2024によれば、ランサムウエアに感染した企業の60%はシステムやデータを復旧できていない。注目すべきは、身代金を支払ったにもかかわらず復旧できなかった企業が、全体の38％を占めている点だ。「身代金を支払っても復旧できる保証は一切ありません」と入谷氏は強調する。

　そこで頼みの綱となるのがバックアップデータだが、最近はバックアップデータまで暗号化されてしまうケースが増えているという。それでは、どのように対策すればよいのだろうか。

　基本となるのは、「バックアップデータを3つ作成」、「2つの異なるメディアで保存」、「1つはオフサイト(遠隔地)で保存」を行う、いわゆる「3-2-1ルール」の徹底である。加えてITRでは、「できれば1つは不変ストレージで保存」を行う「プラス1」の施策を推奨している。データの改変や暗号化を許さないストレージを活用することが、ランサムウエア対策では有効となるからだ。

　ただし、どんな対策を施していても実際に復旧できるかどうか不安は残る。最後のカギを握るのはやはり人であり、「リストアテストを定期的に実施し、感染時に迅速に復旧できるように訓練するとともに、感染時の対応フローを事前に作成しておくことが肝要です」と入谷氏は話す。

　さらに全社的な視点からも各部門の従業員がレジリエンスを認識し、迅速に対応できように啓蒙・教育・訓練を行うことも重要だ。経営層のリーダーシップを高め、組織横断的なレジリエンス推進組織を設置するなど、レジリエンス文化を浸透させていく必要がある。

　このようにサイバーレジリエンスを経営戦略に組み込むことで、DX推進の過程で発生するリスクを最小限に抑えることが可能となるのだ。

　情報処理推進機構（IPA）は、セキュリティーに関する様々な相談を受け付ける「情報セキュリティ安心相談窓口」を設置している。「最近の状況を見ると、2024年度上半期は相談件数が極端に増加しており、特に4月には月間最高を記録しています」とIPAの金山 栄一氏は話す。

　中でも多く寄せられているのが、「サポート詐欺」に関する相談だという。サポート詐欺とは、パソコン画面上にウイルス感染を装った偽の警告画面を表示し、ここに記載されたサポート番号に電話をかけさせることで金銭の窃取を試みる行為のことだ。

　偽の警告画面には、大きな警報音や警告音声を流したり、強制フルスクリーン表示で「閉じる」ボタンも表示しなかったりするものがある。そのため、驚いて表示された番号に電話してしまうユーザーは少なくない。「攻撃者は、サポート作業のために遠隔操作ソフトをインストールするよう案内してきます。これをインストールしてしまうと、相手にPCを自由に操作されてしまいます」と金山氏は言う。

　遠隔操作ソフト自体は、通常のサポート業務でも用いられる一般的な製品だ。しかし、ファイル転送などの機能を有する製品もあるため、攻撃者に使われると厄介だ。サポート作業の裏で重要ファイルを転送されてしまったり、あるいは遠隔操作で勝手にネットバンキングへの振込が行われてしまったりするといったリスクが生じる。

　「攻撃者がどのような操作を行ったかまではIPAの相談窓口では判断できません。これを明らかにするには、デジタルフォレンジックなどを行う必要があります。ただ、相談窓口にいただいた相談において、情報漏洩や二次被害が発生したケースは今のところ確認していません」と金山氏は話す。

　悪質なサポート詐欺被害に遭わないようにするにはどうすればよいのか。まず知っておくべきなのが、偽の警告画面が表示された時点では、まだ何も被害は生じていないということだ。画面はあくまでも偽画面なので、本当にマルウエアに感染したわけではない。そのため、この画面を消せば、それで一件落着なのである。

　「警告画面には消しにくい工夫がされていますので、消し方を知っておくことが肝心です。例えば、キーボード左上のESCキーを2～3秒押すと全画面表示が解除されます。そうすることで、通常通り『閉じる』ボタンで画面を閉じられるようになります。またCtrl、Alt、Deleteキーを同時に押してパソコンを再起動する方法もあります」と金山氏は紹介する。

　万一、遠隔操作にまで進んでしまった場合は、詐欺と気付いた時点で速やかに遠隔操作ソフトを終了することが重要だ。方法が分からなければ、Wi-Fiや有線LANなどのネットワークを遮断する方法でもよい。「IPAでは遠隔操作ソフトをアンインストールする手順書も公開しています。ぜひ参考にしていただきたいと思います」と金山氏は続ける。

　ただし、被害に遭わないために最も大切なのは「電話をかけない」ことである。電話さえかけなければPCを遠隔操作されることもないし、情報や金銭を窃取されることもない。偽の警告画面が表示されても、慌てず冷静に判断して対処することが最大の防御になる。

　「そのためには日頃から正しい知識を得ておくことが重要です。IPAでは、組織向け／個人向けの注意喚起を出しているほか、実際にサポート詐欺を体験できるサイトなども公開しています」と金山氏。このようなものをトレーニングに取り入れて、社員のセキュリティー意識の底上げを図ることが望ましいだろう。

　医療用医薬品メーカー大手の中外製薬は、2020年3月にDXの指針である「CHUGAI DIGITAL VISION 2030」を打ち出した。「目的は、デジタル技術によって当社のビジネスを革新するとともに、社会を変えるヘルスケアソリューションを提供することです」と同社の小原 圭介氏は語る。

　ビジョンは3つの基本戦略で構成されている。1つ目は「デジタル基盤の強化」だ。社内の各種データの統合、解析基盤の構築を通じてグローバル水準のIT基盤の確立を目指す。2つ目は「すべてのバリューチェーン効率化」。バリューチェーン全体をデジタル技術によって効率化し、そこで生まれたリソースを研究開発にシフトする。

　「そして3つ目が『デジタルを活用した革新的な新薬創出』です。機械学習やディープラーニングなどのAI技術を活用して医薬品開発の成功率を高めるとともに、創薬プロセスの自動化・省力化による時間・コストの大幅削減を目指します」と小原氏は説明する。

　また同社は、前述のビジョンを掲げる以前から積極的なクラウド利活用を推進してきた。現在は創薬研究、臨床開発から製造、営業・マーケティングまで、すべてのバリューチェーンでクラウドサービスを活用している。

　従来はアマゾン ウェブ サービス（AWS）とMicrosoft Azureを適材適所で利用してきたが、セキュリティーの設定や各サービスで稼働するアプリケーションの運用の面で非効率を感じていたという。そこで、次世代のクラウド基盤として立ち上げたのが「CCI（Chugai Cloud Infrastructure）」だ。

　「CCIではAWSをメインクラウド、Microsoft AzureとGoogle Cloudをサブクラウドに位置付けることで、個別最適化されていたインフラやセキュリティーの基盤をある程度統合しました」と小原氏。同時に、ソフトウエア開発プラットフォームのGitHubとIaC（Infrastructure as Code）ツールも利用することで、アカウント作成などの作業を大幅に効率化した。さらにFinOpsツールを導入し、アプリケーション単位／利用部門単位でのコスト最適化も推進。クラウド利用料のガバナンスも利かせている。

　現在は中外製薬のサーバー全体の約85％がCCI上で稼働中。規制対象の一部のシステムを除き、2024年末までにオンプレミスからの移行を完了する計画だという。

　さらに同社は、2030年に向けたサイバーセキュリティーのビジョン・戦略として「CHUGAI CYBER SECURITY VISION 2030」も策定している。ここでは、「組織運営」「人・文化」「技術」の3つの観点であるべき姿を描き、その実現に向けたロードマップを提示している。「ヘルスケア産業のトップイノベーターになるべく、サイバーセキュリティーの面でも先進企業になることを目指します」と小原氏は述べる。

　具体的な取り組みにおいては、ベースラインとリスクベースの2つのアプローチを組み合わせている。

　前者は、ベストプラクティスを基に実現すべき基準を決めて、順守状況を定期的にモニタリングしながら修正するものだ。「ベストプラクティス集には、NRIセキュアが提供する『Secure SketCH』を活用しています」と小原氏は話す。

　後者は、特定のリスクに対応するアプローチである。システム開発時のリスクチェック、年次のアセスメントや侵入テストなどを通じて案件／システムごとのリスクを把握。「これら2つのアプローチを併用することで、網羅的なリスクの可視化、継続的なセキュリティーレベル向上につなげています」と小原氏は強調する。

　加えて同社は、サプライチェーンリスクへの対応も強化。主要取引先のセキュリティ―マネジメント体制や各種認証取得状況などのチェックも継続的に行っているという。

　「サイバーセキュリティーの推進体制は、IT部門だけではなく、事業リスクに関わるすべての部門と連携することが肝心です」と小原氏。高度なセキュリティー体制が、医薬品業界のイノベーションを牽引する中外製薬のビジネスを支えている。