2024年にフィッシング対策協議会へ寄せられた報告の件数は約171.8万件で、過去最高を記録した。被害内容としてはネットバンキングによる不正送金、クレジットカードの不正利用が増加傾向にある。例えば、2024年の不正送金発生件数は4369件、被害総額は約86億9000万円に上った。同じくクレジットカード不正利用の被害額は555億円で、前年比2.6％増となっている。

　「このような状況が起こっている背景には、生活のオンライン化やスマートフォンの普及が進んだことにあると見ています。様々なオンラインサービスが24時間稼働している状況は、攻撃者にとってフィッシングしやすい環境と言えるのです」と、同協議会の事務局を務めるJPCERTコーディネーションセンターの平塚 伸世氏は話す。

　攻撃の手口が巧妙化していることも被害拡大の要因といえる。例えば、カード会社をかたるフィッシングメールは当月請求金額の確認などを装って行われる。メール内には企業のロゴを掲載し、文面も違和感がない。「差出人もメールアドレスもなりすましているため、見た目で判断することは非常に困難です」と平塚氏は述べる。

　“ポイ活”に励むユーザーの心理を逆手に取ったフィッシングメールも登場している。「ポイントがもらえる」「今すぐ応募」といった文面で誘導するものだ。「本物のキャンペーンメールをコピーし、URLだけ差し替えたフィッシングメールが報告されています。応募経験もあると、うっかり情報を入力してしまう可能性があるので、注意が必要です」と平塚氏は言う。

　国は2024年6月に行った犯罪対策閣僚会議「国民を詐欺から守るための総合対策」の中で、「フィッシングにアクセスさせないための方策」を策定した。その柱の1つが、送信ドメイン認証「DMARC」の対応促進だ。各事業者は、この流れに出遅れないよう、速やかに対応することが求められる。

　DMARCは「送信者が指定した正しいサーバーから送られてきたメール」であることを受信者に示す仕組みである。ただし、DMARCポリシーが「none」または「quarantine」になっていると、認証に失敗したメールもそのまま受信者の受信フォルダ／迷惑メールフォルダに届いてしまう。「その後の対応を受信者に委ねる形になるため、リスクが残ります。また『このドメインは、怪しいメールを送ってくるドメインだ』という不信感を受信者に抱かせてしまうことになるでしょう」（平塚氏）。

　そのため、DMARCを導入する際はDMARCポリシーを「reject」にすることが望ましい。これで、認証に失敗したメールは受信者に届かず棄却されることになる。

　しかし、最近はそのDMARCさえパスし、正規メールと見分けがつかないフィッシングメールも報告されている。これでは受信者はすべてのメールを疑ってかかるしかなくなる。送信者にとっては、本当に届けたい情報を届けることが困難になるだろう。そこで考案された技術が「BIMI（Brand Indicators for Message Identification）」である。正規メールであることを示すため、自社やサービスのロゴマークをメールボックスの件名一覧に表示させるものだ。

　「受信者がヘッダー情報などを確認しなくても、認証対応されていることを直感的に確認できます。安心感をアピールできるので、開封率向上にも効果があります」と平塚氏は説明する。既にGmailやApple iCloud メール、auメールなどが対応済みだ。対応サービスは今後も増えていくだろう。

　DMARCとBIMIの両方に対応することで、正規メールの信頼性が一目で分かるようになる。受信者側の被害抑制に加え、送信者である事業者のブランドやビジネス機会も保護できる。「利用者、事業者双方にメリットが大きい方法として、導入をお勧めします」と平塚氏は強調した。

　電子モジュール用の自動外観検査システムを開発・製造・販売しているサキコーポレーション。光学カメラやX線を用いた画像処理技術によって、基板・半導体などの製品の良／不良を自動判定するソリューションを提供している。

　同社製品の開発において重要度が高まっているのがセキュリティー対策である。同社の製品はネットワーク接続が前提となるため、マルウエアが潜伏した状態での出荷などを決して起こしてはならないからだ。「当社の製品は世界中のお客様にご利用いただいています。そのため、各国の法制度やガイドラインに準拠したサイバーセキュリティー対策を施すことが不可欠でした」と同社の木村 優麻氏は語る。

　ただ、ほかの多くの企業同様、セキュリティー人材には限りがある。情報システム部門の担当者は日本の本社にわずか2人しかおらず、限られた人員で、いかに効率的に業務を回しつつ、厳重なセキュリティーを担保していくかが常なる課題だったという。

　そんな中、注目した技術がマイクロセグメンテーションである。柔軟かつ詳細なネットワーク分離を実現し、通信制御を行うことで、万一攻撃を受けた場合にも被害拡大を防ぐアプローチだ。「また、被害の影響範囲（調査・復旧範囲）を限定し、事業継続への影響を最小化できることも、マイクロセグメンテーションのメリットだと考えました」と木村氏は語る。

　生成AIを悪用したフィッシング手法が登場するなど、今後は非日本語圏からの日本企業への攻撃も増えることが予想されている。「脅威の侵入を100％防ぐことは難しい」という前提に立ったとき、マイクロセグメンテーションのアプローチは、非常に有用なセキュリティー対策になると同社は考えた。

　とはいえ、マイクロセグメンテーションを導入している企業は主に大企業が多い。同社が検討を進める過程で調べた事例も、超大手企業ばかりだったという。

　「仮想的にネットワーク分離を行うマイクロセグメンテーションは、物理的なネットワーク分離よりも柔軟な運用が可能です。しかし、その裏返しで、初期の設計フェーズや運用環境の整備に時間がかかり、当社にはハードルが高いのでは、と感じました」と木村氏は振り返る。

　その先入観を払拭してくれたのが、「Illumio（イルミオ）」だった。ベンダーに問い合わせたところ、中堅・中小企業にとっても検討可能な、リーズナブルな費用感と工数で導入できることが明らかになったという。

　「機能面で決め手になったのは、通信可視化の機能が標準実装されていることでした。通信ルールを制御してネットワーク分離を行いつつ、有事の際には現状を即座に可視化して確認できる。事前対策と事後対策の両面で備えられると感じました」と木村氏は強調する。

　日本の製造業でおなじみの「PDCAサイクル」は、不確実性や複雑性が高まった現在の環境において有効性が低減しつつある。あらゆる可能性を考慮して、事前に対策を講じておくことは不可能に近いからだ。代わって重要度を増しているのがObserve（観察）、Orient（状況判断）、Decide（意思決定）、Action（行動）から成る「OODAループ」である。現状を観察した上で判断し、行動する。その際、Illumioのような通信可視化ツールが役に立つと考えたという。

　さらに今後見据えているのが生成AI活用だ。生成AIによるガイダンスを活用すれば、必要な情報により迅速にアクセスし、課題解決に向けた複雑なタスクを実行できるようになるだろう。運用の一層の高度化が期待できる。

　マイクロセグメンテーションによって、自社のビジネスおよび製品のセキュリティーを高めたサキコーポレーション。同社の取り組みはこれからも続いていく。

　2017年に発足した日本サイバーセキュリティ・イノベーション委員会（以下、JCIC）は、日本企業にサイバーセキュリティーに関する政策提言を行っていく非営利・独立の民間シンクタンクだ。同団体で主任研究員を務める上杉 謙二氏は、「企業がDXの効果を持続的に得るためには、サイバーセキュリティー対策を同時に推進する必要があります。対策を怠るとシステム停止や情報流出のリスクが顕在化するだけではなく、多額の金銭的損失が発生する可能性があるからです」と警鐘を鳴らす。

　JCICが国内で情報流出などの適時開示を行った企業47社の株価を調査したところ、50日後の株価が平均6.3％下落することが分かった。セキュリティー対策の未整備は損害賠償や善管注意義務違反に問われる恐れもあるだけに、もはやIT／セキュリティー部門だけの問題ではなく、経営層も含めて全社一丸で取り組むべき経営課題となっている。

　ただし、IT／セキュリティー部門が経営層にセキュリティー投資を促す際には技術的な説明をしても理解してもらえないケースが多い。そこで上杉氏は「経営の共通言語である“お金”で説得することが不可欠です」とした上で、そのポイントを4つ挙げる。

　1つ目は「経営の用語を用いる」こと。経営層はインシデントの検知数や防御数などにはほとんど関心がない。それよりも「これぐらいの被害が起こる可能性がある」という財務インパクトや経営全般のリスク、コンプライアンスなどを語るほうが、効果があるという。

　2つ目は「サイバーリスクを金額に置き換える」こと。セキュリティー投資額の設定は非常に難しいが、「サイバー攻撃の被害に遭うと、これだけお金がかかる。だからセキュリティー投資が絶対に必要だ」と説得する。その際はJCICが損失額の算出法として発表している「サイバーリスク数値化モデル」などを使うことが有効だ。

　3つ目は、その数値を踏まえた「セキュリティー予算・人材の要求」だ。JCICではセキュリティー投資額の目安として「連結売上高の0.5％以上、セキュリティー人材は全従業員の0.5％以上の確保」を推奨している。例えば連結売上高が1000億円の企業であればセキュリティー投資額の目安は年間5億円、従業員が3000人なら15人という計算だ。

　投資額の根拠として上杉氏があげるのが、FS-ISACという米国金融機関のセキュリティー団体が出している調査数値（総収益に占めるサイバーセキュリティー支出額）だ。2019年の0.34％から2020年には0.48％に増加していることや、代表的な金融機関であるJPモルガンが年間約660億円以上（同社営業収益の0.5％）をサイバーセキュリティーに投資していることなどを踏まえ、「日本のDX推進企業も先進的な金融機関並みに投資を強化すべき」と説明する。

　「いずれにしても経営層やCISOがどのようなビジョンでDX戦略やセキュリティー対策を考えるのかが重要。メリハリをつけて必要な箇所にしっかり投資することが必要です」と上杉氏は指摘する。

　4つ目は「セキュリティーKPIを設定し、モニタリングする」こと。セキュリティー投資にメリハリをつけるためにはサイバーセキュリティー施策が有効に機能しているかをKPIで評価することが大切だという。JCICは「サイバーセキュリティーのKPIモデル」をオリジナルモデルとして策定している。このモデルではセキュリティー責任者が自社の取り組み段階（成熟度）に応じたKPIを3つのモデルから選択し、目標設定やパフォーマンス評価に活用することを提案している。これにより目標管理の見える化が社内に浸透し、経営層の理解が深まることで、予算や人員などのリソースが獲得しやすくなるという。

　避けられない経営リスクとなったサイバー攻撃に迅速かつ適切な対応ができる体制を整えておくことは、あらゆる企業にとって喫緊の課題となっている。ステークホルダーへの説明責任はもちろんのこと、社会全体のセキュリティーレベル向上や日本のDX推進を継続するためにも、適正なセキュリティー投資を確保しておきたい。