続いて外資系保険会社の人が登壇、この人は僕より25cmは背が高く、声も大きい。最初から上衣を脱いでの熱演である。冒頭、
・被害を受けて米国の企業は体制を整え、攻撃を早めに検知できる
・日本を含めたアジアの国の企業は、5~6倍検知や発覚が遅く危険な状態
・特にサプライチェーン攻撃は、2021年には前年比1.5倍になった
と脅迫。「NINJAさんのように、儲けましょうねそのためのセキュリティですよなどと甘いことは言いません。対策を怠れば、加害者にされてしまうこともあるのですぞ」と体全体で主張しているかのよう。
日本でも大企業はそれなりに防備を固めているので、1次下請けを偵察してみる。ここが甘ければ侵入し、固いと思えば2次下請け以下を狙って、入れたところからサプライチェーンに沿って侵入していくというのが手口だ。いくつかの生々しい事例を挙げた後で、3つのチェックポイントを紹介した。
1)日々のCyber Hygiene(衛生管理)が適切か
2)サプライチェーンリスクがイメージできているか
3)インシデントレスポンス体制を自前で整えているか
彼ははっきりは言わなかったが、この3点を満たさないと被害を受けても理解されず、取引先などに迷惑をかけた「加害者」に見られかねないということらしい。そうは言っても、その域に達するには時間もかかる。具体的に何をすべきかと聞かれて、
1)経営課題としての取組が必須
2)サイバーリスクを可視化
・インシデント発生の可能性を推測
・最悪のシナリオの可能性と最大損失を推測
3)サイバーBCP(Business Continuity Planning)復旧計画の策定
と応えた。最後にちょっとだけ、サイバー保険の現状を紹介しアピールをした。
サプライチェーンの中の小規模な企業を狙ってくる可能性が高く、こういう企業をどう守るかは社会課題である。しかしこれらの企業は資金・人材・設備も十分ではない。昨日紹介したように、政府等の支援メニューもあるが知られていないことが多い。今日のようなイベントや、個別の企業へのアプローチを各地の商工会議所が実施してくれるのはとてもありがたいことだ。
産業界の「Last One Mile」を誰が担うのか、本当の小規模パパママストアなら警察かもしれないですが、それより大きな企業には商工会議所の活動が重要です。これからも協力させてもらいますよ。