近年、サイバー攻撃の脅威が高くなっているため、会社のセキュリティに関心がある企業は多いでしょう。特に、大企業、いわゆる親会社となるような規模の会社であれば、余計にセキュリティに関する関心が高まるのではないでしょうか。一方、子会社となると親会社と比べ、予算や人材の問題でセキュリティが甘くなりがちなこともままあります。しかし、子会社のセキュリティが脆弱で、グループ全体が脅威にさらされてしまうケースがあるからです。そこで、本記事では子会社がサイバー攻撃の標的になりやすい理由や、考えられるセキュリティリスク、具体的な対策について解説していきます。
狙われやすい子会社のセキュリティ
子会社がサイバー攻撃の標的になるケースがあり、子会社が被害を受けた結果、本社までダメージを受けてしまうケースも多々あります。なぜ子会社がサイバー攻撃のターゲットになってしまうのでしょうか。ここでは子会社が狙われる主な理由をピックアップしました。
重要情報の共有
本社と子会社が完全に独立しているケースもありますが、多くの場合、何らかの形でつながっています。子会社と連携して事業を営んでいる企業であれば、日々の業務においてさまざまな情報がやり取りされるのも珍しくありません。
たとえば、新商品やサービスの詳細な仕様、独自のノウハウ、顧客情報、技術といった情報がやり取りされるケースが考えられます。企業にとって事業に直結する重要な資産である企業秘密や顧客情報などが、子会社のストレージに保管されている企業も多いでしょう。
こうした重要情報が保管されている可能性があるため、セキュリティ管理が甘い子会社を狙ってサイバー攻撃を仕掛けるケースが見受けられます。企業は会社独自のノウハウや技術、顧客情報などを金銭に換えようとする犯罪者に狙われやすいという事実に目を向ける必要があります。
同時多発的なセキュリティの推進
同時多発的に各社でセキュリティ対策を進めてしまうことも、子会社のセキュリティを甘くする要因の一つとなります。たとえば、個々の子会社がそれぞれ独自にセキュリティ対策を進めようとして、思い思いのツールやシステムを導入した場合、子会社によって発生するリスクがバラバラになり、本社が適切に全体のリスク管理をできません。そうした状況ではセキュリティが低い子会社ほど狙われる可能性が高くなります。
統制が及びきらない
親会社と同じように子会社を統制するのは困難です。特に親会社と異なる分野で事業を営んでいる子会社や海外拠点、買収した企業などは同レベルでの統制が難しいと言えます。
もともとの企業文化や慣習が根付いている部分や、従来の変化を望まない層が一定数存在している事例などは、統制が行き届かない代表例です。また、テレワークで重要情報を持ち出してしまう事例や、会社のパソコンを私的利用した際にウイルスに感染するなどセキュリティ教育が行き届いていないことによる統制の不完全さが問題となることもあります。
組織全体のセキュリティを強化するには適切な施策や教育が欠かせません。しかし、先述したように子会社は統制が及ばないことも多く、施策や教育がおろそかになりがちな点も狙われやすい理由のひとつでしょう。
子会社がもたらすセキュリティリスク
ここでは子会社がもたらすセキュリティリスクを概観していきます。情報漏洩やサプライチェーン攻撃などについて詳しく解説していきましょう。
子会社からの情報漏洩
外部からの攻撃に備えられていない子会社が、サイバー攻撃を受けて情報漏洩してしまうケースや、セキュリティリテラシーの低い社員が多い場合は内部の情報を悪気なく外部に漏らしてしまう可能性があります。顧客の個人情報やノウハウ、技術などの企業秘密などが流出してしまうと事業に大きな影響を与えてしまいます。
近年では、人々の個人情報に対する意識や考え方も大きく変わりました。個人情報を扱う企業には特に厳しい目が向けられており、万が一流出させてしまったとなると批判の的となってしまいます。情報漏洩によって企業全体が大きなダメージを受けてしまうと、事業継続すら難しくなる可能性が高くなるでしょう。
子会社を経由したサプライチェーン攻撃
サプライチェーン攻撃とは、商的流通の中から弱いところをピンポイントで狙って攻撃する手法です。商品が誕生し消費者のもとへ届くまでには、いくつもの企業を経由します。この中からセキュリティの脆弱な企業に狙いを定めて攻撃を仕掛けて、そこを踏み台にして本社や取引先などへ攻撃をする間接的なサイバー攻撃です。
これは子会社でも同様で、子会社を起点としてグループ企業全体が攻撃を受けるおそれがあります。子会社になりすましたフィッシングメールや、マルウェアを仕込んだメールが送られてくるといった攻撃も考えられるでしょう。子会社が踏み台となるケースでは、子会社そのものに大きな被害はなくても、親会社を含むグループ全体が大ダメージを受ける可能性があるため、注意が必要です。
子会社のセキュリティをどう確保するか
親会社がいかに堅牢なセキュリティ環境を構築できていても、子会社の防御態勢に不備や脆弱性があると、グループ企業すべてが危険に晒されてしまいます。ここからは具体的なセキュリティの確保方法について解説しましょう。
統制の確立
セキュリティリスクを把握できたら、それに基づいて改善策の立案やガバナンスの策定などを行いましょう。リスクを把握できても、統制がとれていないと情報漏洩をはじめとするさまざまな問題が発生するおそれがあります。
また、従業員にセキュリティ対策の必要性を理解してもらわないと適切な運用が維持できません。必要に応じて研修会や勉強会なども開催し、セキュリティリテラシーの向上に努めましょう。
加えて、セキュリティに関して定めたルールが、適切に運用されているかどうかを定期的に監査する体制を確立することも大切です。監査で問題点が見つかったら、早急に原因の究明や改善策を立案し、実施してください。こうした教育体制と監査態勢によって統制が行き届く環境の構築を目指すことが大切です。
ゼロトラスト環境の構築
子会社との連携を維持しながら、組織を守るセキュリティ環境を構築しなくてはなりません。それを実現する手法として注目されているのが「ゼロトラスト環境」です。
ゼロトラストとは、すべてを信用せず、攻撃されることを前提として備える考え方です。外部からの攻撃だけに備えるのではなく、子会社も含めた組織内部から攻撃を受けることも想定するため、高度なセキュリティ環境を構築できます。
DXの推進やクラウドサービス、リモートワークの普及などで、社内の情報システムへさまざまな場所、状況からのアクセスが行われるようになりました。従来のファイアウォールなどに頼った防御態勢では、このような状況に対応できず、安全性を確保できません。
一方、ゼロトラストは、すべてを信用せず疑ってかかるセキュリティモデルです。そのため、子会社を踏み台にした攻撃や、内部からの情報漏洩といったリスクにもしっかり備えられます。現代においては、あらゆる方向から攻撃されることを前提とした「ゼロトラスト」を実現していくのが現代の望ましいと言えるでしょう。
セキュリティリスクの客観的把握が最も重要
子会社のセキュリティ確保についてここまでお話してきましたが、最も重要なのはやはりセキュリティリスクを客観的に把握することです。
親会社、子会社共に自社のことはもちろん、親会社は子会社のセキュリティリスクまでもを把握しないことには適切な対処ができません。使用しているツールやシステム、運用ルール、セキュリティ事案などの情報を収集し、客観的にリスクを把握する必要があります。とはいえ、専門部署の立ち上げや技術者の確保などが必要となるため、こうしたセキュリティリスクの把握を技術者のマンパワーに頼る方法は現実的ではありません。
現状のマンパワーで効率的にセキュリティリスクを把握するには、専用サービスの利用がおすすめです。
まとめ
重要情報の共有や同時多発的なDXなど、子会社はサイバー攻撃の対象になりやすい現実があります。子会社からの情報漏洩や、サプライチェーン攻撃などにより、親会社が大きなダメージを受ける可能性は十分あるため、適切な対処が求められます。