• 身代金を要求するハッカーからメールウイルスまで、サウジアラビアの経営者はサイバー攻撃からビジネスを守るための行動をするべきである

ハラ・タシュカンディ

リヤド：サウジアラビアの企業が技術的に高度化するにつれ、サイバーセキュリティの専門家は、業界のベストプラクティスに対する認識が概して不足している点を警告し、企業がシステムを適切に保護できていないことに懸念を示している。

サイバーセキュリティ会社Tenableが今年初めに委託した調査によると、昨年、サウジアラビアの企業の95％がサイバー攻撃に遭っていた。

さらに、サウジ回答企業の85％が、過去2年間でサイバー攻撃が激増していることを認識していると述べている。企業は、顧客または従業員のデータの紛失、ランサムウェアの支払い要求、および金銭的損失や盗難に遭ったりしたと述べる。

この分野の調査・出版社である米Cybersecurity Venturesは、サイバー犯罪の世界的なコストは2025年までに10.5兆ドルに達する可能性があると試算している。

キングサウード大学のサイバーセキュリティの教授であり、サイバー研究と調査のための国際財団の創設者兼最高経営責任者であるムハンマド・クラム・カーン博士は、事件数の増加と莫大な経済的影響が相まって、サウジアラビアの企業経営者も行動に駆り立てられるだろう、と述べている。

「市場が巨大で、成功したときの報酬が巨額のため、ハッカーやサイバー犯罪者集団を個人や組織に対するハッキング戦術の革新にかきたてている。サイバーセキュリティ対策に関する無知及び認識の欠如が、ハッカーに対して機密データを危険にさらし、金融詐欺を実行可能にしている2つの根本的な抜け穴である」と、カーンはアラブニュースに語った。

サイバーセキュリティのリスクには、フィッシング（正当な組織になりすまして機密の個人情報にアクセスすること）からマルウェア（コンピューターやサーバーに損害を与えるために作成された悪意のあるソフトウェア）まで、さまざまな形や形態をとる。マルウェアの種類には、ウイルス、ランサムウェア、スパイウェアなどがある。ハッキングは、部外者がコンピューターの防御の弱点を突いて、離れた場所からコンピューターに不正にアクセスすることで起こる。

こうした事例はいずれも深刻な問題であり、同領域の専門家は、コンピュータユーザーに対し、オンラインセキュリティについてより配慮するよう促している。

クラウドベースのメール管理を専門とする国際企業であるMimecastは、フィッシングの危険性を特に取り上げている。

「詐欺の手口はますます巧妙になっているため、必要なサイバーセキュリティ意識向上トレーニングを受けていない一般のユーザーには、偽のメッセージを見分けるのが難しくなっている」と、サウジアラビアのMimecastのカントリーマネージャー、マエン・フタウニーは述べる。

Mimecastの「State of Email Security 2020」レポートによると、サウジアラビアの74%の組織がウェブドメイン、ブランドの悪用、サイトのなりすまし攻撃を懸念しているとのことだった。また、同レポートによると、48％の組織で過去12ヶ月間にフィッシングが増加していると認識していることが判明した。

「フィッシング詐欺は至る所で発生しており、個人は常に警戒し、悪意のあるメールやテキストメッセージに気を配り、ますます巧妙化する攻撃の被害に遭わないようにする必要があります。銀行が、インターネットリンクを介して情報を更新するように要求することは決して無いので、そのような要求をするメッセージを受信した場合は、警戒しなければなりません」と、フタウニーは注意喚起した。

もう1つの脅威は、身代金が支払われない限り、ハッカーが被害者のデータへのアクセスをブロックしたり、場合によってはデータを公開したりすると脅迫するマルウェアの一種であるランサムウェアの増加である。 多くの企業にとって、機密データがパブリックドメインに置かれることは、最悪の悪夢となる。

国際的なデータ管理・保護企業であるVeritas Technologiesは、ランサムウェアの復元力に関する年次レポートで、自社のセキュリティがITの複雑さに対応していると回答したのはわずか36％（UAEは43％、サウジアラビアは39％）に過ぎなかったと記している。

Veritasによると、ランサムウェアの被害に遭い、ファイルのバックアップコピーからデータを復元できない企業の中には、ハッカーにお金を払って情報を取り戻そうと行動するところもあるという。同社の調査によると、マルチクラウドインフラストラクチャの複雑性が高い企業ほど、身代金の支払いを余儀なくされる可能性が高いことが明らかになっている。

Veritasの新興市場担当バイスプレジデントであるジョニー・カラムは、クラウドテクノロジーが便利なソリューションを提供していることが事実だが、サウジアラビアの事業主は、クラウド技術に安心しすぎてはいけないと警告している。

「クラウド技術の積極的導入はポジティブな動きですが、私たちの調査では、その前にやるべきことが多くあることが分かっています。例えば、サウジアラビアにおける企業のデータ保護戦略の29%は、導入している技術のレベルに追いついていません。その結果、大多数の企業がランサムウェアの脅威をより痛感しています」と、カラムは指摘する。

サウジアラビアのサイバーセキュリティ専門家、アブドラ・アルジャバーは、あらゆる規模の企業がセキュリティに関心を持つべきだとし、小規模企業も、セキュリティが大企業だけの問題だと思い込んではいけないと述べている。

「地元の店舗などのような小規模事業者でさえ、サイバーセキュリティの保護が行き届いていないため、被害に遭い、データを失っています。大規模組織のセキュリティ意識が高まり、システム保護レベルが高まっているため、攻撃者はセキュリティ意識や統制がまだ不十分な中小規模の組織へとターゲットを移しています。個人であってもターゲットにされる可能性があります」と、アルジャバーは警告する。

アルジャバーは、国家サイバーセキュリティ局（NCA）が導入を主導し、政府が示した改善策と、その新しいサイバーセキュリティ戦略を称賛し、サイバーセキュリティに懸念を抱いている者に対し、保護レベルを確認するために、サイバーセキュリティプロトコルをブラッシュアップすることを推奨している。

「バックアップを取り、定期的にシステムのアップデートを適用し、システムがインターネットに公開されていないことを確認すると共に、複雑なパスワードの使用や、二段階認証を有効にすることで、リスクを大幅に軽減することができる」と、彼は述べる。

結局、企業の規模や業種を問わず、優れたサイバーセキュリティとデータ保護は、今やビジネスに関わる者全員が無視できない優先事項となっている。