ChatGPTによる「得意先の機密情報を漏えいさせた中小企業」をテーマとした物語
中小企業のコンピューターネットワークがサイバー攻撃によって侵害され、得意先の機密情報が漏えいしてしまった。社長の松田は、この事件が会社にとって致命的な打撃となりかねないことを認識していた。しかし、彼は立ち止まることなく、会社を守るために全力を尽くすことを決意した。
最初のステップとして、松田は情報セキュリティの専門家を雇い、システムの脆弱性を調査させた。調査の結果、従業員のセキュリティ意識の低さやシステムの古いソフトウェアが攻撃の隙を作っていたことが判明した。これに対処するため、松田は全従業員にセキュリティトレーニングを実施し、システムのアップグレードを行った。
同時に、松田は得意先との信頼を回復するための努力も怠らなかった。彼は個別に連絡を取り、事態を説明し、再び信頼を築くための計画を提案した。いくつかの得意先は激怒し、取引を解消する意向を示したが、松田は謝罪し、再発防止策を実施する意思を示すことで一部の得意先を安心させることができた。
一方で、会社の内部では危機感が高まり、従業員たちは団結して再び立ち上がろうとしていた。松田は情報セキュリティ委員会を設立し、定期的なセキュリティレビューを行うことで、今後の被害を最小限に抑えるための体制を整えた。
この危機の中で、松田のリーダーシップと決断力が試された。彼は過ちから学び、会社をより堅牢なものにするために全力を尽くした。そして、結果として会社は再び立ち直り、より強固なセキュリティ対策を構築することができた。松田の奮闘は、中小企業がサイバー攻撃に直面した際に取るべき行動の模範となり、彼の決断力とリーダーシップは多くの人々に勇気と希望を与えた。
【注】この物語は、生成AIのChatGPTで作ってます(表題は「はてなブログ」のAIアシスト機能を使いました)。明らかな表記ゆれがある部分は、修正しています。
感想
日本にある99.7%は中小企業です。「中小企業基本法」による中小企業の定義では、以下を中小企業としてます。資本金若しくは従業員の数が当てはまれば中小企業です。
| 業種 | 資本金 | 従業員の数 |
| 製造業・建設業・運輸業 | 3億円以下 | 300人以下 |
| 卸売業 | 1億円以下 | 100人以下 |
| サービス業 | 5000万円以下 | 100人以下 |
| 小売業 | 5000万円以下 | 50人以下 |
多くの中小企業は大企業からの下請けとして役割を果たしてます。日本の経済は、中小企業が支えているといって過言ではありません。
わたしは20年近く、中小企業に在籍し、SESのエンジニアをしてました。そしてその大半の時間は、取引先である大手の製造業に常駐しながら、システム開発や運用の支援をしてました。
中小企業は大企業が抱える機密情報を共有することがあります。
大企業となる取引先とは秘密保持契約(NDA)を締結してます。これは、相手方に開示する自社の秘密情報について、契約締結時に予定している用途以外で使うことや、他者に開示することを禁止したい場合に締結する契約書です。秘密保持契約を締結していれば、相手方の責めに帰すべき事由によって秘密情報が流出した場合には、契約違反に基づく損害賠償を請求できます。
しかし、中小企業は大企業に比べると、情報セキュリティ対策が手薄です。そもそも、情報システム部門がある中小企業自体が少ないのが実態です。多くの中小企業は、社員のなかでITに明るい人が、片手間に情シス的な仕事を肩代わりしてます。それはパソコンのキッティングであったり、ソフトウエアの設定だったりとです。
そこで、サイバー攻撃を仕掛けるハッカーは、ターゲットとする大企業が取引している中小企業を狙います。中小企業から機密情報を搾取することで、本丸である大企業への侵入を試みる策略です。
そのような攻撃は、サプライチェーン攻撃と総称されます。サプライチェーン攻撃は、信頼関係にあるサプライヤーや、パートナー、あるいは第三者を介してターゲットに対する攻撃が行われます。
典型的なサプライチェーン攻撃の手順は以下のようになります。
- 攻撃者は、その組織と関係のあるサプライヤーやパートナー組織を標的に選定します。
- 攻撃者は、選定したサプライヤーのシステムに侵入し、そこでマルウェアを配置します。
- ターゲットにされた組織は、信頼しているサプライヤーからの情報を受け取るために、攻撃者が感染させたシステムを使用します。
- 攻撃者は、サプライチェーンを介して本丸となるターゲット組織のシステムに侵入し、機密情報の窃取、システムの乗っ取りを企てます。
中小企業にとっても情報セキュリティ対策は必須です。
経営者は情報セキュリティ対策をコストと捉えるべきではありません。コストと捉えると、どうしても「削減」がセットになるからです。情報セキュリティ対策は、自分の会社が成長する為の投資と捉えるべきでしょう。
おそらくその発想が経営者にあるかないかで、会社の運命は大きく変わると思います。
IPAでは中小企業向けに「情報セキュリティ5か条」を出してます。情報セキュリティ対策と言っても、何をやれば良いのか分からない組織に対して、手始めに守るべきことを簡潔に示してます。
- OSやソフトウェアは常に最新の状態にしよう!
- ウイルス対策ソフトを導入しよう!
- パスワードを強化しよう!
- 共有設定を見直そう!
- 脅威や攻撃の手口を知ろう!
