サイバー攻撃の脅威が増す中では実戦形式のトレーニングと実態調査が不可欠に

　経営者向けのトレーニングもある。デューデリジェンス（適正評価手続き）やコンプライアンス（法令順守）などを中心に講義を実施し、サイバーセキュリティの最新動向や、利害者関係との調整スキル、役員個人の注意義務も含めて解説する。サイバー攻撃を受けて身代金を請求された際のシミュレーショントレーニングも実施する。

　松田氏は、「実戦形式でのサイバーセキュリティトレーニングは、すべての層に必要だ」とし、基礎知識から中級編まで106編のeラーニングコンテンツも用意する。「近年はIT部門とOT部門のスタッフが一緒に来るケースも多い。IoT（モノのインターネット）関連部門の利用も増えている」と話す（図2）。

図2：実戦形式のサイバーセキュリティトレーニングは、すべての層に必要という

ホワイトハッカーが実際に侵入するセキュリティ診断も実施

　トレーニングだけでなく、コンサルティングやサイバー攻撃を受けた企業の復旧対応にも当たる。例えば、従業員数が300人ほどの中堅IT企業がランサムウェア「LockBit」によって会計システムを暗号化され身代金を請求された件では、「現在も、その復旧作業が続いている」と松田氏は明かす。

　工場や事業所に向けては「セキュリティリスク分析」を用意する。サイバージムによるヒアリングや調査を元にセキュリティリスクを分析し、必要な施策をコンサルティングする。「自動運転などが増えるなかで、OTセキュリティの重要度が高まっている。調査からリスクを把握し、施策に取り組むことが重要だ」と松田氏は強調する。

　各業界・業種に対し多くのサイバーセキュリティのためのガイドラインが用意されている。だが、「中堅・中小企業ではセキュリティ人材の確保が困難なケースも多く、自社に置き換えて考えるのは難しいことから、そこを補えるようサイバージムのコンサルティングでサポートしている」（松田氏）という。

　セキュリティ診断では、機械学習やAI（人工知能）技術を使った「ペネトレーションテスト（侵入テスト）」と、サイバージムが実際に企業システムに侵入し脆弱性を報告する「脅威ベースのペネトレーションテスト」も提供する（図3）。「ペネトレーションテストを定期的に実施することで、弱点を知り、適切な防御策を考えられる」と松田氏は強調する。

図3：機械学習・AIによるペネトレーションテスト（右）と、脅威ベースのペネトレーションテストを用意する

　ある製造業で実施した脅威ベースのペネトレーションテストでは、サイバージムのホワイトハッカーがネットワーク内のファイルを2週間で抽出、さらにネットワークカメラを乗っ取った。「悪意あるハッカーが同じ手段で攻撃すれば、製造ラインなどが停止し、脅迫を受ける可能性もあった」（松田氏）ということだ。

　松田氏は、「サイバー攻撃を受けると、費用がかかるのはもちろん、事業も停止し、社員も疲弊する。決して起きてはならないことだが、起きた場合にはどうするかをシミュレーションしておくだけでも対策・対処法が分かる。普段からセキュリティの意識を持てば、サイバー攻撃の大きな要因である“人”からの侵入リスクを抑えられる。BCP（事業継続計画）の取り組みの１つとして、実戦形式でのトレーニングと現場調査は非常に重要だ」と強く訴求する。

お問い合わせ先

株式会社サイバージムジャパン

Webサイト：https://cybergymjapan.com/

Email：info@cybergymjapan.com

TEL：03-6807-4312