サプライチェーン・
サイバーセキュリティ・コンソーシアム

創ネット株式会社 小口幸士 Oguchi Koji

  • 写真:小口幸士氏
    小口幸士(おぐち・こうじ)
    創ネット株式会社 代表取締役社長
    福岡市内に本社を置く、創業70年の地域密着型専門商社の3代目社長。卒業後、大手電機メーカーへ就職、企画やビジネスのノウハウを学び、2002年に創ネット株式会社へ入社。マーケティングオートメーションなど営業DXを積極的に展開中。

実体験から得た教訓、
事業継続のリスクは、自然災害もサイバー攻撃も同じ

セキュリティは一般的に「コスト」と見なされることが多く、経営上の優先順位を上げるのが難しいという声を、特に中小企業から聞きます。御社が、セキュリティを経営上重要と捉えるようになったきっかけは、どのようなものだったのでしょう。

小口 2020年春に、当社の社員が実際に「サイバー被害にあった」ことです。以前から取引先の5〜6社から「Emotet(エモテット)*1に感染した」ということで社内でも注意を呼びかけていたのですが、テレワーク中の社員がウイルスに感染したメールをクリックし、感染したのです。本人のPCが感染したのみならまだしも、メールアドレスが乗っ取られ、お客様数社にも不正なメールが送信されてしまいました。私どもは商社ですから、お客様や仕入先をあわせると約1,000社とのお付き合いがあります。皆様にご迷惑をおかけするわけにはいきません。加えて、実は私自身も、会社が被害にあう2年前にSNSアカウントを乗っ取られた経験がありました。個人としても会社としてもサイバー被害にあったこと、これが、サイバーセキュリティ対策に乗り出した大きなきっかけです。幸い、会社の被害については、それ以前からコネクションがあったセキュリティ専門会社の方にすぐに相談し、二次被害を食い止めることができました。

一方で当社は、ドイツ企業・シーメンス社のパートナー企業でもあります。シーメンス社関連のカンファレンスやセミナーでは、早い段階から工場のサイバーセキュリティ対策の話を聞いていました。日本の製造業が目立った被害を受けていない頃から、シーメンス社のシステムを活用した海外プラントがサイバー被害にあっていたのです。そのため、サイバーセキュリティ対策の必要性そのものは早いうちから認識していたつもりです。また「地域セキュリティコミュニティ(地域SECUNITY)*2」の活動に参画させていただくなかでも、世界各地のサイバー被害の情報が耳に入るようになっていました。そんな折に自社が被害にあい、本格的にセキュリティ対策に動きだした、という経緯です。

写真:小口氏がお話ししている様子 1枚目

「お客様へのご迷惑」が事業上のリスクだとお考えになったのですね。

小口 今回は、感染したのは当社の社員のみで済みました。しかし仮に、当社から送信されたウイルスメールがきっかけで、お客様先の端末を感染させてしまったら、お詫びのしようもありません。お金を払って済むという問題でもないはずです。そこまでの被害に至らなかったとしても、サイバー被害を被った会社とそうでない会社があり、同じ製品が買えるのなら、何もない会社から製品を買うのが普通のことだと思います。

当社の被害も、もし社内端末全体に感染が広がっていったら、営業停止にまで至った可能性はあります。それを考えると、ぞっとしました。

思えば17年前、福岡西方沖地震の記憶も頭の片隅にあったかもしれません。当時は「福岡は地震が少ない」と思いこんでいて、大量のサーバを固定もせずに置いていました。そのサーバが地震で倒れたのです。幸い、大きな被害は免れたのですが、もし受発注管理の基幹システムに何か起きていたらと思い、その時もぞっとしました。当社の取扱いアイテムは30万点から50万点あります。それだけの数の製品単価を記憶している社員はいませんから、サーバが止まった段階で営業はストップせざるを得ません。サイバー攻撃もそのぐらいの被害を起こす危険があります。これは恐ろしいことだと想像がつきました。

事業継続に与えるリスクという観点では、地震などの自然災害も、サイバー攻撃も同じ、ということでしょうか。

小口 まったく同じだと思います。もっと言うと、サイバーセキュリティ対策とコロナ対策も似ていると思っています。1人が感染したら隔離をして、感染拡大を防ぐという対策も一緒ですし。

写真:小口氏がお話ししている様子 2枚目

サイバーセキュリティ対策として具体的にどんなことをされているか、教えてください。

小口 当社は、クラウド型ソリューションを導入しています。一般的に、アンチウイルスソフトなど「入口対策」のソフトは数多くありますが、それだと今回当社で起きたような「なりすましメールを社員がクリックして不正サイトにアクセス」する事態を防ぐことはできません。そこで当社が行ったのは、いわばインターネットへの「出口対策」です。例えば、今回導入したクラウド型ソリューションには、社員が不正サイトにアクセスするのをブロックしてくれる機能があります。また、万が一感染した場合は、社内のネットワークから自動で隔離してくれます。さらに、サイバー保険が付帯されていて、その保険で何かあったときの一次対応をプロにしてもらえるのがありがたい。やはり、いざとなったらプロに見てもらえるというのは、安心感があります。

サイバーセキュリティ対策にかかる金額面については、年間で見るとそこそこの金額になるかもしれません。しかし月割にすれば、大した金額ではないと思っています。私は、こんなふうに考えているのです。中小企業は、余計な保険にいくつも入っているケースがあると思うので、それを見直しすることにより、サイバーセキュリティ対策やサイバー保険にあてればいいのだと。加えて、新型コロナ禍で接待交際費もぐんと落ちています。これなら十分にまかなえる金額だと判断し、導入を決めました。

その他、セキュリティ対策の一環として、進めておられることはありますか。

小口 クラウド型ソリューションから月次レポートが出ますので、それは必ず社内のグループウェアに掲載するようにしています。内容は「先月、このPCがこのサイトに行こうとしたのをブロックした」「この社員はこのサイトにこれくらいアクセスしている」等です。それだけでも、社内のセキュリティ意識が高まると期待しています。「外からサイバー攻撃を受ける」リスクのみならず、「社内の誰かが、大切なお客様の情報を流出させてしまう」リスクもあると、社員たちが認識できると思うのです。

一方で、大手企業のように情報セキュリティに関する規定を定め、定期的に指導をすることまでは、中小企業にはできないと思います。当社は毎月1回のレポートを見ながら、「やりながら覚えていく」方針です。

今お話のあったレポートなどは、社員の方の意識付けに役立っていると思いますが、一方で、取引先などに「創ネットはしっかりセキュリティ対策をしている」と伝えるため、取り組んでおられることはありますか。

小口 当社がクラウド型ソリューションを導入したことは、ホームページに掲載しています。また、当社は商社であり、導入したクラウド型ソリューションを販売する権利をいただいているので、当社のホームページで掲載している、主に取扱製品を紹介する「よかネ!っと劇場」と題した4コマ漫画でも、クラウド型ソリューションの内容を解説しています。さらに、私が登壇した地域SECUNITYのセミナーもすべて公開し、「創ネットはしっかりセキュリティ対策をしている」と理解していただこうと思っています。当社はセキュリティに限らず、もともと情報発信には積極的な会社とも言えます。オリジナルマスコットキャラクターやTシャツを作ったり、YouTubeをもじって「SouTube」という動画コンテンツを立ち上げたり。遊び心も取り入れつつ、「真剣に遊ぶ」という意識で行っています。クラウド型ソリューションを販売しているのも、ガンガン売り込みをしているわけではありません。

そうした取り組みをしていると、地域の中小企業の相談に乗るようなお立場にもなりそうですね。

小口 確かに、地域を意識しています。当社の商圏は、福岡県と佐賀県が中心。「地域SECUNITY」も「地域」とついているところが好きなのです。困ったことがあれば業界をまたいで相談できる相手がいるというのが、地域の良さだと思っています。ですから、何か起きたら当社に相談していただいてもいいのです。当社のオリジナルマスコットキャラクターも「"地域のミカタ"SOゲンジャーズ」と名付けています(笑)。

写真:小口氏がお話ししている様子 3枚目

製造業向けの「BCP体験型机上演習」プログラムの開発を目指したい

そのほか、サイバーセキュリティの取り組みを進めていくにあたって、難しさや課題を感じていることはありますか。

小口 予算面については、新型コロナ禍のタイミングであり業績は厳しい状況だったものの、反面、接待交際費が減ったタイミングでもあり、捻出しやすかったと思います。福岡市のテレワーク助成金も2度、いただきました。一度目はテレワークの環境整備に、二度目はサイバーセキュリティ対策のために、ということで申請しました。もちろん初期投資に必要なお金しか出ないのですが、我々製造業や飲食業など、新型コロナ禍の影響を受けて経営的に苦しい業界には、助かります。

写真:小口氏がお話ししている様子 4枚目

それから人材の問題です。中小企業がサイバーセキュリティに詳しい人材を育成し、抱える余裕は、まずないのが現状です。とはいえ、そうもいってはいられない状況であるのも確かなので、例えば、九州大学の小出洋先生が手掛けている「ProSec-IT(プロセックアイティー)(情報システムセキュリティ)」などの、セキュリティ対策の教育プログラムには興味があります。そのなかには、BCP体験型サイバー机上演習(Table-Top Exercise: TTX(ティーティーエックス))といって、サイバー攻撃時のロールプレイングを体験できるプログラムがあり、私も先日オンラインで「病院がサイバー攻撃を受けたら」という想定でロールプレイングを拝見して、勉強になりました。地震や水害への備えをするように、いざ自社工場やオフィスがサイバー攻撃を受けたら何が起きるのか、あるいはどうするべきなのか、訓練によって備えをしておく必要があると思っています。

ただ「ProSec-IT」にしても、私が知ることができたのは「地域SECUNITY」に参画していたからであって、普通の経営者は知る機会がなかなかないと思います。あるいは「サイバーセキュリティはお金がかかるから無理」だというイメージもあるかもしれませんし、「サイバーセキュリティ」に関連する情報が多すぎて、具体的に何から手をつけていいのかもわからないかもしれません。そんなとき、例えば地域の繋がりのなかで「あの会社はこんな対策をしている」と知ることができたら、いいのではないか。そう思って私は、前述のレポートをお客様にそのまま見てもらうこともあります。

それにしても、小口社長がセキュリティをよくご存じなのには驚きました。

小口 いえ、セキュリティの中身については全然詳しくありません。みなさん新型コロナウイルスの感染対策をしっかりしていても、医師のように新型コロナウイルスに詳しいとは言えません。それと同じだと思います。セキュリティ業界でいえば、セキュリティベンダーは医師の役割なのでしょう。われわれ経営者は患者として、こんな対策をするべきだとわかっていれば、それで十分だと思います。それも「地域SECUNITTY」のおかげで、学べたことです。

今後、新たな対策のご予定があれば教えてください。

小口 先程申し上げた、九州大学の小出先生が手掛けるTTXに、私のみならず、広報担当の社員も参加させて、製造業向けの演習プログラムを作れたらと思っています。そうした経験を、お客様や取引先にもお伝えできたら、業界全体のためになるはずです。何はともあれ、こういうものは経営者自身が動かないと駄目だと思います。情報担当者だけではコスト感の判断ができないでしょう。経営者と情報担当者のセットで、サイバーセキュリティ対策を推進していきます。

最後に、他の中小企業経営者がセキュリティ対策を推進するにあたって、何かアドバイスがあれば伺いたいです。

小口 繰り返しになりますが、水害や地震、新型コロナなどの被害と、サイバーセキュリティ被害は本当に似ています。これを機会に保険を1つ解約してでも、他の災害への備えと同等レベルの対策をしていただきたいと思います。

IPAへのリクエストもあります。経営者は「どのシステムを入れたらいいかわからない」という悩みを抱えています。インターネットで検索しても情報が多すぎて1つを選ぶのがとても難しいのです。そこで例えば「従業員30人以下の卸売業A社はこんな対策をしている」などといったケースをたくさん挙げていただけると、中小企業の参考になると思うのです。現実には、どのシステムが最適なのかは企業によって様々に違うことでしょう。それでも、モデルケースとして「こんな企業はこんなシステムを導入している」と紹介されていたら、ひとつの目安になると思います。

写真:小口氏

  • *1
    Emotet:ウイルスの一種。ユーザアカウントやアドレス帳、過去のメール履歴などを窃取し、その情報を元になりすましメールを送信し、感染を拡大させる。
  • *2
    地域SECUNITY:経済産業省が推進する地域に根差したセキュリティコミュニティ https://www.meti.go.jp/press/2020/02/20210217001/20210217001.html

創ネットの取組み

図表:創ネットの取組みの図
創ネットの取組みのポイント
  • サイバー攻撃の被害を実感し、対策の必要性を認識。机上演習で備え
  • 事業継続リスクとして、自然災害もサイバー攻撃も同様に位置づけ
  • 助成金、保険見直し、浮いた接待費活用など、工夫して対策予算を確保
ページトップへ戻る