導入事例

業界を揺るがしたインシデントを機に
「AppGuard Small Edition」へ切り替え対策強化
社会保険労務士業界全体のレベルアップを目指す出口事務所

専門サービス

社会保険労務士法人出口事務所 様

社会保険労務士法人出口事務所では、利用していたクラウドサービスがランサムウェア感染によって停止し、業務が行えなくなるという深刻な事態に直面しました。バックアップデータを生かして何とか業務を行ったものの、いっそうの対策の底上げが必要だと痛感し、第三者によるセキュリティ診断の結果を踏まえ「AppGuard Small Edition」への切り替えを行いました。さらに、社会保険労務士（社労士）業界全体でのレベルアップに向け、積極的に情報発信を行っています。

災害級の影響をもたらした、社労士向けクラウドサービスのランサムウェア感染

そんな中、出口事務所を含む社労士業界を災害級の出来事が襲いました。業界でもトップシェアを誇っていた社労士向けのクラウドパッケージサービスを提供するサービス事業者のランサムウェア感染です。
「ある日急に、データが全く閲覧できない状況になりました。最終的に情報漏洩は発生していませんでしたが、完全に復旧するまでに一か月ほどかかりました」（出口氏）
当時、その社労士向けクラウドサービスに登録された顧客企業は約57万社に上っていました。直接ランサムウェアに感染したわけではありませんが、日本全体の15％以上に相当する企業がサービス停止による影響を受けてしまう、とんでもない規模の大事故となってしまいました。
もっとも当初、社労士仲間の中には、「システムトラブルだろうから、そのうち復旧するだろう」と楽観的に見ていた人もいたそうです。しかし、社内にセキュリティに詳しいエンジニアを擁する出口事務所では、当初から「嫌な予感がする」とランサムウェアの可能性を予測し、最悪の事態に向けて動き始めていました。
ただ、サービス事業者側でシステムが利用できない状態に陥っているため、紙の申請処理で代替しようにも肝心のデータが参照できない状況でした。幸運にも出口事務所の場合は、万一に備えて取得していたバックアップデータを参照できたため、あとはExcelなどを使って人力で給与計算を行い、必死の思いで業務を行いました。
「システムが止まっている間にも、入社する人もいれば退社する人もいますし、給与計算も行わなければなりません。その上、社労士にとってシステムが止まった時期は、一年で一番多忙な時期でした。社労士業界としては、とんでもない災害が起きたようなものでした」（出口氏）

代表社員　出口裕美氏

自社だけの対策では不十分、同業者や取引先も含めたレベルアップが不可欠

出口事務所では、バックアップデータを活用した手作業と並行して、臨時にオンプレミス版のシステムを一か月程度稼働させることによって難局を乗り切りました。「おかげさまで、最悪の状態は避けることができました。ただ、一部把握できない情報もあったため、給与計算を仮計算の状態で納品したところもありました」（出口氏）。システムがほぼ正常に戻ってからも、その確認や遅れた手続きなどを進めるのに相当な時間がかかりました。
今回のランサムウェア被害による影響を通して、出口氏はいくつかの教訓を得たと言います。
一つは、いくら自社がしっかりセキュリティ対策を講じていても、依存しているシステムや取引先がサイバー攻撃の被害に遭うことで、その影響を被る恐れがあることです。出口事務所ではプライバシーマークを取得し、また社員に対する教育や標的型攻撃メール訓練の実施、UTMによるネットワークの保護、そして「AppGuard Solo」によるエンドポイントの保護といった多層的な対策を実施してきました。しかし利用していたサービスのランサムウェア感染が原因となり、結局、顧客に迷惑をかけることになってしまいました。
「社労士事務所もそうですが、周りの同業者や取引先も一緒にセキュリティを高めていかないと、全体を守ることはできないと実感しました。業界全体でさらにレベルアップしていく必要があると痛感しました」（出口氏）
二つ目は、レベルアップのベースとなる、セキュリティに関する最低限の知識の必要性です。
「業務システムにつながらない」という事象が生じた当初、中には、そのうち復旧するだろうと楽観的に見ていた事務所もあったことは前述の通りです。一方で出口事務所も含め、「ランサムウェアとは何か」を知っていた事務所の動きは素早いものでした。「これは相当の時間がかかる恐れがある」と判断し、手作業など別の方法での業務の切り替えを指示できたのは、前提となる知識があったからです。「そういったセキュリティの知識も最低限必要だと思います」（出口氏）
三つ目は、情報公開の大切さです。出口事務所では、インシデント発生当初の何が起きているかよくわからない中でも、逐次ブログを通して情報を発信していきました。「私たちのせいではないからといって対応が遅れたり、隠してしまったりしては、お客様に多大な迷惑をかけることになります」（出口氏）という思いがあったからです。
一般に、システム障害やセキュリティに関する情報はできれば隠したい、という誘惑は強いものがあります。「事務所の使っているシステムがランサムウェアに感染し、個人情報が漏洩したかもしれない」などとは言いたくもない——という気持ちもわからないでもありません。
しかし出口事務所では、サービス事業者から届く情報を逐次、多いときには1日数回のペースで公開し、顧客に状況を伝えていきました。同様に、一体何が起きているかわからず混乱していた同業他社にとっても参考になる情報であり、感謝の声も寄せられているほどです。
そして、システムがほぼ正常に戻った今、今度は「再び同じような事態が起きないようにするには、どうすればいいのか」に対する関心が高まっています。出口事務所では以前から、導入済みのシステム情報をWebサイトで公開してきましたが、事件を受けて強化したセキュリティ対策についてもさまざまな講演などで紹介し、どのようにレベルアップすべきかの一例を示しています。「もはや、『気を付けましょう』では済みません。事例を共有し、同じ業界の人たちに具体的に何をしたらいいかを紹介し、底上げにつなげていければと考えています」（出口氏）

写真はイメージです

第三者による診断を踏まえさらに対策を強化し、AppGuard Small Editionを採用

出口事務所は前述の通り、プライバシーマークを取得し、人、組織、技術の各側面から対策を実施してきました。社員教育やメール訓練に加え、インストールを許可したソフトウェアをダウンロード元のWebサイトとともに定め、「必要のないソフト、このリストにないソフトはインストールしてはならない」というルールの元で運用していました。
しかし、今回のランサムウェア感染に端を発した問題を踏まえ、あらためてセキュリティ診断を実施し、自社の体制を見直したそうです。
「診断の結果、出口事務所のセキュリティレベルは四段階のうち上から二番目にランクされ、社労士業界としては最高クラスと評価をいただきました。業界最高クラスという評価はうれしいものでしたが、さらに上の、日本のトップクラスを目指す姿勢を示すことで、お客様に安心していただき、選ばれるようになりたいと考えました」（出口氏）
その具体的な強化策の一つとして実施したのが、AppGuard Soloから「AppGuard Small Edition」への切り替えです。
出口事務所では以前から、UTMによって事務所内のネットワークを保護していました。また、外出時などにノートパソコンを携帯し、リモートデスクトップで社内に接続して業務を行う場面が増えてきたことから、端末そのものを保護するためにAppGuard Soloを導入済みでした。
「『PCをしっかり守ること』を目的として導入した効果はあったと実感しています。国内でEmotetの被害が多数確認されていた時期も、ウイルスを検知するのではなく『やってはいけないことはそもそもやらせない』というAppGuardの概念の中では感染することはないと、安心して業務に臨むことができました。またAppGuardのこの概念は、例えば従業員が独断でアプリケーションをインストールしようとしても抑制してくれる効果もありました。一方、スタンドアローン型のSoloの場合、ポップアップで表示されるアラートを見て『今使おうとしているこのソフトを止めているんだな』と認識できることから、どうしても必要なものをインストールするときには、ユーザーが手動でオフにしてしまうことも可能でした」（出口氏）
組織としてのセキュリティレベルを一段アップすることを考えたとき、ユーザーの自己判断で機能をオフにできてしまうのは問題があると判断し、これを機に一元的な管理が可能なAppGuard Small Editionへと強化することに決定しました。業務継続のために急いで導入したオンプレミス版業務システムサーバの保護にも必要だと考えました。
もちろん、使い勝手とのバランスは重要です。そこで出口事務所では、情報システム担当者と連携しながらポリシーの設定を進めています。
「電話で依頼すれば解除できるとはいえ、急いで作業したいときにアプリケーションを止められてしまうと、別のノートパソコンを使ってしまおうかと抜け道を考えたくなるものです」（出口氏）。そうした事態を招かないよう、社労士の業務に必要な独自アプリケーションも含めてチューニングを行い、最適な状態に整えた上で運用を開始する予定です。
実は当初、セキュリティ強化策の一環としてEDRの導入も検討の俎上に上がりました。しかし、今ひとつEDRの効果がつかめなかったことから、まずは「端末をしっかり守るもの」を優先すべきだと判断しました。またEDRの場合、ライセンスそのもののコストに加え、24時間365日体制での運用が必要になることも、事務所の体力を考えると現実的ではないと判断したそうです。
出口事務所ではAppGuard Small Editionの導入により、外部からの攻撃への対策と併せて、一元管理によるITガバナンスへの効果を期待しています。加えて万が一に備えた対策も講じています。これまでも実施してきたバックアップの対象を広げ、クラウドサービスのBoxも含めてデータを取得できるものに強化するほか、サイバーリスク保険のオプションが付いた社労士賠償責任保険に加入することで、必要性と優先順位、コストのバランスの取れた対策を推進しています。

写真はイメージです

お客様の厳しい目に答える体制を整え、選ばれる事務所に

出口事務所は引き続き、セキュリティ診断でトップレベルの評価を取得するための努力を続け、顧客からの厳しい目に答えていきたいと考えています。「今回の件を受けてお客様も、私たちがどのような対応を取り、どうしていこうとしているかを見ています。しっかり対策を取り、第三者による評価を明らかにすることで、『それなら出口事務所は安心だな』と思ってもらえるようにしていきたいと考えています」（出口氏）
同時に、業界全体での取り組みも不可欠だと考えています。
実はサービス事業者のランサムウェア感染が明らかになった後、別のサービスを使っていた同業者からは、「該当のサービスを使っていなくてよかった」といった声も漏れ聞こえてきたそうです。しかし出口氏は、問題の本質はそこではないと感じています。
「たとえクラウドサービスを使っていなくても、社内サーバを運用していればそのセキュリティ対策を自分たちでやらなければなりません。紙の台帳に戻してアナログな処理に戻したとしても、効率が損なわれる上に、火事などのリスクとは無縁ではないでしょう。どのような仕組みを使っていたとしても、災害と同じで、他人事ではなくしっかり自分事としてとらえ、用意しておくことが大事だと思います」（出口氏）
その本質を見極めるためにも、ランサムウェアやサイバーセキュリティに関する社労士業界の知識の底上げも必要だと感じています。
「まず当然ですが、社労士が自らリスクをきちんと理解し、やるべきことをやっていく必要があります。さらに、社労士は中小零細企業から大企業まで、いろいろな企業の方々のリスクを担っていますから、そういった方々にもリスクをお知らせしていくのも使命だと考えています」（出口氏）。社労士業界自体のレベル向上に加え、社労士がつながる他の業界や支援している企業にランサムウェアなどの危険性を伝え、きちんと対策を取れる企業を増やしていければと考えています。
「今回の事件で、私たちがどれだけ大事な情報をお預かりしているかをあらためて実感しました。それに関連する人たちにサイバーセキュリティの重要性を伝えていければと考えています」（出口氏）

PDFをダウンロードする