叡智の三猿

〜森羅万象を情報セキュリティで捉える

当サイトは、アフィリエイト広告を使用しています。

サイバー攻撃の多発時期と企業被害の実態

毎年、2月から3月にかけては、サイバー攻撃がもっとも多発する時期として、知られてます。

帝国データバンクは15日、2月中旬以降にサイバー攻撃の検知が急増しているとする調査結果を発表した。2021年3月からの過去1年間で、22年2月中旬~3月中旬にサイバー攻撃を受けたとする企業が3割に上り、攻撃を受けた時期として最も多かった。事業活動に支障が出る例も相次いでいる。
~日本経済新聞(2022年3月15日)より

政府がサイバーセキュリティに対する取組を推進するため、2月1日から3月18日までを「サイバーセキュリティ月間」としているのは、サイバー攻撃の被害が多い背景があるのでしょう。

サイバー攻撃を仕掛ける人が待ち望んでいるのは、ターゲットとなる会社員が余計な仕事をしたくないと思うタイミングです。

年末年始はその典型ですが、2月の中旬辺りから年度末も同様です。

日本は3末が決算の会社が多いので、2月になると決算に関連した仕事が増えます。社員の通常業務の仕事量が増えることで、サイバー攻撃に対する守りがどうしても手薄になってしまうのです。

わたしがいままで、ERP導入に関わったお客さま企業は、この時期になると、決算の為の棚卸をしてました。

システムエンジニアとして、棚卸業務がスムーズに終わることを切に願っているのですが、なかなかうまくいかないことがあります。

棚卸の関連業務は、システム的な不具合が潜んでる可能性が高い機能です。

棚卸に関わる機能が完全に使われるのは、基本、年に一回です。もちろん、在庫の管理精度を高めるため、月次棚卸や半期で棚卸をする会社もあります。しかし、煩雑な作業を必要とする棚卸に、余分な人的リソースを投入できない会社も少なからずあります。また、棚卸しを行うためには、会社の業務を一度止める必要があります。特に中小企業では、仕事を止める余裕がなく、専任の管理者も少ないので、年一回の棚卸が限界に感じます。

ですので、棚卸のシステムを性能面からみると、利用者が機能を利用する頻度が少ないことから、不具合を検知しにくい状況を作ってます。

通常の受注や出荷など、日次で使われる業務や、請求処理など月次で使われる機能は、並行運用(旧システムのやり方と新システムのやり方を同時に運用すること)などの検証段階である程度、不具合を検知することができます。

そのため、顕在化した不具合を解消した状態でシステムをリリースすることが出来ます。

しかし、決算棚卸のような年サイクルで煩雑な作業は、並行運用が難しいのが実情です。

極端な話、ぶっつけ本番でいくこともあります。

特にERPを導入した初期の段階では、棚卸によって生じた課題が、業務の仕方による課題なのか、システムの不具合なのかの見分けがつきにくく、それが現場の混乱をいっそう大きくします。

ERPはパッケージなんだろ、高いお金を出して買ったパッケージに不具合があるのはおかしいんじゃないか!?

これは、わたしがERPの導入に関わった中小企業のオーナーから言われた言葉です。

ERPパッケージが管理する在庫は在庫金額を管理する単位です。在庫金額は倉庫や工場などの拠点の括りで計算されます。しかし、実地棚卸は数量のカウントです。数量をカウントする際に金額までは意識しません。実地棚卸は工場や倉庫などの拠点より細かな区分けでカウントする必要があります。

工場であれば、工場内にある保管場所のどこかの棚に在庫をカウントするべき多くの部材が置かれていますが、そこだけにすべてが集結しているわけではありません。製品を製造するため、製造ライン近くにも部材があったりします。特にややこしいのが、ファントムと呼ばれる製造工程で必然的に発生した品目の扱いです。ファントムは工程のなかで加工され、仕掛品や製品に変化することで、在庫を管理する対象品目になりますが、ファントムで止まっている場合は、在庫管理の対象品目になりません。そのため、棚卸にあたっては、前工程の仕掛品と部材とに数量を分解してカウントする必要があります。

実地棚卸のような煩雑な業務はERPパッケージの標準機能ではサポートされてません。棚卸専用のアプリケーションや、バーコードリーダー付きのハンディターミナルを組み合わせて、在庫数量から在庫金額を計算するために、ERPとデータ連携するのが一般的です。

こういう特殊な機能をERPパッケージにアドオンすることから、棚卸機能は不具合を内在させている可能性が高いのです。

棚卸業務の目的は、実際の在庫数と、帳簿上の在庫数を照らし合わせて在庫量を確定させることです。

実際の在庫数と帳簿の在庫数が合わない場合は、どちらかにミスがあります。そのため、数量をあわせるための再確認が必要です。これは、非常に手間がかかる作業です。 それでも合わない場合は、棚卸の数量を正として帳簿上の処理(期末商品棚卸高)の計算を行います。

話をサイバー攻撃に戻します。

2月の下旬から3月にかけて、会社が一丸となって決算をするための仕事に時間を割いているなか、社員は自らのパソコンのセキュリティパッチを最新化したり、外部から届いた電子メールを開き、それが標的型攻撃メールの疑いがある場合、システム管理者に連絡する気持ち的な余裕がなくなることが想定されます。

だから、サイバー攻撃のターゲットになりやすい時期なのでしょう。

もし、サイバー攻撃の被害にあったら、ただでさえ、忙しい仕事量は、爆発的に増えます。

NISC(内閣サイバーセキュリティセンター)が定める「サイバーセキュリティ対策9か条」は、どんなときでも意識しておくべきモットーです。

サイバーセキュリティ対策9か条

  • OSやソフトウェアは常に最新の状態にしておこう
  • パスワードは長く複雑にして、他と使い回さないようにしよう
  • 多要素認証を利用しよう
  • 偽メールや偽サイトに騙されないように用心しよう
  • メールの添付ファイルや本文中のリンクに注意しよう
  • スマホやPCの画面ロックを利用しよう
  • 大切な情報は失う前にバックアップ(複製)しよう
  • 外出先では紛失・盗難・覗き見に注意しよう
  • 困った時はひとりで悩まず、まず相談しよう