旧態依然の境界防御では不十分 情シス担当者必読! 最新のサイバー攻撃を防ぐために何が必要か

前編:最新の脅威動向と働き方改革を踏まえたセキュリティの新しいアプローチを知る

デロイト トーマツ リスクサービス株式会社 代表取締役社長 丸山 満彦氏

企業の情報システム部門は、サイバーセキュリティの強化に日々務めていることだろう。しかし、国内外のサイバー攻撃による被害件数は増加の一途で、対策のための課題やコストは増えるばかりだ。また、現在注目されている働き方改革も、セキュリティの在り方に変化を及ぼすと見られている。最新の脅威動向や働き方の変化を受けて、サイバー攻撃から企業を守るために、担当者は今後何に注力すればいいのだろうか? デロイト トーマツ リスクサービス 代表取締役社長 丸山 満彦氏に、そのヒントを聞いた。

聞き手:日経BP イノベーションICT研究所 井出 一仁

標的型攻撃、ランサムウェア…
最近のサイバー攻撃の背景に何が?

丸山満彦 氏
デロイト トーマツ リスクサービス株式会社
代表取締役社長
丸山 満彦

有限責任監査法人トーマツに入社後、米国勤務を経て帰国後、リスクマネジメント、コンプライアンス、情報セキュリティ、個人情報保護関連の監査及びコンサルティングに従事。2014年より現職。国土交通省・厚生労働省の情報セキュリティ関連の委員会等の委員、日本情報処理開発協会ISMS技術専門部会等の委員を歴任。2012年3月末まで、内閣官房情報セキュリティセンター情報セキュリティ指導官を兼務。

──2015年に発生した日本年金機構の情報漏えい事件に代表されるように、日本の企業・団体が標的型攻撃の被害に遭うケースがもう何年も続いています。今年の5月から6月にかけては、ランサムウェア「WannaCry」と「Petya」がそれぞれ世界中で猛威を振るいました。こうしたサイバー攻撃の最新動向を踏まえて、どのような企業が狙われやすいといった傾向のようなものはありますか?

丸山 最初に誤解を解いておきたいのが、いま「標的型攻撃」と言われているものの多くは、実際には「バラマキ型」であるということです。むしろ、攻撃者が本当に特定の組織に的を絞って攻撃してきたとしたら、ほとんどの組織ではまず防ぐことは不可能でしょう。また、このケースだと外部に知られにくいので、あまり世間で話題になることもないと言えます。実は一般的な企業がそのような攻撃を受けるケースは珍しく、多くは攻撃者が標的型攻撃メールなどを無作為にばらまいたところ、サイバー攻撃対策に穴のある企業が結果的に引っかかったというものです。

また、「WannaCry」や「Petya」などは非常に強力な自己拡散能力を有しているので、伝搬していく中で、セキュリティホールのある企業が感染したというわけです。

──そうすると、“本当の”標的型攻撃と、バラマキ型攻撃ではそれぞれ切り分けて対策を考える必要がありそうですね。

丸山 その通りです。まず標的型攻撃に関しては、かなり対策を徹底していたとしても、ひとたび攻撃者から目をつけられれば侵入を完全に防ぐことは難しいことを理解しておくべきです。最近では海外の国家機関による諜報を目的としたサイバー攻撃も行われていると見られていますが、そうなると一企業ではとても防ぎ切れないでしょう。

また、攻撃者は侵入後になるべく露見しないように機密情報などを探るので、攻撃の事実が判明した時点で、かなりの被害が生じていると考えるべきです。実際に我々が被害を受けた企業の調査に入ると、数カ月から1年以上も前から侵入されていたというケースも珍しくありません。最初に侵入したのがログも残っていないほど過去のこととなれば、いつどのように侵入されたのか解き明かすことすら困難になります。

これでは、企業としてセキュリティ侵害に対する説明責任を果たすことができません。そのため標的型攻撃に対しては、基本的な対策をすべて施したうえで、それでも侵入されてしまうことを前提にした対策が求められるのです。アプローチとしては、被害を最小限に抑える、被害を受けた後に説明責任を果たせるよう証跡を残しておくという対策になります。

それから、「相手と己を知る」というのも重要です。最近の標的型攻撃では、攻撃者はいきなりターゲットに攻撃を仕掛けるのではなく、取引先や子会社などのセキュリティレベルのより低い組織にまず侵入し、そこを“踏み台”としてターゲットを攻撃する仕組みになっています。これは「サプライチェーンリスク」と呼ばれ、国も注意を促しているところです。こうした動きを踏まえて、取引先や顧客までを含めた自分たちの情報が、誰にとってメリットが大きいのかを意識しなければ、全方位で防御することは不可能でしょう。

一方のバラマキ型の攻撃については、必要最低限と言われている対策を必ず施しておくことで、かなりの確率で防ぐことができるはずです。とにかくマルウェアなどが感染しやすいセキュリティホールを残しておかないことが肝要です。

──同じサイバー攻撃でも、ランサムウェアを使った攻撃は、従来のように情報を盗み出すのではなく、データを暗号化して使えなくしてしまい、復号と引き換えに“身代金”を要求するというやり方ですね。既存の手法とは、攻撃の質も、その影響もかなり違っているように感じるのですが、いかがでしょうか?

丸山 実を言うと、同様の攻撃手法はかなり以前から存在しているんです。ただし、これまでは侵入に成功してデータを暗号化したりシステムを止めたりしたところで、その後に相手から安全に金銭を回収するのが難しかったため、それほどメジャーにはならなかったわけです。

それがここに来て、ビットコインに代表される仮想通貨が普及したことで、匿名性を保ちながら金銭を受け取ることが容易になりました。つまり、サイバー犯罪にとっても有用なインフラが整ったことが、ランサムウェアによる被害の爆発的な増加につながっているのではないでしょうか。

働き方改革におけるセキュリティの要は 場所や時間に依存しないこと

──今年に入って安倍政権が「働き方改革実行計画」を発表したことなどを受けて、日本企業におけるワークスタイル改革の取り組みが加速しています。そこでは従来のように決まった時間にオフィスで仕事をするだけではなく、働く時間や場所の自由度を高める方向に向かうわけですが、このことは同時にセキュリティリスクの増加にもつながります。そうなると企業の情報セキュリティ対策の考え方にも、大きな変化が必要になると思うのですが、いかがでしょうか。

丸山 必要ですね。まず、働く場所や時間の制約をなくすというのは、経営者の視点から見れば本来当たり前のことなんです。成果さえ出してもらえるのであれば、従業員が仕事をする時間や場所を縛ることにはあまり意味がないわけですから。日本企業もようやくその方向に意識が変わってきたのだと見ています。

ただし、そこで問題となるのがセキュリティをいかに確保するかですが、働き方改革を受けてのセキュリティ対策のポイントは「場所と時間への依存をなくす」ことにあるのではないでしょうか。

──従業員が働く場所や時間に縛られなくなるのと同時に、セキュリティ対策も場所や時間の概念から脱するということですか?

丸山 そうです。多くの企業・団体におけるこれまでの対策は、オフィス空間という物理的なセキュリティと、勤務時間という時間面のセキュリティにかなり依存してきたと言えます。例えば、オフィスであれば盗難防止のためにデスクとPCをワイヤーでつないでおくこともできますし、PCの画面を背後から見られたとしても、同じ組織の従業員なので情報漏えいのリスクは小さいと考えてきたはずです。時間についても、通信ログを解析することで、誰も仕事をしていないはずの深夜に大量のトラフィックがあったならば、怪しいと気づくことが可能でした。

しかし、働き方改革が進めば、オフィス外でいつでもどこからでも仕事をするようになるため、場所と時間に依存した従来のセキュリティ対策では“穴だらけ”になってしまいます。例えばカフェで取引先へのメールを書いていて、誰かが画面をのぞいたとしたら、それだけでかなりの機密情報が漏えいしてしまうかもしれないですよね。もちろん、ちょっと席を立った間に端末が盗まれて中のデータが抜き出されてしまうといった事態も生じ得るでしょう。

だからといって、従業員を場所や時間で管理したのでは、働き方改革は実現できません。だから、セキュリティに関する考え方を大きく変える必要があるんです。場所と時間に依存していたこれまでの考え方を見直して、働き方改革を前提とした新たなセキュリティ対策が必要となってくるわけです。

サイバー犯罪の入り口になり得る エンドポイントのセキュリティを強化

──具体的にはどのような対策が有効なのでしょうか?

丸山 最も重きを置くべきは、従業員が使用するPCなどの端末側、つまりエンドポイントのセキュリティ対策でしょう。ログイン時の二要素証などで強化パスワードを設定するのは当然として、万が一盗まれた場合に備えて、端末内のデータを暗号化したり、リモートで消去できるようにしておくなどが基本的な対策になります。

──エンドポイントのセキュリティ対策の重要性はわかりますが、端末の台数が増えれば増えるほど掛け算的にコストもかさんでしまうことになりませんか。そうなると、現実的ではないと敬遠してしまう企業も多いのではと危惧します。

丸山 そこは、コストに対する考え方を大きく変える必要があります。ある“賢い”企業を例に説明しましょう。その企業では、在宅勤務を推進するのと合わせて、オフィスの面積を半分にしてしまったのです。すると、家賃などの固定費の削減分を、在宅勤務を踏まえた新たなセキュリティ対策のコストへと回しても、まだお釣りがくるぐらいでした。

このように、オペレーションを担当する情報システム部門だけで考えるのではなく、マネジメントを行う総務部門も巻き込んで、セキュリティとコストの兼ね合いをトータルで考えるようにすることが、働き方改革では大切になってくるのです。

──セキュリティ投資を経営者に提案するにしても、情報システム部門だけだと説得が難しい部分がありますが、マネジメント部門がセキュリティの重要性に気づいて一緒に声を上げてくれれば、経営者からの理解を得やすくなりそうですね。

丸山 その通りです。例えば、情報システム部門が「機密情報が漏えいすれば、事業側にこれだけの被害が生じることになる」といくら説明しても、経営者というのは目の前のコストに目が行きがちなので、なかなか聞き届けてくれません。

それが、マネジメント部門や事業部門も加わって、事業への影響を含めて説得したのであれば、今後の自分たちの“飯の種”を失ってしまうかもしれないと経営者は気づき、腰を上げることでしょう。

──マネジメント部門や事業部門がセキュリティの重要性に気づいて、情報システム部門と話し合いながら経営層に働きかけるというのは理想ではあるものの、部門間の縄張り意識のようなものもあり、なかなかできていない企業が多いと思います。できている企業はどこが違うのでしょうか?

丸山 要はガバナンスの問題であると気づくことができるかどうかではないでしょうか。例えば日本国内でいくら強固なセキュリティ対策を施していたとしても、海外の工場の対策は現地のシステムインテグレーターに任せているというのでは、リスクは低減できません。先ほど述べた「サプライチェーンリスク」がありますから。

組織全体でセキュリティの重要性について理解できている企業というのは、ガバナンスがセキュリティのカギを握っていると気づいている企業のはずです。それを理解しているなら、どの部門の予算が減っただ増えただというのは、大した問題ではないとわかっているでしょう。

──海外拠点のセキュリティレベルが経営リスクに直結するというのは示唆的ですね。いくら国内拠点だけセキュリティを高めても、海外拠点のセキュリティが穴だらけでは意味がない。ある程度コストをかけて、セキュリティの水準を組織全体で揃えることが重要だと。同じように、働き方改革を進めるうえでは、個々の従業員、つまりエンドポイントのレベルでセキュリティを高めるという考え方が求められるわけですね。ありがとうございました。

企業のITセキュリティの考え方の変化

今までは物理的に建物に守られていたが、これからは建物による防御が不可能になり、これからのIT環境は従来のファイアウォールでは防御が不可能に。

従来の企業のITセキュリティは、オフィス内をファイアウォールで守ることでセキュリティ対策をしてきた。しかし、働き方改革が進み、従業員が働く場所や時間に制限がなくなると、個々の従業員の端末(エンドポイント)に対してセキュリティ対策を行うことの重要性が増す

  • 不正アクセスや PC の乗っ取りは
    多要素認証でシャットアウト!

    多要素認証機能を強化した HP Elite シリーズ
  • プライバシーフィルタ搭載の PC なら
    画面をのぞき見される心配なし!

TOPへ