Security 新潮流 2015-2016|企業経営におけるセキュリティ対策・現在と未来 ■特別対談 サイバー攻撃から社会・企業を守るために 〜富士通からの提言〜 日経BP社 日経BPイノベーションICT研究所 所長 桔梗原 富夫 氏/富士通株式会社 統合商品戦略本部 エバンジェリスト 太田 大州 氏 Security 新潮流 2015-2016:TOPへ

悪意あるサイバー攻撃による被害は、ますます増加の一途をたどり、さらに深刻化している。これらのサイバー攻撃から社会や企業を守るために今、どのような対策が求められているのか。富士通でセキュリティイニシアティブセンターの設立に関わり、初代センター長を務め、セキュリティ対策の最前線に立つ、統合商品戦略本部 エバンジェリストの太田 大州氏に、近年の情報セキュリティ事情や、サイバー攻撃への対策、富士通の取り組みなどを聞いた。

(聞き手は、日経BPイノベーションICT研究所所長の桔梗原 富夫)

 

 

セキュリティに対する社会認識を一変させた個人情報漏洩問題

桔梗原氏最近の情報セキュリティで象徴的なトピックスを教えてください。

太田氏富士通株式会社 統合商品戦略本部 エバンジェリスト 太田 大州 氏やはり先般起こった公的機関の個人情報流出問題です。メールの添付ファイルを利用した、標的型サイバー攻撃により、125万件もの個人情報が流出しました。不正な通信を発見し、外部機関へ対応を依頼したという流れは、間違っていなかったのですが、スピード感が伴っていなかった。つまり、危機管理のための体制が十分ではなかったということです。

これを受けて、政府やその他の公的機関でも、セキュリティ対策の改善に向けて動き出しています。社会全体の認識が新たにされた事件として、象徴的なトピックスです。

桔梗原氏間もなくマイナンバー制度もスタートします。

太田氏マイナンバーを含む個人情報は特定個人情報に指定されており、適切な取り扱いが求められます。ただし、そんなに構えることはなくて、今までの個人情報と同様に適切に管理されることが重要です。ですが、万一情報が漏れた際には大きな損害が出かねないということについては、経営者の方にご理解いただいた方が良いと思います。

昨年は多くの情報漏えい事件が起こり、特に、サイバー攻撃ではなく内部不正による漏えい事件も目立ちました。実際には、内部不正の方がサイバー攻撃の10倍以上の被害が出ていると世界的には言われています。

サイバー攻撃の対策を進めていくと、内部不正も見えてきます。マイナンバー・個人情報・サイバー攻撃と分けて考えるのではなく、全体を捉えた対策や運用を考えるということが、これから非常に重要になってきます。

桔梗原氏先般の個人情報漏えい事故では、運用面の問題が大きな情報漏えいに繋がったと言われています。

太田氏ポリシーはある程度決められていたと思いますが、現場にとってルールというのは、使いにくい、不便ということに繋がってしまいがちです。現場の利便性に対する要求と、セキュリティ対策のバランスが十分に議論されていなかったということだと思います。十分にコンセンサスが取れていなかったからこそ、ルール違反が起きたわけです。本来、利便性が低いのであればポリシーを変えて、セキュリティが低下したら、そこをどう運用でカバーしていくかという議論をすべきだったのではないかと思います。

 

まずは自社のシステムを守っていくセキュリティ意識が重要

桔梗原氏富士通が取り組んでいる、企業のセキュリティ課題への解決アプローチを教えてください。

太田氏日経BP社 日経BPイノベーションICT研究所 所長 桔梗原 富夫 氏富士通では、“お客様にICTを安心してお使いいただくために”セキュリティへ取り組んでいます。ICTのライフサイクルを支え続けるのが富士通の使命です。セキュリティ関連の製品やサービスを「FUJITSU Security Initiative」として体系化し、継続的に開発、提供を行っています。また、国内外約300社がつながる当社のイントラネット内で起こる1日数億件にも及ぶイベントを、適切な対策と運用により対処しています。こうし
た研究開発や社内実践に加えて、情報セキュリティ専門家育成の取り組みも強化しています。

例えば、クラウドコンピューティングにおけるセキュリティを専門に扱うエキスパートチームである「富士通クラウドCERT」がいます。こうしたチームの人材をしっかりと、薄くならないようにするというのも、我々の中の取り組みのひとつです。

そして、これらのアプローチを通して得た技術やノウハウを製品に反映し、運用設計に生かして、お客様にご提供していく。それが、私どもが考えている、解決のためのアプローチです。

図:FUJITSU Security Initiative

桔梗原氏こちらのセキュリティイニシアティブセンターもアプローチのひとつですね。設立の経緯をお教えく
ださい。

太田氏2013年に韓国で、大規模なサーバ攻撃による放送局や金融機関のシステムダウンが発生しました。私
どもはこの事件を知った時に大きな衝撃を受けました。そして、お客様に対して、このような脅威が存在し、被害は起こり得るという現実をしっかりと伝えていかなければいけないと考えました。お客様に脅威や事実と、富士通の取り組みをご紹介するための施設として、セキュリティイニシアティブセンターを設立しました。

日経BP社 日経BPイノベーションICT研究所 所長 桔梗原 富夫 氏

 

SI会社を経て1987年、日経BP社に入社。一貫してICT分野を担当。「日経データプロ」「日経コンピュータ」「日経Windows NT」の記者・副編集長として、主に企業情報システムの動向やICTベンダーの経営戦略を取材・執筆。2001年「日経IT21」編集長、2003年「日経ソリューションビジネス」編集長、2006年「日経コンピュータ」編集長を歴任。2010年コンピュータ・ネットワーク局長に就任し、ICT関連事業を統括。2012年執行役員に就任、2013年1月より現職。

富士通の「セキュリティイニシアティブセンター」

写真:富士通の「セキュリティイニシアティブセンター」

お客様のセキュリティ環境の課題抽出、対策検討、システム構築、運用といったライフサイクルに対し、巧妙化するサイバー攻撃などの脅威から、常に安全なICT環境を保てるよう支援を行うために、2014年1月に設立。セキュリティエキスパートが富士通独自の手法により、お客様の現状から課題を洗い出し、対策立案、ロードマップ策定を支援する「セキュリティワークショップ」、お客様ネットワークなどを模擬した環境を仮想的に構成できるサイバーレンジを用意した「設計・構成の妥当性検証」、富士通クラウドCERTや当社の社内情報システム部門と連携して、脅威・脆弱性情報の早期発見と評価、インパクト分析を行う「最新脅威・脆弱性情報などの評価・分析」の機能をワンストップで提供。セキュリティに関するライフサイクルに対し、常に最適な対策を施すことができる支援を行う。

桔梗原氏解決へのアプローチは進んでいますか。

太田氏ユーザ会や研究会などでお客様にアンケートをお願いしますと、セキュリティに対する課題認識として、対応をここ1、2年でやりたいという情報システム部門の長の方が7割以上いらっしゃいます。そして、この数字はここ数年変わっていません。
 
セキュリティを課題と認識し、1、2年で対応したいという方が多ければ、翌年以降のアンケートでは、課題解決したという数字が増えて、課題・対応予定の数字は減っていくはずです。つまり、課題解決できないままというお客様が、まだまだいらっしゃると認識しています。

桔梗原氏課題解決が進まないのはなぜでしょう。

太田氏これは単純に言えば投資がないということですね。では、解決のためにはいかにアプローチすれば良
いのかというと言いますと、やはりトップの方の意識改革ではないかと思います。トップの方に、サイバー攻撃に対する理解をしっかりとしていただいた上で、現場の方々が動きやすいようにしていくこと。それが直近の大きな課題と思います。
 
そのために、このセキュリティイニシアティブセンターもあります。まだ現状は、“うちは狙われるかな”といったレベル感で、差し迫った課題と捉えられていないのではないかと思いますので、そこをしっかりとお伝えしていきたいと考えています。
 
できるだけ運用を効率化できるように、現行の投資でもなんとか回るようにという現場側の動きと、トップの考え方を変えていく。人材育成まで含め、ICT投資で終わらないサポートを提供していくことが富士通の役割です。

桔梗原氏ここ数年で起きているさまざまな情報漏えい事故などを受けて、着実に意識が変わってきていると思っていたのですが、まだ十分ではないのですね。

太田氏すでにインターネットは社会インフラです。あらゆる企業や組織が繋がっています。標的型サイバー攻撃では、直接狙われた企業、組織でなくても、攻撃のための踏み台として利用されることがあります。自社のシステムが他の企業の迷惑になる恐れがあるわけです。そうしたことを考えた時に、まずはしっかりと自社のシステムを守っていくということは、インターネットを使う上での礼儀、マナーではないかと思います。
 
インターネットは便利ですが、オープンであるがゆえにリスクが付きまといます。それぞれがまず自分を守ることで、社会全体を強くしていくというコンセンサス、意識が必要です。

BACK NEXT


点線

「FUJTISU Security Initiative」に関する情報は下記URLをご覧ください。

http://jp.fujitsu.com/solutions/safety/security-initiative/

 

※セキュリティイニチアチブセンターに関するお問い合わせは当社担当営業までお願いいたします。