経営者の無知・無策が企業を滅ぼす!担当者に丸投げでは失格、いま備えるべきセキュリティとは?

後編:ゼロリスク指向ではもはや会社は守れない最新の「働き方」に対応したセキュリティの在り方を知る

KPMGコンサルティング株式会社 サイバーセキュリティアドバイザリーグループパートナー 田口 篤氏
				株式会社 日本HP 執行役員 パーソナルシステムズ事業本部長 兼 サービス・ソリューション事業本部長 九嶋 俊一氏

サイバー攻撃によって企業が甚大な被害を出す例が度々報道されるようになった。技術の進歩とともにサイバー攻撃の手法も高度化・多様化している。のみならず、「働き方改革」に象徴されるワークスタイルの変化によって、セキュリティに対する考え方そのものが変革を余儀なくされている。生産性を下げることなく、セキュリティを確保するにはどうしたらいいだろうか。企業のリスク対策を専門に手がけるKPMGコンサルティングの田口篤氏と、製品に最新のセキュリティを求められる日本HPの九嶋俊一氏に聞いた。

境界防御だけでは守り切れない巧妙化するサイバー攻撃にどう立ち向かうか

田口 篤 氏
KPMGコンサルティング株式会社
サイバーセキュリティ アドバイザリーグループ パートナー
田口 篤

早稲田大学大学院理工学研究科卒業後、国内大手シンクタンクなどを経て、2000年KPMGビジネスアシュアランス(現 KPMGコンサルティング)に入社。情報セキュリティ管理、事業継続計画、個人情報保護、システム監査、アイデンティティ管理などITリスクマネジメントに関するプロジェクトを担当。

田口 さまざまな企業のコンサルティングを手がける中で、サイバーセキュリティに関しては、現状ではまだまだ個人情報流出のような情報漏洩のリスク程度しか認識されていないという問題があります。もちろんそれも大事な問題ですが、情報漏洩だけで会社が立ちゆかなくなることはまずありません。

より深刻なのは、業務がストップしてしまうような状況です。ここ最近のサイバー攻撃は手口が巧妙で、しかも重大な結果を招く事例が目立ちます。例えば、少し前に猛威を振るったランサムウェア「WannaCry」による攻撃では、英国の病院の業務が止まり、日本でも製造ラインが止まる事態が起こりました。影響がデジタルの範囲に留まらず、フィジカル(物理的)でも深刻な影響をもたらすようになってきているのです。

九嶋 そもそも論として、日本は島国で、しかも平和が長く続いてきたことも関係しているのか、外敵に対する感度が低い傾向がありますね。その意味では、例えばイスラエルや韓国ではリスクに対する感度が高いと感じます。しかし、サイバー攻撃に国境はありませんから、世界的な常識が変わってきていることはよく理解しておく必要があると思います。

田口 そうですね。古い考え方では、企業のネットワークはファイアウォールやアンチウイルスソフトなどで外部からきちんと守られていて、その内側にいる社員は善人ばかりで安全なPCを使っているという発想でした。これを「境界防御」と言います。

最新のサイバーセキュリティの状況を理解するための大きな前提は、いまや攻撃は「境界をすり抜けてしまう」ということです。イントラネットの内側なら安全、という考え方はもはや通用しないのです。

実際に、最近のサイバー攻撃は非常に巧妙で、まだ対策がされていない「穴」を狙ったゼロデイ攻撃も盛んになっています。ファイアウォールやアンチウイルスなどによる境界防御を通過してしまう攻撃が増えてきました。

代表的な攻撃は標的型メールです。メールに攻撃用コードが添付されていて、見かけ上は単なる添付ファイル付きのメールであるため、境界防御を簡単に越えてしまう。そして、社員が1人でも添付ファイルを開いて感染してしまうと、次の攻撃のための足がかりが作られることになります。国内の大手旅行代理店が攻撃を受けた事例では、取引先の大手航空会社の系列会社のドメインから送られてきたメールが感染源でした。

これは感染した社員を責めることはできません。巧妙に偽装されたメールを見抜くことは困難ですし、受け取ったメールをいちいち疑っていたらキリがありませんから。「境界防御」だけではもはや守れない時代になっていることは強調しておきたいと思います。

ゼロリスク指向がかえって危険をもたらす重要なのは問題の早期発見と対処

九嶋 古い常識の背後には、セキュリティやリスクに対する「0か1か」の思考があります。社内のネットワークを境界防御して安全に保ちリスクをゼロにしようというゼロリスク指向はわかりやすいのですが、すでに古くなった昔の常識です。

田口 「絶対に事故を起こすな」とゼロリスク指向で指示を出していると、現場は非効率とわかっていても事故を起こさないような対策を取ろうとします。しかし、現在ではセキュリティ上の問題がゼロということはあり得ません。ならば、どうするか。事故は起こるものという前提に立ち、問題を早期に発見して対処することが重要になってきています。

先ほど述べた標的型メールの例で言えば、「メールを開封してしまった人」を悪者扱いするのではなく、むしろ防御し切れなかった脅威に対して複数のソリューションを組み合わせて守っていくという考え方が必要です。

九嶋 そう考えると、ゼロリスク指向はむしろ危険とすら言えますね。最悪の場合、起こった事故を隠すような事が起こりかねませんから。そうではなく、万が一感染してしまった場合に、その被害を最小限に食い止めるにはどうしたらいいか、という発想が大事です。

田口 そこで出てくる考え方が「多層防御」です。メール攻撃が境界をすり抜けてしまうような事故は必ず起こる。そこで、何段階にもわたって防御手段を講じておく。攻撃が1カ所をすり抜けても、それを早期に検出して次の段階に進ませないようにします。

もうひとつ重要なのはエンドポイント(1台1台の端末)のセキュリティです。従業員が使用する各PCに監視やアクセスコントロールの機能を組み入れて統制していく。現在主流となっている考え方のひとつです。

「PC持ち出し禁止」は実情に合わない
働き方改革を阻害する旧ルールを見直す

九嶋 俊一 氏
株式会社 日本HP 執行役員
パーソナルシステムズ事業本部長 兼
サービス・ソリューション事業本部長
九嶋 俊一

1988年横河・ヒューレット・パッカード入社。コンサルティング営業本部長、クライアントソリューション本部長、テクノロジー・ソリューション統括本部長などを経て、2015年より現職。

九嶋 PCベンダーとして感じているのが、「PC持ち出し禁止」のルールを定めている会社が想像以上に多いことです。テレワークやリモートワークが当たり前になろうとしている時代に、社内ネットワークの内側だけ安全を確保するという考え方は、かえって危険です。それだけでなく、PCを持ち出し禁止にすることで機会損失や非効率という、決して小さくないロスが出ていることも認識すべきでしょう。

もちろんセキュリティは重要ですが、必要以上に怖がりすぎている。知識不足ゆえのゼロリスク指向が、業務効率や働き方の制約を強めている気がします。

田口 考え方を変えていかないといけないという点は、まったく同意見です。PCを持ち出さなければ安全という発想は、まさに先ほど述べた「境界防御」の考え方で、境界をすり抜ける攻撃のことを想定していない。

もちろん、持ち出し禁止のルールが作られた背景には、PCの置き忘れによる情報漏洩などが大きく報道されたことも関係しています。しかし、外部にPCを持ち出さなければ安全かというと、そんなことはありません。社内に悪意のある人間がいないという保証はないわけですから。

九嶋 その通りです。逆に、PCを持ち出してもセキュリティを担保できるソリューションは、すでに揃ってきています。ベンダー側では、すでに社外でどのように安全性を確保するかという考え方にシフトしています。

田口 「PC持ち出し禁止」というルールは、インターネットの普及の初期段階で、全員がデスクトップPCで仕事をしていた時代の考え方ですね。いまでは、ノートPCやスマートフォン、タブレット端末などさまざまなモバイルデバイスが普及しています。業種や仕事の内容にもよりますが、それらのデバイスを使って社外からアクセスできたほうが効率的なのは自明です。

また、働いている人も終身雇用の正社員ばかりではなく、外部委託などもあるでしょう。そのように、社内、社外で情報を共有しながらビジネスを進めていく必要がある中で、一律にPCを持ち出し禁止にするような旧態依然としたルールは実情に合わない。

九嶋 そうですね。にもかからず、そこで立ち止まってしまっている会社が実に多い。現在のビジネス環境を踏まえてルールを変えていく必要があると感じます。

田口 そうした古いルールを変えていくにあたっては、セキュリティだけでなく会社のルールも見直す必要が出てくるでしょうね。例えば、営業のような職種では以前からオフィスの外に出ていって働くことは当たり前でした。このような職種に関しては、すぐにでもセキュリティの対策を行ったうえで、PCの持ち出しを許可すべきでしょう。

さらに、働き方が多様化しつつある現在は、従業員の誰もがオフィスの外で働くようになる可能性もあります。例えば、テレワークを取り入れて、従業員が在宅で働ける取り組みをしている会社も増えてきました。こちらに対しては、その実現にあたってセキュリティについて考え直す必要があると同時に、就業規則や人事評価を見直す必要も出てきます。これらの決断は経営トップの仕事です。

経営トップがきちんと専門家を使いこなして問題を整理し、把握したうえで、ここまでやればリスクはゼロではないがコントロール可能であり、これだけの効果が期待できる、といった議論ができるようになると、働き方改革や生産性向上に関して、大きく前進できます。

製品設計の段階から作り込むセキュリティバイデザインという考え方

田口 従来のセキュリティ対策は、だいたい後付けでした。システムもネットワークも、ある機能を作った結果として、セキュリティ上の「穴」ができてしまう。そこを突くのがサイバー攻撃です。

そこで考え方を変えて、最初からリスクの想定をして、アーキテクチャーの段階で不正が起こりにくいシステムやネットワークを考えるという発想があります。これは「セキュリティバイデザイン」といって、企画・設計段階からセキュリティを考えた安全な設計にしていくやり方です。

九嶋 おっしゃる通りです。私たちは、このセキュリティバイデザインの考え方を、ものづくりの中心的なコンセプトとして捉えています。

具体的には、当社ではビジネスPCの標準BIOSとして「BIOSphere(バイオスフィア)」という名称で非常に高機能のセキュリティ機能をハードウェアに最初から組み込んでいます。最近ニュースなどで取り上げられているMBR/GPTを狙ったサイバー攻撃に対しても、ダウンタイムなく対処できます。また、一部の製品に組み込んでいる「Sure Start(シュアスタート)」はBIOSそのものを狙ってくる高度なマルウェアも検出し、リカバリーする仕組みです。

さらに、新しくリリースするビジネスPCには「Sure Click(シュアクリック)」という強化したブラウザーにより、防ぐことが非常に困難と言われているWeb経由のマルウェアに対する防御の仕組みも標準機能として提供しています。エンドポイントの製品であるPCの内部にも多層防御の仕組みを取り入れ、ここまでセキュリティを強化しているPCはほかにありません。

今後、業務用のPCを選択する場合には、ぜひエンドポイントのセキュリティを守る機能を備えているかどうかを検討してほしいですね。そして、働き方改革が目指す、より自由度が高いワークスタイルを実現できるかどうかを考慮していただければと思っています。

田口 PCに限らず、これからは情報機器のものづくりはこの考え方が当たり前になっていくでしょうね。

製品ライフサイクルにおけるセキュリティ実装

すべてのライフサイクル内において安全なプロセスとツールを使用:インシデントに素早く対応
						コンセプト、設計、試験、認証、部品調達、製造、配達、導入、サービス、製品リサイクル
						フィードバックと継続的な改善

従来のセキュリティは、プロダクトが出来上がった後にセキュリティ対策を講じる「後づけ」の考え方が主流だった。これに対し「セキュリティバイデザイン」は、開発プロセス上流からセキュリティに配慮することで、より安全性を高めるという発想だ

明日は我が身かも!? 身近に潜むセキュリティリスク

  • カフェでPCに個人情報を入力していたら
  • カフェでPCのWi-Fi接続を手伝ったら
  • カフェで置きっぱなしのPCについ触ったら
TOPへ