経営課題としてのデジタルビジネス投資 今こそセキュリティに「投資」せよ

日本マイクロソフトPresents エグゼクティブ向け Security 厳選コンテンツ

基調講演に続いて、有識者パネルディスカッションが行われた。パネリストとして、日立製作所の梶浦敏範氏、JPCERTコーディネーションセンター(JPCERT/CC)の椎木孝斉氏、情報処理推進機構(IPA)の松坂志氏の3人が登壇。サイバー攻撃の実情や、それを防御するための対策を議論した。司会は、日本マイクロソフトの髙橋正和氏が務めた。

このセッションの冒頭で、各パネリストが自身の立場を説明した。

日立製作所の梶浦氏は、日本経済団体連合会(経団連)の「サイバーセキュリティに関する懇談会」で座長を務めている。同懇談会は2014年10月に発足。経団連に加盟する約50社が参加し、産業界に向けてサイバーセキュリティ対策を継続的に提言している。

椎木氏が在籍するJPCERT/CCは、情報セキュリティに関した情報を収集し、インシデント対応の支援、セキュリティ関連情報の発信などを行う組織。同氏は、サイバー攻撃を分析・解析する「アーティファクト分析」という役目を担っている。

IPAは「情報セキュリティ」「情報処理システムの信頼性向上」「IT人材育成」という3つのミッションに取り組んでいる組織。松坂氏は、標的型攻撃に関する情報共有に取り組む「サイバー情報共有イニシアティブ(J-CSIP)」という仕事に従事している。

企業や公的機関にとって標的型攻撃が大きな脅威に

司会を務める髙橋氏は「最近のサイバー攻撃は手口が巧妙で、もはや侵入を完全に防ぐことは困難。侵入されていることに気づかないケースも多くなっています。実際、侵入から検知までに200日も要したという例もあります」と指摘。同氏が、パネリストにサイバー攻撃の実情を尋ねると、松坂氏はIPAが毎年公表している「情報セキュリティ10大脅威」の2017年版を解説した。

情報セキュリティ10大脅威は、前年に発生した情報セキュリティインシデントの中から、IPAが候補を選出し、専門家で構成する「10大脅威選考会」が選定するものだ。2017年版では、企業や公的機関などが対象となる「組織」部門では、前年に引き続き「標的型攻撃による情報流出」が1位。「個人」「組織」の両部門で「ランサムウエアによる被害」が2位となっている。松坂氏は、「組織では『標的型攻撃による情報流出』が2012年版から常時3位以内に入っており、企業や公的機関において大きな脅威になっています」と指摘する。

JPCERT/CCには、2016年4月から12月の間にインシデントの報告が1万1859件もあったという。平均すると1日に30件もの報告があった計算になる。

インシデントの内容では「スキャン」が44.8%で1位となった。これは「外部からサーバーへのアクセスが可能か」「脆弱性のあるサービスが動いていないか」といったことを調べる作業で、サイバー攻撃の事前準備と位置付けられる。スキャンの下には「ウェブサイト改ざん」(21.5%)、「フィッシングサイト」(15.2%)が続く。

報告されるインシデントの中には「標的型攻撃」も0.4%含まれている。椎木氏は「ウェブサイトの改ざんなどと異なり、標的型攻撃は被害に遭った当事者からの報告がないと情報を得ることができません。何らかのインシデントが発生した場合は、ぜひJPCERT/CCに報告していただきたい」と訴える。

IoTの進展で社会インフラも攻撃のターゲットに

梶浦氏は、IoT(モノのインターネット)の進展によって、サイバー攻撃の脅威が大きく広がることを懸念する。同氏は「国土交通省もIoTの活用に大きく舵を切っており、社会インフラの中にIoTがどんどん組み込まれるようになります。サイバーセキュリティは、もはやITだけの課題ではなく、社会インフラ全般で検討すべき課題だと認識すべきでしょう」と指摘する。

こうした懸念から、経団連では13分野の重要インフラを定義し、実際の施設を洗い出したという。ここでリストアップされた施設の運営者は大半が民間企業だった。そこで、重要インフラを運営する企業に集まってもらい、サイバー攻撃をどのように防御するかを議論しているという。梶浦氏は「重要インフラを運営する企業では、まずは経営者が『サイバーセキュリティは経営リスク』だという認識をもつことが必要です」と力説する。

現在、経団連では政府が打ち出した「Society 5.0」という考え方に基づいて、プロジェクトを進めようとしているが、そこでもサイバーセキュリティが重要な課題になるという。「Society 5.0」というのは、2016年1月に閣議決定された「第5期科学技術基本計画」で使われたキーワード。人類がこれまで歩んできた「狩猟」「農耕」「工業」「情報」に次ぐ第5の新たな社会を、イノベーションによって創出するという意味合いが込められている。

Society 5.0では、AI(人工知能)やクラウドなどの最新テクノロジーを組み合わせて、ビッグデータを分析することが重要な要素になる。社会の多様な側面にテクノロジーやデータが埋め込まれることになるので、これをサイバー攻撃から防御することが重要な課題になる。

「侵入されてから勝負」と考えて対策を講じる

こうした議論を受け、司会の髙橋氏は「セキュリティ対策のためのアーキテクチャーが、一昔前とは大きく変わってきました。昔はインターネットと社内ネットワークの間の壁を堅牢にすることが重要でしたが、今では侵入された後の対策も必要です」とした上で、パネリストに具体的にはどのような対策が必要なのかを問うた。

IPAの松坂氏は「侵入されてからが勝負」とした上で、「企業のリソースは限られているので、どこにどの程度の人やお金を投じるのかを計画することが重要です。社内外の壁を強化することだけに腐心していたのでは、投資がムダになりかねません」と語る。

JPCERT/CCの椎木氏は「最近は、サイバー攻撃を想定したセキュリティ対策のフレームワーク(枠組み)をさまざまな団体が公表しています。これが参考になると思います。ただし、フレームワークによって実践すべき項目の数は大きく異なっているので、自社が投じられるリソースを考慮して、適切なフレームワークを選ぶとよいでしょう」と指摘する。

梶浦氏が座長を務める懇談会では、人材育成がサイバーセキュリティ対策の大きな課題になっていると提言している。現在、高度なスキルを持ったセキュリティ人材は圧倒的に不足している。梶浦氏は「サイバーセキュリティの領域に優秀な人材が集まってくるような仕組みが必要だと考えています。しかし、企業の中で、こうした仕事をしたいと思ってもキャリアパスがないのが実情です」と分析する。

こうした課題の解決策の例として、梶浦氏は政府の取り組みを挙げる。内閣サイバーセキュリティセンター(NISC)の専門家でも、審議官に就けるキャリアパスを用意しているのだ。梶浦氏は「少なくとも重要インフラを運営するような民間企業は、セキュリティの専門家が経営幹部に就けるようなキャリアパスを用意するべきです」と主張する。

セキュリティを取締役の重要なテーマに位置付ける

ネット通販業者のように、ITがビジネスそのものであるような企業では、サイバーセキュリティはビジネスの存亡に関わる重要な課題だ。こうした企業では、セキュリティに関する話題が取締役会でも重要なテーマとして取り上げられている。

司会を務める髙橋氏は「今後は、どのような企業でもサイバーセキュリティを取締役で取り上げるような重要なテーマだと認識することが必要になるでしょう」と指摘する。というのも現在、世界中の企業が「デジタルトランスフォーメーション」の名の下で、自社が提供する製品・サービスのデジタル化や業務プロセスのデジタル化を推進しているからだ。デジタルトランスフォーメーションが大きく進展すれば、ネット通販事業者と同様に、ITがビジネスそのものとなる。

髙橋氏は「セキュリティ対策は、もはやサーバールーム内だけの話題ではありません。取締役会でも重要なテーマに位置付けて、経営幹部層が議論することが必要です」と語り、このセッションを締めくくった。