ITpro Special
週間WEEKLY ITpro Special ITpro

2017年のセキュリティのトレンドは?

標的型メール攻撃やランサムウエアによる被害が拡大しており、企業を取り巻く情報セキュリティ上の脅威は拡大の一途をたどっているが、日本企業の対応は後手に回っているのが現状だ。IoTやFinTechが実用化に向けて動き始め、ITの活用がさらに加速する中で、攻撃側の手口は一段と巧妙化している。情報セキュリティのトレンドを踏まえ、対策を講じる必要性が高まっている。

日本セキュリティ・マネジメント学会
理事
萩原 栄幸 氏

 パソコンやインターネットなどのITを業務で利用することは企業にとってごく自然のことになった。情報インフラなしにビジネスは成り立たなくなっているが、ITの活用はさほど長い時間軸での話ではない。「業務でITを本格的に活用するようになったのはわずか20~30年前のことです。しかもITは急速な勢いで変化を続けています。これまでの経験に頼らず、できたばかりの新しい世界にいるという認識が必要です」。日本セキュリティ・マネジメント学会の萩原栄幸氏はこう語る。

 ITの中でも情報セキュリティの変化はとりわけ著しい。攻撃者はセキュリティ対策の裏をかくため新たな手口を編み出し、攻撃を日増しに巧妙化している。「情報セキュリティの知識はわずか1年間で相当な入れ替えが必須です。しかし、この10年を振り返るとほとんどの企業のセキュリティ対策はそれに対応していません。人員はほとんど変わらず、予算については事件や事故が発生しない限り、徐々に減り続けている企業が少なくありません。中には、人員さえも減らしている企業もあります」。萩原氏はこう警告する。

企業の重要資産である情報が
毎日のように盗み出されている

 この背景には、経営者の多くが情報セキュリティに割くヒト、モノ、カネを売り上げに寄与しないという理由で経費と位置付けていることがある。実際は戦略的投資だが、一部の企業を除き、毎期の予算は大きく減額されてしまうのが現状だ。にもかかわらず、ここ数年に限っても、モバイル端末のセキュリティポリシーの策定、スマートフォンの利用規則の制定、ビッグデータ活用の検討…などITに関する業務は拡大する一方だ。こうした状況に置かれているため、企業の重要資産である情報が毎日のように攻撃者によって盗み出されている。「残念なことに大多数の企業はその事実に気づいていません。仮に情報漏えいの事実を認知していても、株主代表訴訟や取引先との関係などを恐れ、事実を伏せているという企業も稀にあります。これが日本の現状です」(萩原氏)。

 それを象徴するのが2015年5月に発生し、およそ125万件に及ぶ個人情報が流出した日本年金機構に対するサイバー攻撃である。この攻撃は日本年金機構だけを狙ったものではなく、少なくとも1000以上の企業や団体を標的にした可能性があったとのちに判明したが、攻撃を受けた事実を把握して監督官庁などに報告した企業はわずか数十社に過ぎなかった。9割以上の企業が報告をしていない。

 ITの活用がさらに加速する中で、情報セキュリティに関わる課題は増えることはあっても減ることはない。ITの今後の動向を踏まえながら、情報セキュリティのトレンドをもとに自社の弱点を探し出し、それを解消することが重要になる。

[画像のクリックで拡大表示]

 例えば、金融の世界で注目を集めているFinTechによって金融とITが融合していくが、同時に高度なセキュリティの確保が必須になる。「FinTech を支えるテクノロジーの1つであるブロックチェーンは、これまでのセキュリティの常識を変えるポテンシャルを秘めています。ブロックチェーンの考えは情報セキュリティの世界では100%の信頼性を担保した唯一の論理です。そうした技術のトレンドにも意識を向けていく必要があります」と萩原氏は話す。

 FinTechだけではない。自動運転を現実化するものとして大きな期待を集めるIoTは、その可能性とは表裏一体の形でセキュリティのリスクの拡大が懸念されている。既に車の自動運転システムや航空管制システムが実験で「乗っ取り」に成功されてしまっている。こうした事態を防ぐには、設計段階からセキュリティ対策を十分に講じておくといった対応が不可欠になる。

 「ほかにも、既に社会的に大きな問題となっているランサムウエア、そしてスマートフォンに対する攻撃などは2017年も増えることが予想されます。サイバー攻撃も一段と巧妙になっていくでしょう。第三者を踏み台にして狙いを定めた企業に侵入することが多いので、零細企業の社員だから、主婦だから、学生だから、サイバー攻撃とは無縁である、ということはあり得ない時代になっています」と萩原氏は警告する。

[画像のクリックで拡大表示]

 それでは、企業はどのような姿勢で情報セキュリティ対策に取り組まなければならないのか。最大のポイントは「人」にある。「人は城、人は石垣、人は堀、情けは味方、あだは敵」という武田信玄の言葉の通り、システムや機器を導入しても、それを使いこなし、運用するのは人である。人が最大の脆弱性になり得るのと同時に最も強固な対策にもなる。そのため、人を成長させることが企業の成長であるという意識を持ち、設備や機器に投資するだけでなく、企業にとって財産である人の教育にも十分な資金を投下し、バランスよく投資していくことが大切だ。

最大のリスクは経営側にある
ヒト、モノ、カネの十分な投入を

 「内部統制が働いている企業は、サイバー攻撃などの外部要因への対応もほぼできているか、あるいは少しのテコ入れで速やかに対応できます。反対に、内部統制に問題があるような企業では、サイバー攻撃などに対する備えにも不備があります。一見、ほとんど関連のない内部要因と外部要因ですが、因果関係は確実にあります」。情報セキュリティコンサルタントとして金融機関をはじめ数多くの企業に接してきた経験に基づいて萩原氏はこう振り返る。

 萩原氏は基本の大切さも指摘する。システム側での対策についても、高価なシステムの導入を目指すよりも、たとえ安価なものであっても自社の脆弱な部分をパッチワークのように埋めていける仕組みを導入したほうがはるかに的確な対応になる。「先入観を持たず、自社について全方位でセキュリティ評価をすることが大切です。そうすることで最も脆弱な部分を発見でき、それを解消することが最もコストパフォーマンスがよい対応になります」(萩原氏)。

 企業が継続的に存続し、成長を遂げていくうえで、その眼前には常にセキュリティ上の脅威が存在し続けることは避けられない。にもかかわらず、セキュリティにかかわる領域にヒト、モノ、カネというリソースを十分に投入することができないようでは経営者の責務を果たしているとはいえない。「その意味で、実のところ、最大のリスクは『経営側』にあると言うこともできます。ぜひ経営の視点で今一度、情報セキュリティをとらえ直していただきたいと思います」。萩原氏はこう言って講演を終えた。

お問い合わせ
  • ■ 本レポート記事に関するお問い合わせは
    日本セキュリティ・マネジメント学会 理事
    萩原 栄幸

    メールでのお問い合わせはこちら

  • ■「情報セキュリティ対策」に関するお問い合わせは
    NTT 東日本

    URL:https://flets.com/security/