日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

マネジメント層が考えるべき情報漏えい対策

お客様の情報を守る! サイバー攻撃に対する新たな挑戦 富士通株式会社 エバンジェリスト 太田 大州氏

サイバー攻撃への新たな挑戦
お客様の成長をいかに守るか

 「ICTで社会に貢献する企業として、新しい技術や新しい取り組みでインターネットの世界をより安全にしていこうと努めています」

 富士通のエバンジェリスト・太田大州氏は、サイバー攻撃からユーザーの情報を守る決意をそう語る。人、モノ、情報、プロセスがネットワークにつながる「ハイパーコネクテッド・ワールド」に向けて、富士通はさまざまなテクノロジーとサービスのポートフォリオを用意している。その一つが、サイバー攻撃への対抗を可能にする「セキュリティ」だ。

「システムや経営がいつも正常に動く」わけではない

富士通株式会社 エバンジェリスト 太田 大州氏
富士通株式会社
グローバルマーケティング部門
総合商品戦略本部
エバンジェリスト
太田 大州氏

 ある調査によれば、企業の情報システム部門の優先課題は「セキュリティ」「制度・法令」「事業継続」の3点。太田氏は「お客様のシステムを正常に運行させることが我々ICTベンダーの果たすべき役割」と述べ、セキュリティ事故を起こさないようにすることに力を注いできたと振り返る。

 しかし、時代は急速に不透明になりつつある。2000年以降多発したテロ事件や自然災害を教訓に事業継続という考え方が広まり、個人情報保護法(2005年完全施行)を契機に民間企業でもセキュリティ対策に取り組んでいるものの、事件・事故はいっこうになくならない。

 サイバー攻撃が新聞やテレビで毎日のように報じられる今、「『システムや経営がいつも正常に動く』という従来の完全性の考え方は通用しない」と太田氏。それに替わる危機管理の新しい考え方として、経済産業省や情報処理推進機構(IPA)が提唱する「事故前提社会」を経営層が理解し、取り組むことが重要だと指摘する。

「企業の成長」と「コンプライアンス」

 そうした“不断の危機”の具体例として太田氏が挙げたのは、標的型攻撃による情報漏えいである。ある調査によれば、世界のセキュリティ事故の件数は年率66%で増加しており、攻撃主体も、興味本位の“アマチュア”から、ハクティビスト(社会的・政治的ハッカー)、経済的利益をねらうプロハッカー、諜報活動やテロ的行動まで拡がっている。

 その結果、サイバー攻撃への備えは企業にとっての重要な経営課題となっている。「個人情報だけでなく、企業の知的財産や営業秘密もすでに抜かれていると覚悟しなければいけない」と太田氏。データファイル改ざんやプログラム破壊によってシステムが停止に追い込まれたり、インターネット以外の経路から製造装置にマルウェアが送り込まれたり、といった被害もすでに発生しているという。

 また、ハイパーコネクテッド・ワールドを実現するための鍵となるモノのインターネット(IoT)についても、サイバー攻撃への対処が求められている。

 せっかく作り上げた新たな製品やサービスの脆弱性をハッカーに暴露され、市場の信頼を勝ち取れず、市場から撤退せざるを得ない状況も起っている。

 そうした情報漏えい・業務停止・製品品質低下の影響がサプライチェーン全体に及ぶようになると、ステークホルダーからも経営責任を問う声が上がってくることだろう。

 「セキュリティは今、「企業の成長」と「コンプライアンス」のどちらについても重要な要素になっている」と太田氏は指摘する。

セキュリティは、コンプライアンス確保のためだけでなく、企業の成長も牽引する
セキュリティは、コンプライアンス確保のためだけでなく、企業の成長も牽引する
[画像のクリックで拡大表示]

 企業の成長を可能にするのが、「Security by Design」。セキュリティを設計・開発の段階から組み込んでおくことによってクラウド、ビッグデータ、IoTを使った製品の安心・安全度を高め、企業を成長させるドライバーにするという考え方だ。

 一方、すでに稼動しているシステムについては「Optimality by Design」の考え方でコンプライアンスを確保する。

 こうした考え方に基づいて、サイバー攻撃への耐性を高めていくことになる。

運用を中心とする継続的取り組みと強力な運用ツール

 では、すでに稼働しているシステムにはどのような対策が必要になるのか。

 太田氏が示したのは、富士通が提唱するコンセプト「FUJITSU Security Initiative」と、それを効果的に回していくための動的防御プロセス(監視→情勢判断→意思決定→行動→監視)だ。

運用を中心とした継続的な取り組みでICTの安心・安全を実現する富士通のコンセプト
運用を中心とした継続的な取り組みでICTの安心・安全を実現する富士通のコンセプト
[画像のクリックで拡大表示]

 FUJITSU Security Initiativeとは「お客様・社会のイノベーションを支えるために、お客様起点でICTの安心・安全を実現する、運用を中心にした継続的な取り組み」のこと。太田氏は「運用がすべて」と強調した上で、サイバー攻撃に対抗するには企業側も攻撃者と同等レベルの道具を持つ必要があると説く。

 そのための具体的な道具として、富士通は未知の攻撃を検知するための攻撃者行動遷移モデルの活用 とチョークポイント監視の2つの技術を提供中。セキュリティ対策ソフト「Systemwalker Security Control」には攻撃の全貌をつかむための二次感染特定技術と攻撃検知から対処までを自動実行する機能も装備する。

 さらに、セキュリティに強い人材を育て上げるために、富士通社内で「セキュリティマイスター認定制度」を運用中だ。顧客向けには、FUJITSU人材育成・研修サービス内にセキュリティ対策関連コースを用意している。

 セッションを締めくくるにあたって、太田氏は「リアル空間とサイバー空間をつなぐのが認証の仕組み。しっかりとした生体情報を活用した多要素認証を行えば攻撃を受けにくくなる」と指摘。「ID+パスワード」方式からはなるべく早く卒業してほしいと促した。

リアル空間とサイバー空間をつなぐのは認証。多要素認証への切り替えが求められる
リアル空間とサイバー空間をつなぐのは認証。多要素認証への切り替えが求められる
[画像のクリックで拡大表示]




お問い合わせ
  • 富士通株式会社

    「FUJITSU Security Initiative」に関する情報は下記URLをご覧ください。
    http://jp.fujitsu.com/solutions/safety/security-initiative/

    ※セキュリティイニシアティブセンターに関するお問い合わせは当社担当営業までお願いいたします。