日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

経営課題解決シンポジウム 情報漏えい対策編 Review|基調講演・特別講演

基調講演 ラック/サイバー・グリッド・ジャパン 企業が“社会IT”や“BYOD”とうまく付き合うために
「事故前提のしなやかでしたたかな対応」を考えるべき

株式会社ラック
取締役最高技術責任者
兼 サイバー・グリッド・ジャパン GM
西本 逸郎 氏

 「ITの進化とともに外部のサービスを勝手に社内業務で使う『シャドウIT』の増加が、セキュリティ上の新たな問題を引き起こしています。自分のスマートフォンやタブレットを持ち込んで仕事に使う『BYOD』も同様です」

 ラックの西本逸郎氏はこう語り、格段の進歩を遂げた“社会IT”を社員が個人として使うようになった今、各企業は「セキュリティ事故前提の『しなやかでしたたか』な対応」を考えなければならないと強調する。

 そのセキュリティ方針を決める際に考慮しなければならないのが、社会ITとの間合いの取り方を決める「社会ITを活用して従業員にどう働いてもらうか」「社会ITを業務システムとしてどう活用するか」「社内システムを社会ITにどう接続していくか」の三つのポイント。外部への流出から守るべき対象は、システムの最重要要素であるデータだ。

 しかし、現在の日本ではセキュリティに対する企業の意識はあまり高くない。「企業がセキュリティ事故を起こした場合、一般的な先進国では公表内容に嘘偽りがあると非難されるのですが、わが国ではやるべきことを全部やっていても叩かれてしまいます」と西本氏は語る。最近の大型情報流出案件を例にしつつ、サイバー攻撃に遭ったことを公開すると企業の評価が下がってしまうような風土では「セキュリティを経営課題としない」「セキュリティに関するシステムの不備は経営層に伝えるべきではない」「企業の役に立たないセキュリティ対策はとらない」といった考えが、はびこってしまうと指摘する。

 では、データが企業経営に不可欠の資源となった今、企業にはどのようなセキュリティ対策が求められているのか――。西本氏は、これまでの侵入検知やデータ暗号化に加えて、外部からのスパイ行為と内部の不正行為の両方に効く「特権IDの管理・監視」を実施するようにと勧める。また、リスペクトされていないと感じる技術者によるデータ持ち出しを防ぐには、内部不正を暴く仕組みを整備したうえで、「犯行は必ずばれる」「重要データは営業秘密に指定してあるので流出させると不正競争防止法で裁かれる」ことを事前告知しておくことも重要だという。

 このほか、プラグアンドプレイ対応の周辺機器をどう制御するかという課題もある。西本氏は「現実には企業側ですべてをチェックすることはできません」と語り、管理ツールで対処できるようになるまでは脆弱性前提の対策が欠かせないとの見方を示す。

 セキュリティ対策の立案・実施にあたっては、原点に立ち返ることが重要だ。インシデントが発生する前の入口対策では「抑止・回避」「予防」「防御」の三点に力を注ぐとともに、利便性・合理性・費用対効果を追求するあまりに代替策を失ってしまう「単一障害点の罠」に陥らないようにすること。組織や体制については、担当者不在を招く「丸投げ」を防ぎ、緊急時の対応を容易にする多能化を進めることがポイントとなる。

 さらに、インシデントの発生に備えて、緊急対応(ER)→復旧→回復→日常の四つのフェーズごとに作業内容を計画しておくことも欠かせない。「いずれにしても、脅威やインシデントを見つけられなくては話になりません」と西本氏はいう。なんらかの形でCSIRT(セキュリティインシデント対策チーム)とSOC(セキュリティオペレーションセンター)を用意し、特権IDを持つ人を監視し、技術者をリスペクトすることがセキュリティ対策の鍵になると強調する。

特別講演 IDC Japan 十分なセキュリティ対策とリスク管理体制を整備して
モバイルやクラウドを企業の競争力向上に役立てる

IDC Japan株式会社
ソフトウェア&セキュリティグループ
リサーチマネージャー
登坂 恒夫 氏

 第三のプラットフォームの時代が到来したことによって情報資産を取り巻く環境が変化し、情報セキュリティのあり方も変わってきた――。IDC Japanの登坂恒夫氏は同社が実施した調査の結果を紹介しつつ、今求められている情報漏えい対策について語る。

 第三のプラットフォームとは、メインフレーム+ダム端末の第一、クライアントサーバーシステムとLAN/インターネットの第二に続く新たなIT基盤という意味合いだ。具体的には、スマートフォンやタブレットなどのモバイルデバイス、サーバー仮想化とクラウドコンピューティング、ビッグデータとデータ分析、企業SNSの四つの要素を含む概念だ。

 この新しいプラットフォームの持つ「リアルタイム性」「事業継続性」「コスト低減」「グローバル化」などの特性は、企業の競争力を高めるのに役立つ。しかし、その一方で、標的型攻撃(APT)などのサイバー攻撃に遭いやすくなるのも確かだ。登坂氏は「多くの企業は、まだ第三のプラットフォームをリスク要因に位置付けているようです」と現状を語る。

 最大の課題は、従来のセキュリティ対策ではサイバー攻撃にうまく対応できないこと。対象がPOSレジや製造ラインなどの広範なデバイスに拡大しているだけでなく、じわじわと長期間にわたって続くことによって脅威が潜在化するためだ。「その結果、セキュリティインシデントの発生件数が莫大になり、潜んでいたものが表面化したときにはすでに重大事象になっていることが珍しくありません」と登坂氏は語る。情報漏えいについても増大化と重大化の傾向が高まっていると指摘する。

 IDC Japanが2014年に実施した企業調査では、特権ユーザーによる不正行為への懸念が高まっているにもかかわらず、内部脅威対策の導入は進んでいないという。その背景にはセキュリティ対策についても投資対効果を重視する企業マインドがあると同社は分析している。

 このような現状認識と調査結果を基に、第三のプラットフォーム時代に求められる情報漏えい対策として登坂氏は以下を示す。まず「モバイルデバイスでの情報漏えい対策」では、業務データを分別して保護するとともに、電子メールやSNS経由のマルウェア侵入/情報漏えいと無線LANでの盗聴を防ぎ、紛失・盗難に遭っても内部のデータが流出してしまわないようにすることが重要だ。

 次に「クラウドにおける情報漏えい対策」では、データの暗号化とユーザー認証の強化が鍵となる。「クラウドなら、データを分散配置して見つけにくくする秘密分散法を容易に実現できます」と登坂氏は語る。特権ユーザーによる不正コピーなどを防ぐデータ損失防止(DLP)ツールの利用や機密データがどこにあるかを確かめるデータ棚卸も効果的だという。

 さらに、「サイバー攻撃に対する情報漏えい対策」としては、多層防御対応の次世代型ファイアウォールで守りを固めたうえで、それでも入り込まれてしまった場合に備えてイベント収集・分析・監視・管理の役を果たすセキュリティ情報イベント管理(SIEM)ツールを用意しておくことが重要という。「セキュリティインシデント発生後の迅速な対処」を可能にする社内体制を整備し、対外発表やサービス停止を決断する経営層とセキュリティ担当者間の情報共有を密にしておくことも望まれる。

 十分なセキュリティ対策とリスク管理のもとで使えば、第三のプラットフォームは企業の競争力向上に大きな役割を果たす――。登坂氏はこう強調する。