日経ビジネスオンラインスペシャル

侵入されることを前提に被害抑制のセキュリティ対策を 社内で高度技術を有する人材育成を急げ

Managing Risks in the Age of Disruption創造的破壊の時代におけるリスク管理

インターネットに流通・蓄積される情報の飛躍的増大に伴い、個人情報がリスクにさらされ、経済的利益を得るためのサイバー攻撃が日々進化している。そうしたなか、企業が持続的に成長するためには、変化していくリスク環境へ適切に対処することが求められている。
ここでは「外部委託先のリスク管理」「サイバーセキュリティ」「個人情報のリスク管理」といったもっともホットな3つのトピックスを取り上げ、第一線のコンサルタントと理解を深めたい。

サイバー攻撃の技術が日進月歩で進化するなか、企業を相手に経済的利益を目的としたサイバー攻撃が主流となっている。狙われるのは人間という「脆弱性」であり、ここを突かれる限り、ある意味で防ぎようがない。したがって、侵入されることは当たり前と考え、その後いかに被害を抑制するかの対策が重要だ。AI技術がさらに進歩すれば、人の手を煩わせず、より厳しい攻防が繰り広げられる世界が来ることも予想される。

嶋守 情報セキュリティの分野がここ10年で大きく変化しました。以前は内部不正による情報漏えいに気をつけろと言われたのが、最近は外部からのサイバー攻撃にシフトしているように思います。

杉山 私はクライアントで発生したセキュリティ侵害事案の対応を支援するサービスを提供しています。実際に侵害が発生した現場に入って解析をすることも多いのですが、その経験からも、ここ7、8年で明らかに特定の組織を狙ったサイバー攻撃が増えていると感じます。

EY Japanが考える変革の時代における成長のキードライバー

森島 サイバー攻撃が増加した要因のひとつに、サイバー攻撃の目的が明確化したことがあります。昔はウェブサイトを改ざんして自分の技術力を誇示するような「愉快犯的な目的」が多かったのですが、これが「経済的利益目的」「政治的主張目的」「諜報目的」といった実利的なものへと変化したのです。また、これによって、サイバー攻撃の実行主体も単独犯から犯罪組織へと変化してきました。

杉山 特に経済的利益目的については、昨年あたりからダイレクトにマネタイズする攻撃手法にシフトしています。たとえば、業務で使用するファイルを暗号化してしまったり、DDoS(分散型サービス拒否攻撃)を仕掛けてサービスを利用しにくくしたりするなどして、業務の可用性を人質にとり身代金を要求する、ランサムウェアやランサムDDoSといった攻撃ですね。最近であれば、スマートフォンアプリ等に不正な機能を気づかれないように仕込んで、不特定多数の利用者の計算機資源を仮想通貨の採掘のために盗用する、といった攻撃も目立つようになっています。

森島 ところで、内部不正からサイバー攻撃にシフトしているように見える、というお話がありましたけど、内部不正とサイバー攻撃は全く別物というわけでもないんですよ。

嶋守 内部不正とサイバー攻撃が別物ではない…というのは、どういうことでしょうか。

森島 サイバー攻撃者が狙うのは脆弱性、つまり弱点です。かつては脆弱性が放置されたサーバーなども珍しくなく、サイバー攻撃者は直接そのようなサーバーを攻撃すればよかったのですが、次第にセキュリティの重要性が認識されるようになり、簡単に突破できないようになってきました。そこで目を付けたのが人間です。振り込め詐欺のような犯罪に見られるように、人間はいとも簡単に騙されてしまうという性質があります。技術的な対策の高度化によって、相対的にこの人間の「脆弱性」が大きくなり、サイバー攻撃者としてはこちらの脆弱性を狙うほうがお手軽に目的を達成できるようになったわけです。
 たとえば、内部にサイバー攻撃の端緒となるような情報を得るために人が侵入することがあります。標的となる会社のビルのエレベーターに一日中乗っていれば、相当な情報が入手できるでしょう。あるいは、契約社員のような形で内部に入り込めば、さらに情報は容易に入手できます。大規模なサイバー攻撃を計画、成功させるために、内部不正のようなことが行われることもあるのです。さらに、このような内部不正は、不正というほどの内容ではない。取引先やその担当者の名前だけでも、それらを騙った標的型メールが開封される可能性は格段に高くなりますから、極めて有用な情報でしょう。
 ただ、注意が必要なのは、実際に侵害されたと認識された件数でいえば、サイバー攻撃のためではない旧来の意味での内部不正のほうがサイバー攻撃よりも圧倒的に多い、ということです。サイバー攻撃のほうが目立って見えるのは、侵害された際の被害や社会的な影響が圧倒的に大きい、ということがあるのでしょう。サイバー攻撃の一部を構成する内部不正も併せて、内部不正にも注意しなければならないというのは変わっていません。

EY Japanが考える変革の時代における成長のキードライバー

侵入されることを前提に、被害をいかに抑えるかの対策が必要不可欠

嶋守 なるほど。政府のサイバーセキュリティ戦略本部が平成27年に公表したサイバーセキュリティ戦略では、『実空間とサイバー空間の融合が高度に深化した社会、すなわち「連接融合情報社会」が到来しつつある』としていますが、これはサイバー攻撃にもあてはまり、特に人間の「脆弱性」を利用することでサイバー攻撃の手口がより巧妙になったということですね。

杉山 人間の「脆弱性」というのは、技術的なものと違ってなかなか有効な手を打つことが難しいですね。たとえば、セキュリティに関する教育研修を実施しても、人の基本動作を大きく改善することはなかなかできません。しかも、サイバー攻撃者は心理学まで駆使して人間を騙しに来ています。騙しに来ていることを隠している人間から騙されないようにするのは相当難しいです。これは、振り込め詐欺が様々なメディアを通じて注意喚起がなされているにも関わらず、今なお年間400億円近い被害が出ているということからもわかると思います。
 サイバー攻撃は、人間の「脆弱性」を狙われる限り、完全に防ぐことが不可能な時代になっています。侵入されることを前提として、被害をいかに抑制するかといった観点での対策が必要不可欠となっています。インシデントの早期発見のためのSOC(セキュリティ・オペレーション・センター)を整備したり、早期終息のためのCSIRT(セキュリティ・インシデント対応チーム)やEDR(エンドポイント・ディテクション・アンド・レスポンス、エンドポイントの疑わしい挙動等を検知し、対策を講じる仕組み)を整備したりすることは、その代表例であり、数年前から取り入れる企業が急速に増加しています。
 一方、防御側のこのような動きを受けて、サイバー攻撃者側も次の対策を講じてきています。まずは、攻撃していることを発見されないこと。どれだけインシデント対応能力を高めても、サイバー攻撃自体を発見できなければ無力ですから。カスタムマルウェアを利用してシグネチャベースのアンチウイルスソフトウェアをすり抜けることは、もはや当然のことです。カスタムマルウェアは極めてお手軽に作成できるようになってきており、96%のマルウェアが一度限りの使い捨てであるという分析もあります。さらに、C2サーバーへの通信を極力減らす、不審な挙動をしない、連続して活動しない、不審なファイルを残さない、などの工夫をしたマルウェアも数多くみられるようになってきています。
 現状では、防御側はスレット・ハンティングのような機能を整備して、さらに検知能力を高めようとしています。これは、高度な技術を持つ担当者が、自組織内のネットワークにおいて不審なプロセスや痕跡に関する情報を収集し、分析することで、ペリメータを越えて侵入してしまったマルウェアを探し出そうとする活動です。このような取り組みを継続して実施しようとすると、組織内で高度な技術を有したセキュリティ人材を確保し、内製化することが重要になってきます。多くの企業でMSS(マネージド・セキュリティ・サービス)のような外部リソースを活用した取り組みを実施していますが、最近ではそれに加えて社内に高度なセキュリティ人材を集約した組織を立ち上げる企業が増加しているように感じます。

嶋守 なるほど。現状では防御側は完全に守ることはできないので、防御線が突破されたことを前提にしてリスク対策を考えておくこと、そのためのシステム対策、人材確保、組織づくりが重要なことがよく理解できました。

セキュリティ対策は投資かコストか

嶋守 それでは日本企業においても、サイバーセキュリティ対策が高度化し始めたといえそうですか。

EY Japanが考える変革の時代における成長のキードライバー

森島 二極化している印象ですね。一部の企業では相当に高度化していますが、多くの組織では依然として十分な対策がとられていません。
 企業の経営者が集まるセミナーで講師を務めた際に、「セキュリティ対策は投資かコストか」という質問をしたことがあります。結果は、9割以上の来場者が「コストだと認識している」というものでした。様々なところで「セキュリティは投資だと認識して適切な対策をしよう」といった話がされているにも関わらず、多くの経営者はまったくそのように認識していないのです。
 しかし、これは当然のことです。投資とは定常的な利益、すなわち営業利益や経常利益を確保するために資本を投資することです。しかし、セキュリティ対策はそうではありません。「いつ起きるかわからない」サイバー攻撃の被害は、特別損失になりますが、これに対して販管費に計上される対策を講じ続けることはコスト以外の何物でもありません。
 したがって、業務部門がセキュリティ対策に対して適切に支出する仕組みを作らなければ、セキュリティ対策が後回しになっていくのは当然のことです。そして、その仕組みの有無が二極化している主な要因のひとつとなっているのです。

嶋守 どのようにすれば業務部門がセキュリティ対策に対して適切に支出できるようになりますか。

森島 セキュリティ対策のための支出はコストですから、セキュリティを高度化しようとするあまり過剰支出となって、本業を圧迫するのでは本末転倒なわけです。ですから、過少であっても、過剰であってもなりません。「適切な」というところがポイントで、したがって単純な指標で部門を評価するようなやり方はうまく機能しません。
 では、これをどのようにしていくか。一つの方法としては、セキュリティ部門を設置して、業務部門の状況をモニタリングすることです。「3つの防衛線モデル」と呼ばれるガバナンスモデルですが、実は特に新しい考え方ではありません。コンプライアンスを確保するためにコンプライアンス部門を設置したり、製品やサービスの品質を確保するために品質管理部門を設置したりしている企業も多いかと思いますが、それと全く同じ構造です。セキュリティ部門は基本的な考え方を業務部門に示し、それに基づいてセキュリティ対策を実施しているかモニタリングします。

組織内で高度な技術を有する人材の育成が大切

EY Japanが考える変革の時代における成長のキードライバー

嶋守 そのような仕組みを構築することで、セキュリティ対策の高度化を推進していくわけですね。ただ、そのような高度な対策をインハウスで実施する場合、必要な人材は確保できているのでしょうか。

杉山 セキュリティ人材の不足は今でも続いていて、毎年のように人材不足を指摘する報告書が公表されています。たとえば、独立行政法人情報処理推進機構(IPA)が公表した「情報セキュリティ10大脅威2018」でも「脅威」として人材不足が5位にランクインしています。その状況はさらに深刻になっていくでしょう。今までは基本的なセキュリティ知識を有する人材を担当者として置き、高度に専門的な部分については外部の専門家を利用する、という状況を想定していましたが、このような専門的な部分まで内製化が進んでいるためです。
 こうした状況を解消することは容易ではありませんが、たとえば組織内の人材をシフトすることが考えられます。すなわち、専門家による研修や訓練等を活用して、現在のセキュリティ担当者を高度な技術を有する人材へと育てるのです。それによって人材が空白となる基本的なセキュリティ業務については、EYでいうSecurity-as-a-Serviceのようなサービスの活用によりアウトソースすることで、全体のバランスを取ることができます。
 一方、経済産業省が「サイバーセキュリティ経営ガイドライン」を公表しているように、経営層にもセキュリティに対する認識を広めていく必要があります。すなわち、経営層でもセキュリティ人材が不足しているということです。先ほどのようなガバナンスの仕組みだけでなく、結局は対策を講じる必要があるのか、講じる場合はどのような対策なのかといった経営判断を下すためには、具体的なリスクについても深い理解が必要になります。
 このような点については、当面、私たちのようなコンサルタントを経営者と内部のセキュリティ専門家の「橋渡し」として活用いただき、お互いの理解を深めていくことが必要ではないでしょうか。

AIの進歩により、人を介さない攻防が繰り広げられる世界が来る

EY Japanが考える変革の時代における成長のキードライバー

嶋守 サイバーセキュリティを取り巻く状況は、今後はどのようになっていくとお考えでしょうか。

杉山 IT環境は再び大きな変革点に差し掛かっています。その大きな要因のひとつは、ディープラーニング(深層学習)に端を発した人工知能(AI)関連技術の飛躍的な進歩でしょう。この基盤技術は、サイバーセキュリティにも大きな影響を与え始めています。例えば、C2サーバーへのコールバックとそれに続く遠隔操作によって目的を達成していたサイバー攻撃は、目的を達成するまで自律的に内部で作戦を遂行するマルウェアによるものへと徐々に移行していきます。
 一方、防御側もスレット・ハンティングなどの脅威を能動的に探索する機能やインシデント対応機能、さらにはハードニング(サーバー等の堅牢化)まで含めて自律的に実施する仕組みが提供されるようになるでしょう。
 つまり、攻撃側も防御側も、AIによる自律性が重要なキーワードになり、人の介さない攻防が繰り広げられる世界が来る、と考えています。

森島 今のお話は、攻撃側も防御側も新興技術を使い始めている、という話でしたが、新興技術についてはもうひとつ、忘れてはならない視点があります。それは、新興技術自体が攻撃の対象になる可能性がある、ということです。
 例えばAIが売上予測などの基幹業務に入ってくると、そのAI自体が当然攻撃対象になります。また、バックオフィスを中心としてRPA(ロボティックス・プロセス・オートメーション)による自動化が急速に進み始めていますが、これらも攻撃の対象になっていくでしょう。
 我々はAIやRPAといった新興技術について、攻撃側の視点、防御側の視点だけでなく、それが侵害された場合にどのような影響が生じうるか、といった点でも見ていく必要があります。セキュリティの専門家は、今まで以上に非常に広い範囲をカバーしていく必要が出てきます。
 一方、ガバナンスの観点からは、セキュリティ対策の支出が真に投資として認識される時代が来ると思います。現在、インシデントは発生するか否かという問題ではなく、いつ発生するかという問題になっています。今後は、どれだけの頻度で発生するかという問題へと変わっていくでしょう。そうすると、事業を営む上で経常的に発生する回避できないコストとして認識されるようになります。
 たとえば小売業において経常的に発生する万引きや破損等によるロスは、原価性があるものとして扱われます。このようなロスをなくすために防犯カメラや商品管理システムを導入することは、投資として認識される方が多いと思います。同様に、セキュリティ・インシデントが小さいながらも経常的に発生するようになると、業務部門において積極的にセキュリティ「投資」がなされるようになり、ガバナンス構造が大きく変化するのではないでしょうか。

嶋守 今までは攻撃側も防御側も、そして守るべきものもある程度の類型化が可能であったものが、将来はAIやRPAといった新興技術の登場によって、そのすべてが爆発的に多様化する可能性がある、人間はそういった世界に向けて対処していかなければならないということですね。どうもありがとうございました。

  • 杉山一郎

    新日本有限責任監査法人
    FIDS(不正対策・係争サポート)事業部
    フォレンジックテクノロジー リーダー
    エグゼクティブディレクター

    国内大手のセキュリティ会社を経て、新日本有限責任監査法人に入所。FIDS(不正対策・係争サポート)のフォレンジックテクノロジーチームの日本リーダーとしてサイバーインシデントへの対応業務やデジタルフォレンジック業務(eDiscovery等)に従事。また、法執行機関向けのフォレンジック研修の講師も務めている。

  • 森島直人

    EYアドバイザリー・アンド・コンサルティング株式会社
    サイバーセキュリティ
    シニアマネージャー

    大学院大学においてネットワークの研究及び学生の指導に従事した後、会計士に転身、監査法人において会計監査、内部統制監査等に従事。セキュリティコンサルタントとなってからは、これまでに培った情報技術及びガバナンスや内部統制の経験と知識を生かし、情報セキュリティコンサルティング業務を管理的側面から技術的な側面までワンストップで提供し続けている。

  • 嶋守 浩之(Hiroyuki Shimamori)

    EYアドバイザリー・アンド・コンサルティング株式会社
    リスク・トランスフォーメーション リーダー
    パートナー

    大手電機メーカーで国際的な人事業務を経験後、会計士に転身、監査法人で会計監査業務に従事。1990年代より20年以上にわたり、リスクマネジメントと内部統制を専門とする。官公庁及び日本を代表する多くの企業で、様々な規制リスク及びITリスク、特にシステム導入プロジェクトのリスク管理に携わっている。

Future Work Now

Managing Global Competitive Position

Maximizing Supply Chain Value

Managing Risks in the Age of Disruption

PAGE TOP