情報セキュリティマネジメントSummit
2019 Winter Review

開催日:2019年12月4日 会場:ホテル雅叙園東京

ますます激化するサイバー脅威を極小化してビジネスを継続するすべはあるか
先進企業のセキュリティマネジメントに学ぶ

昨年大きな話題となった「スマホ決済サービス不正利用」。標的型攻撃やランサムウエア、ビジネスメール詐欺(BEC)といった既存のサイバー犯罪は依然として脅威となっている。加えて世界的に高まる「サプライチェーン攻撃」のリスクなど、サイバーセキュリティマネジメントの必要性は高まるばかりだ。東京五輪を前に、政府もサイバーセキュリティマネジメントの底上げ施策を打ち出し、企業のセキュリティ対策を後押ししている。情報セキュリティマネジメントSummit 2019 Winterでは、多くの企業が課題を抱えるサイバーセキュリティマネジメントの最適解が紹介された。

基調講演

展望、2020年のサイバーセキュリティ

サイント 代表取締役 省庁関連情報セキュリティ対策専門官 日本サイバー犯罪対策センター 情報流出対策WG 主査 情報セキュリティ大学院大学 客員研究員 岩井 博樹 氏

サイント

代表取締役
省庁関連情報セキュリティ対策専門官
日本サイバー犯罪対策センター
情報流出対策WG 主査
情報セキュリティ大学院大学 客員研究員

岩井 博樹

 特定のサイバー攻撃の標的の多くは、政府の投資先となっている産業ロボットやドローン、デュアルユース技術、新エネルギー車関連技術などが目立ってきている。標的となる企業に直接攻撃を仕掛けるのではなく、取引先やサービスプロバイダー、業務委託企業、グループ企業などに侵入し、踏み台にすることで標的企業に攻撃を行うサプライチェーンを通じた攻撃も増加しており、各国で被害が報告されている。

 また、一部の国家ではサイバー攻撃の一環として、フェイクニュースやSNSへの書き込みによる世論操作を行っている。さらに、ルーターやスイッチなどのネットワークインフラを標的とした攻撃により盗聴や悪性サイトへの転送などが行われており、これらの機器へのバックドア付きのファームウエアへのアップデートなどに注意が必要だ。日本ではあまり話題にはならないが、スマートフォンへのサイバー攻撃なども活発だ。脅威アクターは、情報セキュリティリテラシーの低いところから侵入し、標的の事業部へと接近する。横展開に利用されるプロトコルはSMBやRDPが多いため、社内ネットワークの監視や制御が有効性の高い対策であると考えられる。

 2020年は、オリンピックだけでなく、諸外国の選挙などの政治イベントが多く、中国は第13次5カ年計画の最終年度となっており、サイバー攻撃が増加することが予想される。攻撃の発生動向を継続的に把握し、最適なセキュリティ対策の組み合わせを考え、セキュリティ対策の目的を明確にして、経営層が事業との関連性を理解するなど、技術面だけでなく自組織の将来を見据えた脅威分析とセキュリティ戦略が必要となってくる。

特別講演

産業分野におけるサイバーセキュリティ政策

経済産業省 商務情報政策局 サイバーセキュリティ課長 奥家 敏和 氏

経済産業省

商務情報政策局
サイバーセキュリティ課長

奥家 敏和

 近年のサイバー攻撃は、正規のアップデート機能を悪用した攻撃など攻撃起点が水平方向に拡散すると同時に、重要インフラ事業者の制御系まで攻撃されるなど攻撃の深度が垂直方向に深化している。経済産業省の奥家氏は、「いかに早く発見し、被害に遭ったら、いかに被害を最小化し早期に復旧するかが重要です」と語る。

 現在のサイバーセキュリティ政策は、産業政策と連動した政策展開、国際連携、サイバーセキュリティビジネスの創出支援、基盤整備を4本柱に推進。産業サイバーセキュリティ研究会を発足させ、サプライチェーン対策や経営強化などに取り組む。たとえば、Society 5.0が進展する中、新たなリスクに対応するため、「サイバー・フィジカル・セキュリティ対策フレームワーク(CPSF)」を制作した。

 経営に関しては、「サイバーセキュリティ経営ガイドライン」を策定。そのプラクティス集や可視化ツールの整備も進めている。中小企業向けには、セキュリティ対策自己宣言「SECURITY ACTION運動」や、民間による中小企業支援ビジネスの具体化につなげるための実証事業「サイバーセキュリティお助け隊」を開始した。

 人材育成に関しては、「セキュリティ人材活用モデル」の構築、制御系向けの集中トレーニング、戦略マネジメント層向けセミナー、セキュリティ人材発掘のための「セキュリティキャンプ」などを実施。OT向けに高専におけるサイバーセキュリティ教育の充実も図る。

 これらの政策の有効性を高めるため、官民対話の場として「コラボレーション・プラットフォーム」の設置や、日本発のセキュリティビジネスの成長を促進する「Proven in Japan」も構築。最後に奥家氏は、「皆さんと一緒に、日本のサイバーセキュリティを底上げし、産業界の信頼性を高めたい」と締めくくった。

特別講演

8200万人のユーザーに安心と安全を、
LINEのセキュリティマネジメント

LINE 執行役員 CPO・CISO・DPO 中山 剛志 氏

LINE

執行役員 CPO・CISO・DPO

中山 剛志

 LINEは、身近な人とのコミュニケーションツールとして使われるため、プライベートなやり取りが多々ある。それ故、一段上のセキュリティが求められる───。

 本セッションの中で、講演に立ったLINEの中山氏はそう語るとともに「24時間365日、ユーザーの生活のすべてをLINEがサポートするライフインフラの構築を意味する『Life on Line』の実現と、世界をリードするAIテックカンパニーを目指す」というビジョンについて言及。そして、そのためにはベースとなるコミュニケーションプラットフォームが安心して使えるものでなければならないと話し、セキュリティの向上は、現在はもちろん、今後のビジネス展開においても、重要な経営課題のひとつだと説明した。

 そんな同社のセキュリティマネジメントのミッションは「グローバルセキュリティ基準に準拠して、ユーザーに安全安心な環境を提供し、サービスの成功をリードする」(中山氏)こと。具体的には「セキュリティの水準を定める際、日本法をベースにしながら、世界の法令とどこまで向き合うべきかを考慮」したり、「サービスのリリースに関わるすべてのフェーズで専門家が関与」する体制の整備などに取り組んでいる。

 なお、セキュリティマネジメントを担うチームは、元ハッカーや弁護士、セキュリティアナリスト、官公庁出身など、多様なメンバーで構成されているとのこと。彼らが企画者やエンジニア、データアナリストなどと近いところ───つまり事業の現場と密着して活動することで、強固なデータガバナンスと事業展開のスピードアップを両立させているのだという。

特別講演

自社IoT製品を守れ、パナソニックの製品セキュリティの取り組みと今後

パナソニック 製品セキュリティセンター 製品セキュリティグローバル戦略部 戦略課 課長 中野 学 氏

パナソニック

製品セキュリティセンター
製品セキュリティグローバル戦略部
戦略課 課長

中野 学

 IoTが家電などに組み込まれ、外部接続が可能となり、ネットワークを使った新たなサービスが展開されるようになると、家電などの製品に対してもセキュリティ対策を行っていかなければならない。パナソニックでは、自社製品の脆弱性対策として、出荷前の「リスクの最小化」と出荷後の「インシデント対応」という2本の柱で取り組んできた。検証段階で攻撃者と同じ手法やツールを使って製品を攻撃し、自社で脆弱性診断も行っている。また、社内外との窓口としてPanasonic PSIRT(Product Security Incident Response Team)を設立し、情報報告や脆弱性情報の共有なども積極的に行っている。

 また、2019年10月には、Panasonic IoT Threat Intelligence Projectを立ち上げ、IoT家電のセキュリティ強化に向けたプラットフォームを構築。IoTマルウエアが急増し、進化している中で、自社製品のセキュリティは自社でも守る必要がある一方、セキュリティに大きなコストをかけてしまえば安価で高品質な製品を提供することが困難になる。これらの課題を解決するために、IoTマルウエアなどの脅威情報を収集、解析、活用するプラットフォームを着想したのだという。

 Panasonic IoT Threat Intelligenceプラットフォームでは、家電を標的にしたマルウエアの収集と特徴の分析を行うことで、IoTのセキュリティ強化し、自社の製品をより安全なものとする試みが行われている。2017年11月から2019年9月までに2億回以上の攻撃から2万以上のマルウエアと5000近くのIoTマルウエアが収集され、製品開発やセキュリティ強化に役立てられている。

情報セキュリティマネジメントSummit
2019 Winter Review

- INDEX -

このページのトップに戻る