ニューノーマル時代の企業経営を考える 打つべき、サイバー攻撃への“次の一手”は

国を守ることと企業を守ることは同じ ダメージコントロールが重要になる

国を守ることと企業を守ることは同じ ダメージコントロールが重要になる

国防とサイバーセキュリティ。まったく別ものに思えるかもしれないが、片や他国の攻撃から国土、国民やその生命・財産を守り、片やサイバー攻撃からビジネスの遂行やその資産を守る。どちらも大切な資産を守るという点などで共通点は多い。コロナ禍を踏まえたサイバーセキュリティの現状、そして今後打つべき対策はどのように変化しているのか。長年、国家レベルのセキュリティに取り組んできた伊東 寛氏に話を聞いた
(聞き手:日経BP総合研究所 上席研究員 菊池 隆裕)。

お濠や石垣で“お城”を守ることの意義が薄まる

―伊東さんは、元々自衛隊のサイバー戦部隊にいらっしゃったのですね。

伊東27年間、自衛隊に勤務しましたが、最後の仕事がサイバー戦部隊の初代隊長でした。そこでの任務を通じて、サイバーセキュリティこそが私のライフワークであり、日本の、そして世界平和のためにこれが必要だと確信するようになったのです。その後、民間のセキュリティ企業に移り、サイバーセキュリティの研究、普及、啓発に務めてきました。

その経験を基に現在の日本企業の対策状況を見ていると、多くの課題があると感じます。例えば、“お城”をイメージしてください。周囲に深いお濠や高い石垣があり、それぞれの門には門番がいて、人やモノの出入を厳しくチェックしている。これが、今多くの日本企業が行っているサイバーセキュリティ、いわゆる「境界防御」です。ところが、コロナ禍でテレワークが普及したことで、状況は大きく変わっています。自宅やカフェなど、“お城”の外で仕事する人が増えたことで、お濠や石垣で守ることの意義が相対的に薄まりました。代わりに個々人の端末、つまりエンドポイントを守る必要性が高まっているのです。

国立研究開発法人 情報通信研究機構 主席研究員 伊東 寛氏

―環境が変化しているのに、守りの側は変わっていないということですね。

伊東その通りです。その意味で今は「攻撃者優位の時代」といえるでしょう。ただ、このような攻撃と防御の有利・不利は、常に入れ替わりながら進化するもの。このことは軍事の歴史を見ても明らかです。

例えば昔、塹壕を掘り機関銃で守りを固めた陣地、これは当初、突破困難とみなされていました。これに対し防備の間隙の弱点を見付けて内側に入りこむ戦術を編み出したドイツ軍。あるいは、戦車などの新兵器を開発し力で押し入ったのはイギリス軍でした。すると今度は守る側も防衛線を二段、三段にしてより強固な体制を確立します。このように、有利・不利が目まぐるしく入れ替わりながら歴史を重ねてきたのが軍事です。サイバーセキュリティも似た要素があります。だからいたずらにサイバーセキュリティは攻撃側有利だと諦めず、防御側もやるべきこと、やれることをしっかりするべきなのです。

ハードウエア、ソフトウエア両面の対策が不可欠

―それでは、今重要性を増すエンドポイント対策については、どのようなことを押さえるべきなのでしょうか。

伊東柔らかく耐える力とともに回復力、復元力をあらわす「レジリエンス」が、今後のサイバーセキュリティを考える際のキーワードになると思います。

これも軍事の歴史になぞらえてお話しします。例えば、日本軍の戦闘機である零戦は、攻撃力に優れていましたが、防御性能は高くありませんでした。それに対し、米軍のムスタングはパイロットを保護する堅牢な防弾版や特殊な燃料タンクを備えており、被弾しても飛び続けられるように設計されていました。これは、レジリエンスへの意識の差を表わす1つの例といえるでしょう。

また、日本海軍が壊滅的な被害を受けたミッドウェー海戦も、空母の設計思想の違いがその結果に影響したといわれています。例えば、日本の空母は艦の内側に給油パイプが通っていましたが、米国の空母は外側に配備されていました。そのため、仮に被弾しても、火災が空母の内側まで及ぶことがなく、ダメージを低減できたそうです。さらに、艦内の消防部隊も、調理や修理を担当している人員を臨時に編成してまかなっていた日本に対し、米国は専門の人員を常駐させていました。このような差が、明暗を分けたといわれています。

国立研究開発法人 情報通信研究機構 主席研究員 伊東 寛氏

―攻撃を受けることを前提に、「ダメージをどうコントロールするか」を考える。同時に、早期復旧に向けた体制も整えておくということですね。

伊東その通りです。これが、そのまま現在のサイバーセキュリティにおけるエンドポイント対策の要点といえます。例えば、空母はハードウエアのたとえです。パソコンを選ぶときは、セキュリティを含めた設計思想の違いに目を向ける必要があるでしょう。消防部隊の話はソフトウエアです。防ぎ切れない攻撃があることを前提として、被害を最小限に抑える仕組みを考えておくことが肝心だと思います。

一般に、セキュリティ対策はどうしてもソリューションの導入ばかりに目が向きがちです。しかし、より広い視点で考えなければ、真の意味のサイバーレジリエンスは実現できないのです。

建物の塀や天井と、セキュリティ対策は同じ

―ただ、サイバー攻撃のリスクは理解しながらも、大きな予算を投じることに二の足を踏んでいる企業は少なくありません。組織やビジネスを守り、持続的成長を実現するために、経営者はどんなマインドセットを持つべきでしょうか。

伊東セキュリティ対策はコストではなく、「投資」だと考えることが不可欠です。と言ってもなかなか伝わらないので、私はいつも次のように説明しています。

例えば、商品を増産するために新工場を建設するとしましょう。そのための費用は、コストではなく「投資」だと、ほとんどの経営者が言うでしょう。では、その工場の塀、あるいは屋根を作るための費用はどうでしょうか。それではさらに、サイバー攻撃の侵入を防ぐ仕組みの導入・構築費用はどうでしょうか。

もし塀や屋根がなければ、泥棒が入ってきたり雨が降ったりしたら操業できません。それと同じで、セキュリティ対策がなければ、サイバー攻撃によって工場は操業できなくなってしまいます。つまりサイバーセキュリティは「将来の売り上げを守るための投資である。少なくともその一部である」こうしたマインドセットを経営者が持つことが、必須なのだと強調したいですね。

―とても分かりやすいですね。最後に、あらためて企業の経営層、CEOに向けてメッセージをお願いします。

伊東これからのサイバーセキュリティ対策においては、今日お話しした次の2点をしっかり意識してほしいと思います。

1つは、コロナ禍により働き方が大きく変わったことで、エンドポイント対策を重視しなければいけなくなっていること。境界防御だけを意識していては不十分でリスクが拡大してしまいます。もう1つは、セキュリティ対策は投資だと考え、積極的に実行することです。

「適正な投資額が分からない」という声も聞きますが、そんな時は自社と似た規模・業種の他社の対策状況を観察しましょう。攻撃者は狙いやすい所を探し、集中的に狙ってきます。つまり、他社が2mの塀で防御していたなら、自社は2m10cmにすればよいのです。1.5mではダメですが、5mにする必要もありません。それが投資額の目安になります。

また、ニュースでは「個人情報の漏えい事故」がよく報じられていますが、実はサイバー攻撃の被害はそれだけではありません。個人情報関連の事故は開示義務があるため、必然的に広まるのですが、それ以外の事故も、実は見えないところでたくさん起こっています。知的財産の窃取などは、長期的には日本全体に大きなダメージを与えかねません。自社だけは安全と思い込まず、何を守るべきかの優先順位をしっかり定めて、必要な投資をしっかり行ってほしいと思います。

ハイブリッドワーク時代のエンドポイントを守る「HP Wolf Security」

悪質・巧妙なサイバー攻撃が多発する現在、組織を守るためにはセキュリティ対策をアップデートすることが欠かせない。この状況を踏まえ、日本HPが2021年5月に発表したのが「Wolf Security」である。新しいブランディングの下で、20年以上にわたるセキュリティの研究と革新に基づき提供してきた複数のセキュリティ製品を統合し、包括的なエンドポイント保護を実現。「サイバーレジリエンス(回復力)」を強化するソリューションとして、ハイブリッドワーク時代の企業・組織を支援している。

ニューノーマル時代の企業経営を考える 打つべき、サイバー攻撃への“次の一手”は
東海大学 三角教授 「コスト」から「目的達成の手段」へ セキュリティ強化に不可欠な経営層の意識変革横浜国立大学 吉岡教授 システム、人、そしてサプライチェーン 守るべきポイントへ先行投資せよ日本HP 九嶋氏 エンドポイント・セキュリティの新潮流「HP Wolf Security」でビジネスを守るヨコハマ グランド インターコンチネンタル ホテル 巧妙化するサイバー攻撃への備えを実現!「隔離型」のセキュリティ対策で標的型攻撃や新種のランサムウエアから顧客情報を守るサイント 岩井氏 狙われた情報は、ビジネスの“金の卵” 攻撃者を知ると見えてくる、新たな可能性

お問い合わせ