東京デジタル

突然襲ったサイバー攻撃
修羅場と化した現場からの電話

サイバー攻撃によるインシデントを100%防ぐことは難しい。しかも、インシデントの影響が想定範囲に収まるとは限らない。インシデントに直面して初めて明らかになる問題も多い。このため対応に当たる現場は混乱を極める。一方、被害が社外に及んだときに企業が問われる責任は、ますます重くなる。だから、有事の善後策から再発防止まで一貫して支援する「駆け込み寺」が必要になる。このような企業のニーズに応えるために東京海上ディーアール(TdR)が設けた専門家集団が「サイバーセキュリティラボ」である。

「顧客のメールアドレス宛てに、弊社から不審メールが大量に送り付けられているらしく、クレームが殺到しています。でも何が原因か、どうしたらいいのか分かりません、助けてください」

サイバーセキュリティラボに悲痛な緊急連絡が入った。電話の主は、ある企業の情報システム担当者。現場の緊張と混乱がその声からひしひしと伝わってくる。すぐに動かなければ。コンサルタントはまず、被害状況を確かめ、大至急やるべきことを指示する。

ネットワークの一時遮断、従業員が使うパソコンのウイルス駆除。そのうえで不審メールを送ってしまった取引先への謝罪文と報道機関向けの発表文書をそれぞれ作成…。

こうした一連の対応を「インシデントハンドリング」と呼ぶ。インシデントとはサイバー攻撃や情報流出を示す何らかの兆候や実際の事故を指す。インシデントに直面した現場で難しいのは、次々と発生する想定外の事態に速やかに対応することである。事前に用意した対応策において想定していた通りに物事が進むことはまずない。だから、多くのインシデントに対応した経験を生かして瞬時の判断ができる専門家集団の支援が必要になる。

「何もできていなかった」

出番は、これだけではない。多くの場合、事態を収拾した頃に、インシデントが発生した企業の経営者から新たな依頼が来る。「当社のサイバーセキュリティー対策がどうなっているか調べてほしい」。冒頭に登場した企業もそうだった。早速、情報システムのセキュリティーリスク診断を実施し、報告書を提出、経営幹部に説明した。

チーフコンサルタントの榎本祐樹氏は、そのときの光景が忘れられないという。説明が終わっても、出席した経営幹部は誰も口を開かない。しばらくして、ようやく経営者が絞り出すようにつぶやいた。

「情報システムには惜しまず投資をしてきたつもりだったが、サイバーセキュリティーについては何もできていないに等しかったということですか…」

実際、何もできていなかった。報告書には「この規模の企業であれば導入していてしかるべき対策が実装されていない。緊急時の社内連絡の仕組みが整備されていない」などと厳しい言葉がずらりと並んでいた。

この企業が特別というわけではない。サイバーセキュリティーが経営リスクだと指摘されて久しいが、「情報システムを納入したITベンダーがセキュリティー対策も万全にやってくれているだろう」と思い込んでいる組織は案外多い。

東京海上ディーアール ソリューション創造本部 サイバーセキュリティラボ チーフコンサルタント 榎本祐樹氏

東京海上ディーアール ソリューション創造本部
サイバーセキュリティラボ チーフコンサルタント 榎本祐樹氏

「二度と繰り返したくない」

もちろん、ITベンダーは広く知られたセキュリティーホール(技術上の欠陥)に注意するなど一定の配慮はする。だが、情報システムを検収して以降の管理責任は基本的に利用者にある。

「それにもかかわらず、日々強化される攻撃手法の動向を把握し、システムに対策を施し、有事の対応プロセスを整えるといった一連の作業を担う専門人材をそろえている企業は少ない」(チーフコンサルタント 教学大介氏)。

東京海上ディーアール ソリューション創造本部 サイバーセキュリティラボ チーフコンサルタント 教学大介氏

東京海上ディーアール ソリューション創造本部
サイバーセキュリティラボ チーフコンサルタント 教学大介氏

要請はさらに続く。報告を受けて呆然とした経営者は「二度と繰り返さないためにやるべきことはすべてやる」と腹を決め、再発防止策についてサイバーセキュリティラボにまとめるよう依頼した。これを受けコンサルタントは、実装しておくべきセキュリティー対策を定義し、そのために必要となる具体策を提示する。

さらに事業規模や取引先の多さなど社会への影響度を鑑み、インシデントハンドリングをこなす専門組織CSIRT(Computer Security Incident Response Team)の設置も提言した。2022年4月に改正個人情報保護法が施行される。これによって事業者の責務が重くなり、個人情報流出などの事態が発生したときに個人情報保護委員会へ報告することが新たに義務付けられる。万一の場合、この報告もCSIRTが担当する。CSIRTのメンバーに抜てきされた従業員が自力でインシデントに対処できるように支援するのもサイバーセキュリティラボの役割だ。

TdRのサイバーセキュリティラボは2019年に発足した。リスク評価を巡る豊富な知見やノウハウなど損害保険会社の強みを生かしたサービスを提供するサイバーセキュリティーの専門家集団である。

対策の裾野を広げたい

従来、サイバーセキュリティー関連のサービスは監査法人系のコンサルティング会社、情報システムコンサルティング会社、セキュリティーツールを開発・販売するITベンダーなどが担ってきた。多くの競合相手がいる中で、サイバーセキュリティラボを立ち上げた理由について、チーフコンサルタントの教学氏は、「サイバーセキュリティーの分野は慢性的に人手が足りない。きちんとした体制を築きたくても築けない企業は多い。こうした社会課題を解決すべきだと思った」と語る。ただでさえ不足しているサイバーセキュリティーの専門家の多くは、サイバーセキュリティー対策で先行する金融機関や大手企業の対応に追われており、対策が遅れている企業に手が回っていないのが現状だという。

サイバーセキュリティラボ設立のきっかけは、同じ東京海上グループの東京海上日動火災保険が2015年から展開している「サイバーリスク保険」だった。実は、この保険の開発責任者は教学氏である。同氏は、企業のニーズに応えるには、保険以外のサービス領域を広げる必要があると考えていた。

「サイバー攻撃のリスクをゼロにすることは難しい。だから有事の最後のとりでとして損害保険が必要と考えました。ただ、保険さえかければ安心というわけでもない。保険が適用になる前後、つまり『平時』から『有事』までの支援が必要と考え、同じグループでコンサルティング事業を手掛ける東京海上ディーアールにサイバーセキュリティラボを設けたのです」(教学氏)。

柔軟な連携で広範囲の支援

サイバーセキュリティラボには、教学氏のようなリスクマネジメントの専門家の他、セキュリティーベンダーなどで実務経験を積んだセキュリティーの専門家がそろっている。例えば、チーフコンサルタントの1人である榎本氏は、セキュリティーベンダーで17年間、インシデントハンドリングやリスク評価に取り組んでいたという。

「デジタル化の流れが進む中、攻めの姿勢でITシステムに投資する企業は増えていますが、ただ攻めるだけでは、余計にサイバー攻撃のリスクを高めることになりかねません。同時に守りの強化は必要です。システム構築だけでなく、有事に即応する『駆け込み寺』の役目やサイバー攻撃に強い組織作りなど、広範囲にわたってご支援したいと思っています」(榎本氏)。

監査法人でもITベンダーでもないTdRの立ち位置は、こうした支援を提供するうえで有利だという。

「社外の専門家と連携して、最適なインシデントハンドリングを実施できる体制を柔軟に構築できるからです」(榎本氏)。

2019年の始動からまだ2年、今までのところはサイバーリスク保険に加入している顧客の依頼に応えることが多い。顧客の業種は多様だが事業規模は比較的大きい。

「ただし保険ありきでも、大企業を優先しているわけでもない。今後は中堅中小企業が利用しやすいサービスも提供する方針です」(教学氏)。

撮影:栗原克己

東京デジタル