ここ数年でデジタル化が急速に進み、DXを重要テーマに掲げる企業も増えています。しかし、DX推進は同時にセキュリティのリスクや負担も増加させます。DX推進に伴うセキュリティの変化や課題について、お話しいただけますでしょうか。

梶浦氏いまだにセキュリティにかけるコストを「損金」だと考える経営者があまりにも多く存在します。「サイバー攻撃がなかったら、セキュリティにかけたお金は捨てたも同然」とか「不確定なものの予算にハンコは押せない」という言葉に苦しんでいるIT部門、セキュリティ部門の方々を私はたくさん知っています。しかし儲けることと社会課題への挑戦を両立させることは21世紀の企業のあるべき姿。セキュリティ対策はそのための投資なのです。

DXの推進には多くの課題が想定されます。なかでも最大のものがサイバーセキュリティ対策です。DXを進めれば事業の多くがITに依拠することになり、ITへの攻撃は事業継続に支障をきたすことになる。だからこそ経営層だけでなく、企業を支える関係部署全てが「セキュリティへの出費は損金ではなく投資」だと考えるDX with Securityの意味を理解しなければなりません。

もちろん以前に比べれば、経営者として「ITが分からない」と言うのは恥ずかしいことだと話される方は増えてきました。DXの本質もある程度は理解されているでしょう。ただしこれは会社の規模なり業種なりで相当、温度差があるのも事実です。

金井氏確かに、経営層の方々は時代に敏感で、常に情報を収集されています。例えば「クラウドに移行したい」とおっしゃる場合でも、「クラウドとオンプレミスでコスト比較をされていますか」と質問すると、ほとんどのお客様が「しています」とおっしゃいます。もちろん、それは情報システム部門に指示をされて調べられているわけですが、意外とハードウェアのコストとクラウドの使用料を比較しただけで、サーバーを設置する上で必要な空調代や電気代、運用メンテナンスを行う人件費などはあまり考慮されていらっしゃらないことが多いように思います。クラウド移行へのリスクアセスメントが十分にされていない状況だと、クラウドに移行された後、円安になって使用料が上がると「こんなはずではなかった」という結果につながるリスクも高くなります。

現在は自社でセキュリティ対策を行うより、ITの専門家が運用するクラウドのSaaSの方が情報セキュリティ対策レベルや運用品質が良く、自社で構築運用する場合よりもコストパフォーマンスが高い場合があります。ただし、費用対効果、コスト比較は、それなりのITスキルを持った方が確保できていないと、うまく試算することは難しいわけですが、中堅・中小の企業では、なかなかそういうことができる人材がいない。それでもクラウドを安易に使用してしまうことで、ユーザー側の設定ミスによる情報漏洩事故が非常に多くなっています。クラウドを適切に運用できる人材を確保できていないのが原因の1つでしょう。

梶浦氏それは間違いありません。特に中小企業では、ある程度高給を提示したとしてもセキュリティを維持管理できる人を雇うことは容易ではない。私たちSC3でも、サプライチェーン上の弱い輪である中小企業のサイバーセキュリティをどう高めるかで長年議論を続けてきました。その1つの策として考えられるのが「共通クラウド」です。その地域の企業群が共通クラウドを使ってITを導入し、そこにセキュリティサービスを載せる。これなら各社が高いスキルを持った技術者を雇わずとも、セキュリティ対策を人もコストも含めて按分できます。

金井氏非常にユニークなアイデアですね。些細な設定ミスなどで重要なデータを漏洩してしまうと、それこそ事業が継続できなくなる可能性もある。会社の規模を問わず、そこはしっかり対策を立てなければなりません。日本ではBtoC企業で起こる個人情報の漏洩が大きく取り上げられますが、実はBtoB企業でも、まだ発売されていない取引先の図面データを発注先が漏洩してしまうようなケースがあり、企業存続を脅かしています。そういったインシデントの可能性をあまり深く考えていないケースが多いので、当社では情報資産の徹底した分類・管理をお勧めしています。

梶浦氏デジタル化が一気に進んできたため、事業環境の実態とセキュリティのあり方がちぐはぐな構造になっている部分があるのでしょう。典型的な例がテレワークです。それまでは強固な入退室管理で従業員以外はオフィスに入れない、システムも社内に閉じて守るといった境界防御で大まかなセキュリティは実現できていました。

しかしコロナ禍でテレワークが普及し出したら、もう境界防御だけでは守りきれない。ガバナンスのルールも整備されていない。「これではいけない」と、テレワークでも社内と同じくらい厳しいセキュリティ基準を設けるのですが、「重要データにアクセスする際は出社しなければならない」といった「セキュリティ原理主義」に振れる企業が出てくる。一方で、業務効率や利便性が第一、セキュリティは二の次だと考える企業も出てきます。これではDXなど決して進みません。

そのため、あらゆる状況下で安全を確保するゼロトラストセキュリティという考え方が注目されています。ただ、そこでも新たな課題が出てきます。ゼロトラストでは「ID」「エンドポイント」「アプリケーション」「インフラストラクチャー」「ネットワーク」「データ」という6つの要件を統制しないといけませんが、前の5つまでは比較的レギュレートしやすい一方、最後のデータだけは社内の各部署で日々増え続け、しかもその価値基準がまったく異なる。ある人にとっては価値がないデータでも、別の人から見れば宝物になる。だから一律の価値によるレーティングができず、リスクまで含めたデータガバナンスを行えない。現状、これをやりきることができる企業は極めて少ないと思います。

金井氏私達が過去に確認した例で言いますと、社内のクライアントにパッチを当てていないお客様がおられました。そのお客様先には約1000台規模のWindowsマシンがあり、そのうち5台だけOS自体が安定して動作していないように見え、最新のパッチが当てられない状態だったのです。Windows OSからインストールし直せばいいのですが、「これは業務で使っているから停止できない」とおっしゃる。これではいくら最新のEDRを入れても意味がありません。ゼロトラストに移行したいというお考えがあっても、こういう実態があることも珍しくないのです。

梶浦氏それはゼロトラスト以前の問題ですね。

金井氏また、特にコロナ禍のテレワークではお客様先で様々な問題が起きました。端末の利用エリアをIT部門がオフィス内あるいは自宅とルール決定して社内へ周知を徹底されていても、実際には「家だと子どもが騒ぐので図書館で仕事していました」とか「カフェでパソコンを開いていました」といった実態が分かったという例も聞いています。

これは当社のクライアント運用管理ソフト「SKYSEA Client View」（以下、SKYSEA）を導入していたお客様がアクセスポイントのログから発見されたのですが、公共の場で重要情報が映し出された画面を誰かに覗かれたら、それこそ大問題になってしまいます。

また、多くの企業や組織では最終的に完成したデータは管理されているのですが、作業途中で作った一時ファイルの取り扱いが明確になっていない場合も多く、意外と管理対象から漏れていることもあり、ローカル端末に置かれていたという問題もありました。このように想定外の使い方を発見するためにも、常日ごろからログを記録しておき、定期的にログのチェックすることも大切です。

梶浦氏だからといってテレワークを無くすという選択肢は現実的ではない時代です。求職者もテレワークを導入しているかどうかが企業を選ぶ大きな要件になっていますから、人員とセキュリティを確保するためにもゼロトラストは極めて重要なテーマになっています。

金井氏おっしゃるとおりです。そこで大切なのが、「ネットワークに接続されている端末を企業や組織がしっかり把握できているかどうか」です。IT資産管理として当たり前の要件ですが、これなくしてゼロトラストは実現できません。一般的な企業ではIT部門で購入したPCはしっかり管理されていることになっています。

しかし、例えば、製造業の場合、測定器や製造装置にコントローラーとして付属するPCなどについては資産管理台帳に載っていないため会社として認識されていないケースも多い上、工場内は生産管理部門がIT機器やネットワークを管理しているため、会社として統一して管理されていないこともあります。また、医療関係でも超音波診断装置やCT／MRIといった装置にPCが数台ついてきますが、これらも臨床検査技師の方が医療機器として管理されており、病院としては同じネットワークに接続されて使われているにもかかわらず、病院のIT部門では管理されていなかったという例があります。

実際、ある病院でランサムウエアの被害が発生した時、その発端となったのは実は病院の持ち物ではなく、納入されているシステムの保守会社がリモートメンテナンス用に設置していたVPN装置でした。この脆弱性を突かれて病院内のシステムに侵入されたわけです。会社や組織のネットワークに接続する以上は、全てのIT機器を組織の管理下におき、適切にIT資産管理が行えるように、状況を変えていかないとゼロトラストの実現は難しいでしょうね。

梶浦氏病院には組み込み機器も多く入っています。装置そのものが不用意にネットワークにつながっていると、どうしてもそこからランサムウエアが侵入してしまう。自動車も数え切れないほどプロセッサーを積んでいてネットワークにつながっている。そういうものも全部、ウイルスに感染する可能性があるわけです。それらを全てマネジメントできるかといえば、事実上不可能に近い。特に24時間稼働している装置は、メンテナンスの時間が取れないこともあるのでリスクが非常に大きくなる。IT資産を細かく粒度を下げて管理し、どのネットワークにいつつながっているのかを正確に把握しなければなりません。

金井氏例えば当社のSKYSEAではネットワークにつながっている機器を全て検出する機能があります。こうしたツールを使って、自分たちが管理していないものが自社のネットワークに接続されていないかどうかを知るだけでもまったく違うと思います。

デジタル化が様々な領域に浸透する中、サプライチェーンの脆弱性をついたサイバー攻撃が急増しています。その傾向や影響について教えてください。

梶浦氏まだ記憶に新しいのが2022年に起こった自動車関連会社へのサプライチェーン攻撃です。これにより多数の工場ラインが止まり、受発注ができなくなってしまった。製造業の多くがティア1／ティア2／ティア3、さらにその下請けといった階層状のサプライチェーンを構成しているだけに、契約内容も含めて、個々の会社でどこまでセキュリティ対策が講じられるかが大きな課題となっています。

経済産業省でも日本企業のセキュリティ対策の底上げを図ろうと、中小企業にUTMなどを設置して、万一の際には専門家が駆けつける「サイバーセキュリティお助け隊サービス」を提供していますが、さらに高度なセキュリティサービスになるとコストがネックになって手が出せない。このあたりをどうするかも悩みどころです。

金井氏サプライチェーンを考慮した情報セキュリティ対策を関係する企業の全てが情報セキュリティ対策の底上げという観点では、今では事業継続する上で必ずやらなければいけないことを、まずは各企業内で明確に広く認知していただくことが基本となります。中小企業では近年、取引先から「社内でログを収集・管理しているかどうか。収集・管理していないならいつから始めるのか」というチェックシートが回ってくるそうです。「しないのなら今後、契約は継続できない」という意味です。そのため業種によってはサプライチェーンに沿ってセキュリティチェックリストが流れてきたり、大きな業界になるとガイドラインが作られて「これに沿うように」という指示により、サプライチェーンに関係する企業の全てに対策が求められたりします。こうなるとどの会社も、なんとかこれをクリアしなければと本気になる。そういった、いい意味でのプレッシャーも社会全体でセキュリティを加速させる1つの方法です。そうなるともう少し、国の積極的な関与などが必要になってくるかもしれません。

梶浦氏最初に申し上げたように、サイバーセキュリティを高めるのは経営マターです。では、その重い腰を上げさせるのは誰かといえば、最後は大手の取引先かもしれませんが、その地域の社長仲間の声も非常に効果がある。例えば「あの人の会社は最近セキュリティ対策を入れてうまくいっているらしい」という話を聞けば、「じゃあウチも入れてみようか」となる。要はセキュリティ対策のような大事な話は、顔の見える信用できる人から直接聞きたいというのが社長の本音です。そこで今、SC3も地域のワーキンググループで最初のコアになってくれる社長をリストアップしようとしています。デジタルリテラシーがそこそこあり、社交性やインフルエンス能力があるような方々です。

金井氏確かに地域のコミュニティで隣の1社が入れたら、また1社というケースはよく聞きます。他社がやるならウチもやらなくてはという競争意識が働くわけです。実際にセキュリティ事故といっても自社が被害に遭うことはなかなか想像しづらいわけですが、社長が知り合いの会社、身近な会社が被害に遭ってとんでもないことになっているのを見聞きすると、急に自分事になってきます。

実際、自社のファイアウォールにどれだけ攻撃が来ているか、フィッシングメールが来ているかを情報システム部門で管理されていれば、全く他人事ではないと認識できると思いますが、多くの会社ではその情報が社長まで届いていない。そうした実態があります。

効果的なセキュリティ対策を行うには専門的な知識やスキルが求められますが、その一方ではセキュリティ人材の不足が深刻な課題となっています。今後サイバーセキュリティ人材の育成と活用は、どのようにすべきとお考えですか。

梶浦氏何年か前に経済産業省が19万人足りません、というようなことを言って以降、あまり数値的には出てきませんが、現場を見ると明らかに足りていないのは事実です。たとえ突出して高いスキルはなくても、自分の事業領域に関する必要十分なセキュリティ知識のある「プラスセキュリティ人材」をどう生かすかが重要だと考えます。

例えば大企業において各事業部門は独立会社みたいなもので、各部門が勝手にDXを走らせようとし、想定外のセキュリティホールが出てくる可能性も否めません。何か問題が発生してからIT部門に泣きついても遅いわけです。ならば各部門にあらかじめ、その事業に精通し、その事業で起こり得るサイバーリスクについて一定の知識があるプラスセキュリティ人材を配置しておけば、大幅にリスクを下げられます。

つまり社内のセキュリティ人材の解像度をいかに上げるか、適材適所でどう育てるかが人手不足に対処する1つの策となります。そのためには、プラスセキュリティ人材を、社内で評価して処遇を上げる仕掛けが必要なのは言うまでもありません。

金井氏中小企業では、何か情報セキュリティ対策を行うとすると、「それは会社の業績にどう貢献するんだ」という話になりがちです。仮に「対策が必要だ」と会社で判断されても、「外部のSIerに任せればいいじゃないか」という話になり、社内にプラスセキュリティ人材となり得る人がいても、当人は処遇が不満で転職してしまう。

社内のプラスセキュリティ人材が気軽に相談できる外部の人間と、適切な評価が必要ではないかと思います。一般的なベンダーですと「このツールを買っていただければ」という話になりがちですが、必要なのは全体的なセキュリティを底上げするためにはどうすればいいかと、それを相談できる相手なのです。まずはフィッシングメールを開けないためにはどうすればいいかといったことを身につける従業員教育、次に自社の事業を守るためにはどういったレベルの人材が必要かの検討が必要です。外部にセキュリティ対策をアウトソーシングするにしても、委託内容の仕様書が書けなければ意味がありませんから、中途採用するにしてもその後は自社で育てていく必要があります。そういった一連の取り組みを一緒になって相談できる相手が中小企業には求められています。

Ｓｋｙでは、そうした企業からの要望にどう応えているのでしょうか。

金井氏私たちはセキュリティツールのベンダーですので、お客様からいつも色々なご相談をいただいています。ただセキュリティと一言で言っても対象が非常に広いため、私達では対応できない内容もあったりしますが、まずは、私達がお手伝い可能な範囲の中から、お客様の優先度に沿って最も効果的な提案を差し上げるようにしています。

またセキュリティツールは買っていただいて終わりではなく、うまく運用していただかないと機能しません。そのため一般社員様向けの研修とは別に、運用者・管理者向けの研修も用意しています。例えばお客様がゼロトラストをやっていきたいというご要望をお持ちなら、まずクライアントPCには常に最新のパッチを当てることが必須となりますが、それには、全てのクライアントを管理しなければなりません。また、インストールされているソフトウェアも適切なバージョンが入っているか調べましょう、という助言から始めます。もちろん、それを実現するための助言や支援も必要であれば、有償で対応させていただくこともあります。今後もお客様の事業を守るために必要なセキュリティの底上げを継続的にお手伝いしていきたいと考えています。

梶浦氏サイバーセキュリティで何が問題かというと、あらゆるものが見えないことなのです。攻撃相手が見えないのはもちろんですが、自社にどんなスキルを持った人材がいるのか、どんなポストが必要なのかといった、守る側の人材も見えない。これではいけないということで、産業界では約40社の企業・団体のセキュリティ担当者の方々に集まっていただき、研究開発や営業、マネジメント、監査といった33職種に必要なセキュリティレベルとスキルの人材マップを作っています。一般向けに公開しており、作成に関わった企業・団体は既に使っていますが、これをさらに多くの企業・組織に普及させていくことも必要ではないかと考えています。

本日は貴重なご意見をいただき、誠にありがとうございました。