ここから本文です

今、サイバーセキュリティは「ITの課題」から「経営の課題」へ

ITmedia ビジネスオンライン 10/13(木) 8:12配信

 ITmediaエグゼクティブ編集部主催の セミナーが「サイバーセキュリティ対策のあるべき姿 顧客の安全・安心を世界トップクラスのセキュリティで」をテーマに開催された。

 国内を代表する情報セキュリティ専門家や、セキュリティ製品・サービスベンダーのエキスパートが登壇し、情報セキュリティに関する最新動向や、セキュリティ対策を行う上で役立つ技術や製品の紹介などが行われた。

●セキュリティ対策の優劣が企業価値の差別化要因となる

 基調講演には内閣府参与(科学技術・IT戦略担当) 齋藤ウィリアム浩幸氏が登壇し、「"情シス、頑張れ"に悲鳴? グローバル化とIoTで不可欠となる経営層の関与」と題した講演を行った。

 齋藤氏はさまざまな資料を引用しながら、日本が海外先進国と比べ相対的にICT活用に消極的であり、そのことが国全体の生産性の低さや次世代サービスビジネスへの進出の遅れにつながっていると指摘する。主たる原因として、情報セキュリティに対する不安にとらわれている点を挙げる。

 「インターネットは、セキュリティがあってこそ初めてビジネスで活用できる。ITがあるからセキュリティが必要になるのではなく、むしろセキュリティがITをドライブしていると心得た上で、情報セキュリティにより積極的に取り組むことでインターネットとICTの活用を推し進めていくべきだ」(齋藤氏)

 しかしその一方で、サイバー攻撃は年々進化のスピードを速めており、現在では金銭目的の組織犯罪や、国家レベルのスパイ活動、果ては戦争における攻撃手段としても利用されるようになってきている。また近年の脅威はサイバー空間のみならず、物理的な設備の破壊や無力化を目的としたものも多く見られる。さらにIoTの普及によって、IT機器だけではなく家電やオフィス機器、自動車なども含んだ、ありとあらゆる電子機器がハックのターゲットになっている。

 そんな中、企業や組織は「認証」「完全性・正確性」「承認」「説明責任」「機密性」「否認不可性」「自己情報管理」「可用性・有効性」の8つの分野に渡ってセキュリティ対策を講じる必要がある。しかしこれだけ広範な取り組みを行うとなると、多くの企業はどうしても「手間が掛かる」「コストがかさむ」「システムの利便性が低下する」と消極的になりがちだ。

 「多くの企業はセキュリティ対策の"安全性"と"コスト"は重要視する一方で、"利便性"をあまり考慮しないために、セキュリティ対策に対してネガティブな印象を抱きがちだ。そうではなく、利便性もきちんと担保した対策を業界挙げて実現できれば、企業はセキュリティ対策で不便を強いられるどころか、逆にきちんとした対策をとることで自社の企業価値を高めることができる」(齋藤氏)

 またこれまで携わってきたさまざまな危機管理や災害対策活動の経験から、アクシデントを100%防ぐことは無理なので、アクシデントに見舞われた際のレジリエンス(復元力)が必要になるという教訓を得たという。

 「そのためには、既存の国家や組織の枠組みを超えて攻撃を仕掛けてくる相手に対して、こちらも縦割りの組織に横串を入れて、全社レベルで対応できる体制を整えておく必要がある。また被害が生じた際、現場ですぐ犯人探しや隠蔽に走るのではなく、いち早く経営層に情報をフィードバックできるコミュニケーション文化を醸成しておくことも極めて重要だ」(齋藤氏)

●政府が推進するサイバーセキュリティ戦略の全体像

 特別講演には内閣官房 内閣サイバーセキュリティセンター(NISC) 副センター長 三角育生氏が登壇し、「我が国のサイバーセキュリティ政策について」と題した講演を行った。

 2014年11月に成立、翌年1月から施行が始まったサイバーセキュリティ基本法に基づき、政府は2015年9月、「サイバーセキュリティ戦略」を閣議決定した。今後3年間を見据えたサイバーセキュリティ対策への取り組みの戦略と方針を取りまとめたもので、三角氏によれば基本的なコンセプトとして「後手から先手へ」「受動から主導へ」「サイバー空間から融合空間へ」の3点を掲げているのが特徴だという。

 「近年、サイバー攻撃の影響はサイバー空間だけでなく現実の物理世界にも及びつつあり、その社会的影響力は年々拡大している。一方で企業が国際競争を勝ち抜き、ひいては日本全体の国力を維持していくためには、ICTの活用はもはや不可欠だ。であれば、企業はサイバーセキュリティ対策に対して受け身ではなく、主体的に取り組むことでICTをより有効に活用し、競争力を高めていくことができる」(三角氏)

 この目的を達成するために、政府のサイバーセキュリティ戦略では3つの方向性で施策を講じていくべきだと提言している。1つは「経済社会の活力の向上および持続的発展」。いまやICTはあらゆる経済活動・社会活動に不可欠であり、よってICTをより安心して使えるようにするためのサイバーセキュリティ対策に掛かるコストは"費用"ではなく"投資"ととらえるべきだ。

 2つめが「国民が安全で安心して暮らせる社会の実現」。これまでのサイバーセキュリティ対策が主たる目的としてきた領域であり、国民や社会、重要インフラ、政府機関などをセキュリティリスクから守り、ビジネスや社会生活の安全を確保するための施策全般の強化を指す。

 そして3つめに挙げられているのが、「国際社会の平和・安定および我が国の安全保障」というカテゴリーだ。先述のように、サイバーセキュリティの脅威がサイバー空間だけでなく物理空間にも大きな影響を与えるようになってきた昨今、サイバーセキュリティを国家の安全保障の課題としてとらえる重要性がますます高まっているという。

 加えて、こうした取り組みを進めていく上では、研究開発と人材育成の施策が極めて重要だとサイバーセキュリティ戦略では論じている。

 「サイバーセキュリティに関する学際的な研究開発の取り組みを日本独自で進めるとともに、サイバーセキュリティ人材の育成もより推し進める必要がある。高度なスキルを持った技術者はもちろんだが、それ以上に技術の現場とビジネスとの間を橋渡しできる人材の育成が急務だと考えている」(三角氏)

●国内きってのエキスパートが語る「サイバーセキュリティと経営」

 特別講演2としてベネッセインフォシェル 代表取締役社長 丸山司郎氏と、ラック 取締役 専務執行役員 CTO 技術戦略担当 兼 CISO情報セキュリティ担当 西本逸郎氏をパネリストに招いたパネルディスカッション「セキュリティ脅威の最新動向と今求められる情報システム部門の覚悟」が行われた。

 モデレータを務めたアイティメディア エグゼクティブプロデューサー 浅井英二の「サイバーセキュリティの最新動向と、企業が抱えている課題についてどう見るか?」という質問に対して、西本氏は真っ先に、2015年12月に経済産業省およびIPAから公表された「サイバーセキュリティ経営ガイドライン」の話題を取り上げた。

 「さまざまな種類の攻撃の垣根が取り払われ、サイバー攻撃を使った金融犯罪の被害が拡大する中で、国が企業経営者に対してサイバーセキュリティ対策に主体的に取り組むよう明確に求めたものだと理解している。社内にCISOやCSIRTを置くよう求めているが、これらの役職や組織がきちんと機能するためには、業績評価の指標とスキームの整備が不可欠だろう」(西本氏)

 丸山氏は長年セキュリティ業界から企業をサポートしてきた経験と、ユーザー企業の経営者としての立場から、次のように述べる。

 「多くのの企業はセキュリティ対策を行っていると考えているだろうが、事故発生を想定した訓練を普段から行っておくことが大事。加えて、いざ事故が起きた際にシステムを思い切って止められるかどうかも、被害拡大を防ぐ上では極めて重要だ」

 また、いざというときに経営層が決断を下すためには、情報システム部門から経営層に対して、情報がスムーズに伝えられるような仕組みを日頃から整えておくことが重要だと両氏ともに強調している。

 「現場の技術者は、ともすると"自分たちの考えは正しい""正しいのだから、経営層にも伝わるはずだ"と考えがちだ。しかしたとえ正しくとも、経営層に理解できない内容が伝わることは決してない。伝わるのは"相手に理解できる言葉だけだ"ということを肝に銘じて、情報システム部門は経営層とのコミュニケーションに臨む必要があるのでは」(丸山氏)

 「そもそも"情報システム部門が自社システムのウィークポイントを認識できていない"という問題もある。まずはシステムの現状を可視化し、問題点を把握した上で、不測の事態が起きた際に経営層に分かりやすく簡潔に状況と選択肢を伝えられるよう、平時から準備しておくことが大事だ」(西本氏)

●AI技術を応用していち早く不正通信を検知する

 京セラコミュニケーションシステム セキュリティ事業部 事業部長 兼 KCCS-CSIRT 岡村浩成氏は、「通常業務に紛れ込む脅威! 最新事例に学ぶ、経営者が押さえるべき3つのポイント」と題した講演で、最近の標的型攻撃の動向と、それらに対抗する手段として同社が提供するセキュリティソリューションの紹介を行った。

 「近年の標的型攻撃は極めて巧妙化しており、攻撃を100%防ぐことは困難。そこで、すべてを防げないことを前提にどう対処すべきか考える必要がある。いち早く侵入や被害を検知し、素早く適切な事後対応を行うことが企業価値を維持する上で極めて重要だ」(岡村氏)

同社が提供する、米Darktrace社が開発した免疫システム「Enterprise Immnue System」は、ネットワーク内の通信やユーザーの行動を自己学習し、人口知能と数学理論を用いた解析を行うことで怪しい通信の発生を「確率」で表現するという、これまでにない新たなタイプの免疫システム。岡村氏は実際に、同製品が不正な通信を検知する様子をデモンストレーションし、その有効性を示して見せた。

●深刻な「Webサイト改ざん」被害を最小限に抑えるには?

 デジタル・インフォメーション・テクノロジー 商品開発部 飯嶋範崇氏による講演「"いつ発生するか分からない脅威"に対する強化策の最適解」では、Webサイト改ざんの被害を防ぐことの重要性と、そのために役立つ改ざん検知ソリューションが紹介された。

 飯嶋氏は、JPCERT/CCに報告されたセキュリティインシデントのうち、「Webサイト改ざん」が常に件数の上位に挙げられているデータを示し、対策の重要性を次のように力説する。

 「ソフトウェアの脆弱性はどうしてもなくならず、Webサイトは世界中のどこからでも攻撃を仕掛けることができる。そのためWebサイトはどうしても狙われやすく、そして一度改ざんを許してしまうと不特定多数の閲覧者にマルウェアを配布したり、偽情報を発信してしまったりと、企業は極めて深いダメージを負う」

 こうしたダメージを最小限に押さえるには、改ざんをいち早く検知し、迅速に事後対応と復旧の作業に当たるしかない。そのために同社が提供するのが、改ざん検知製品「WebARGUS」だ。同製品を使えば、企業は万が一自社サイトのファイルを書き換えられたとしても、ほぼ即時にそれを検知できる上、さらに自動的に書き換え以前の状態に現状復帰してくれるため、手間を掛けることなく改ざんの被害を極小化できるという。

●高度標的型攻撃に対しては多層防御で対抗する

 デジタルアーツ エンタープライズ・プロダクト・マーケティング部 プロダクトマネージャ 遠藤宗正氏は、「高度標的型攻撃対策の"かなめ"となる3要素 ~プロキシで実現する"検知・防御・教育"のサイクルついて~」と題した講演で、近年高度化・複雑化しつつある標的型攻撃へ備えるに当たり、同社のセキュリティ製品が果たす役割について講演した。

 Webフィルタリング製品「i-FILTER」は、危険なサイトへのアクセスや怪しい通信を監視・シャットアウトでき、かつサンドボックス製品やSIEM製品と連携することで未知の脅威へも対応できる。またネットワークにアクセスした際にセキュリティの小テストを提示し、従業員のセキュリティ教育とセキュリティに対する意識を定着させている。

 一方、メールを使った侵入や感染の手口に対しては、メールセキュリティ製品「m-FILTER」を使ってメールを無害化でき、さらにファイル暗号化・監視製品「FinalCode」を使えば、万が一機密ファイルが社外に漏れてしまっても、後からファイルの状態を追跡したり削除することができる。

 「このように弊社の製品を使えば、高度標的型攻撃に対する入口対策から内部対策、出口対策、さらにはその先の対策まで、さまざまなフェーズにしっかり対応できるようになる」(遠藤氏)。

●サイバーセキュリティ対策を経営会議で取り上げることの重要性

 KPMGコンサルティング サイバーセキュリティアドバイザリー パートナー 田口篤氏は、「Cyber in the Boardroom ~サイバーセキュリティを経営課題に~」と題した講演で、サイバーセキュリティ対策に取り組む上で企業のトップマネジメント層の明確なコミットメントが不可欠であることを訴えかけた。

 「多くの経営者は一昔前に比べ、情報セキュリティに対してより関心を払うようになったが、それでもなお近年のサイバーセキュリティーに対して多くの誤解を抱いている。現代のサイバー攻撃は多様化・プロ化し、未知の攻撃手法が当たり前のように使われるようになった。またサイバー空間だけでなく、物理施設への攻撃も年々増えてきている。そんな中、企業はサイバーセキュリティをマシンルームだけでなく、ボードルーム(経営会議)でも取り上げる必要がある」(田口氏)

 その際のポイントとして、自社で本当に守るべき資産を絞り込んだ上で、サイバーリスクを指標化し、数値できちんと評価することが重要である。またセキュリティ事故を「起こしてはいけないもの」ではなく「起こるものである」と認識した上で、未然防止策だけでなく検知復旧対策にも十分な投資を行うとともに、自社の生産設備や管理施設などへ物理的な被害が及んだ際の事後対応策も準備しておく必要があると指摘する。

●暗号化に替わるまったく新しいデータ漏えい防止技術

 TCSI 代表取締役社長 田口善一氏による講演「暗号化では防げない! 情報漏えい事故にならない新発想のソリューション」では、セキュリティソリューション「PASERI」の紹介が行われた。

 ノートPCやモバイル端末の紛失に起因する情報漏えい事故を防止するために、多くの企業ではデータ暗号化やシンクライアント端末の導入といった対策をとっている。しかし、たとえデータを暗号化していても、それが流出してしまえば漏えい事故として扱われてしまう。またシンクライアント端末は、ネットワークにつなぐことができなければただの箱だ。

 一方同社が開発したPASERIでは、データを暗号化するのではなく、データを無意味化した上で複数の断片に分け、それらを別々のデバイスやロケーションに保管する。元データは、それらの断片がすべて揃わないと復元されない。例えばノートPCのデータの断片をUSBメモリやスマートフォン上に配置しておけば、万が一PCが盗難や紛失に遭ってもデータの断片さえ手元にある限り、中のデータが復元されて流出する危険性はない。

 「PASERIはユーザーが不便を感じることなく情報漏えいのリスクを低下させるため、生産性の向上につながるため、既に大手企業による採用が始まっている。今後はさらに社会の役に立つ製品にしていきたい」(田口氏)

●CMSの脆弱性に起因するセキュリティリスクにどう対応するか?

 のれん 顧客支援部 NORENエバンジェリスト 八木康介氏は、「自社のWebサイトをセキュアに構築するための基礎知識」というセッションで、セキュリティ対策におけるCMSの重要性について解説した。

 CMS(Content Management Server)とは、Webコンテンツの作成から承認、配信、管理までを一手に担うシステムのことを指す。企業が運営するWebサイトの多くで利用されている一方で、近年ではこのCMSの脆弱性を突いた攻撃が相次ぎ、大きな問題になっている。このリスクを回避するには、現在自社で利用しているCMSの脆弱性にいち早く対応するとともに、「動的CMSと静的CMS」「ファイアウォールの設置場所」など、幾つかのポイントに気を付けて運用することが重要だと八木氏は指摘する。

 「弊社のCMS製品"NOREN"のように、公開Webサーバと切り離されたアーキテクチャを採用する『静的なCMS』に対して、『動的なCMS』は公開Webサーバ上にCMSエージェントを配置してCMSのデータベースにアクセスする。このCMSエージェントの脆弱性がサイト全体のセキュリティホールに直結する危険性があるため、日頃から脆弱性に関する情報にアンテナを張っておく必要がある。またファイアウォールをCMSサーバとWebサーバの間に配置し、CMSサーバをDMZではなく社内ネットワークに配置することでもリスクを減らすことができる」(八木氏)

(ITmedia エグゼクティブ)

最終更新:10/13(木) 8:12

ITmedia ビジネスオンライン

北朝鮮からの脱出
北朝鮮での幼少時代、『ここは地球上最高の国』と信じていたイ・ヒョンソだったが、90年代の大飢饉に接してその考えに疑問を抱き始める。14歳で脱北、その後中国で素性を隠しながらの生活が始まる。 これは、必死で毎日を生き延びてきた彼女の悲惨な日々とその先に見えた希望の物語。そして、北朝鮮から遠く離れても、なお常に危険に脅かされ続ける同朋達への力強いメッセージが込められている。