日本と海外で大きく異なる経営者のセキュリティ意識
テクノロジーイノベーション(技術革新)は必ずしも手放しでよろこぶべき事柄ではない。なぜならサイバー攻撃技術も同時に成長し、我々はサイバーセキュリティの危険にさらされているからだ。当初はサーバーに大量のアクセスを行うことで、過度な負荷を与えてサービス提供を妨害するDoS攻撃やWebページの改ざんといった稚拙な攻撃だったが、利便性の向上を求めた相互接続などネットワークの拡大によって被害が広がっている。
警察庁生活安全局情報技術犯罪対策課が2015年10月にまとめた「不正アクセス行為対策等の実態調査 調査報告書」。200ページにのぼる報告書には、無線LANやID・パスワードの管理方法、クラウドサービスの利用状況、Webサイトの管理から被害遭遇時の届出機関などが掲載。各企業や法人がどのような実際にどのような対策を施しているかがわかる |
警察庁が2015年10月にまとめた「不正アクセス行為対策等の実態調査」によれば、今現在でもWebページの改ざんやメールの不正中継といった被害が全体の50パーセントを占め、サイバー攻撃の手段もマルウェアなどを使った感染や社外からの不正アクセスが多いという。このようなサイバー攻撃に対して、対応する管理体制もシステム運用管理者が兼務するケースが74.9パーセント。専従の担当者を設置している企業はたった11.7パーセントという状況だ。
日本マイクロソフトが2015年12月に開催したセミナー「サイバーセキュリティと企業経営リスク」で、同社代表執行役社長の平野拓也氏は「サイバーセキュリティは経営問題」と強く主張している。同社チーフセキュリティアドバイザーの高橋正和氏も「セキュリティ問題はサーバールームから役員室へ」と同様の主張を行っていた。これは某量販店のクレジットカード情報が流出し、和解金を支払ったことから株主がCEOを退任させた事例を元にしている。このようにサイバー攻撃による結果がブランドイメージや業績ダウンといった影響にとどまらず、経営責任を問われかねないのが現状だ。
経済産業省と独立行政法人 情報処理推進機構が作成したサイバーセキュリティ経営ガイドライン。セキュリティ投資に対するリターン算出はほぼ不可能であるにも関わらず、その影響は大きい。セキュリティ対策を具体的なフレームワークとして、いかに構築して備えるかについて明解にまとめてある |
だが、前述したように肝心の企業経営者の意識は決して高くない。経済産業省が2015年12月に公開した「サイバーセキュリティ経営ガイドライン」によれば、積極的にセキュリティ対策を推進する経営幹部がいる企業は日本の27パーセントに対して、ワールドワイドでは59パーセント。サイバー攻撃予防は役員レベルで議論すべきか?という問いに対しても日本は同意意見が52パーセントだが、ワールドワイドでは88パーセントにもおよぶ。これらのデータはプライスウォーターハウスクーパースの「2014 Global State of Information Security Survey」と、KPMGジャパンの「KPMG Insight 日本におけるサイバー攻撃の状況と課題」をもとに同省が作成したものだが、あまりにも差が大きい。平野氏も「海外と日本では大きな隔たりがある」と同セミナーで語っていた。
 |
 |
日本と海外の経営者のセキュリティに対する意識調査の比較(サイバーセキュリティ経営ガイドライン内データより作成) |
|
終わりのないサイクルに対して、経営者が取り組むべき対策とは?
しかし、サイバー攻撃者にとって国境は存在しない。経営者のセキュリティ意識云々に関わらず、システムの脆弱性をみつけてはサイバー攻撃を仕掛けてくる。ラック サイバーセキュリティ本部 理事の長谷川長一氏はインシデント(サイバー攻撃事例)の傾向として、以前は重要インフラを扱う業種が狙われていたが、直近の調査結果によれば、業種を問わずにサイバー攻撃を受けていることを明かした。さらにインシデント再発割合も2012年には8パーセントにとどまっていたが、2013年は21パーセント、2014年は28パーセントと増加傾向にあるという。
その理由として長谷川氏は「サイバー攻撃を受けた企業は対策を講じるが、(技術革新の速度にサイバー攻撃対策が追いつかず)数年後には通用しなくなる」と説明した。つまりIT技術の進化は、そのままサイバー攻撃技術の進化とイコールとなり、防衛する企業側も日々対策を講じる必要がある。
もちろん経営者が常にセキュリティ対策を行う必要はない。セキュリティ対策を推進する経営幹部を設ければ済む話である。だが、同時に組織全体を見直す必要があることを忘れてはいけない。長谷川氏はセキュリティ対策の実施順序として、最初に「セキュリティ監視と不正通信の洗い出し」を行い、次に「インシデントを前提とした組織体制の構築と、社員の意識改革および教育」を実施。そして「インシデント対策チームの組織化」や「サイバー攻撃発生を見越した演習」という例を挙げている。このように会社全体の管理体制の変更を伴うため、セキュリティ対策は単なる専任者ではなく経営層の判断が必要になる。
他方でセキュリティ対策は、設備投資のように金額に置き換えにくい部分があるのも事実だ。そのためセキュリティ対策は「力のいれどころと抜きどころが重要」と、ディアイティ クラウドセキュリティ研究所 所長の河野省二氏は語る。経営者はどこまでセキュリティ対策の現場に権限を与えるべきか、経営層が判断する情報として何を提示させるか明示しなければならない。
セキュリティ対策の現場は目的に応じた対策を行うと同時に、ログなどを視覚的にまとめたレポートを経営層へ報告する一定の仕組みを作り出す必要がある。経営層はレポートをもとに意図したセキュリティ対策が講じられているか、さらなる改善が必要なのか判断すればよい。企業におけるセキュリティ対策は単発ではなく、中長期経営計画とともに取り組む覚悟が必要だと河野氏は強調した。
IDS(侵入検知)やログ解析といったセキュリティ管理や、ワンタイムパスワード、生体認証といった認証技術など、セキュリティ対策に必要なアプローチは多岐にわたる。さらに"何を保護するのか"と目的を明確にしなければならず、経営者としてセキュリティ対策は頭の痛い問題だろう。だが、技術革新がとどまることはなく、サイバー攻撃者も手を緩めることはない。顧客や株主といったステークホルダーの信頼度を高めるためには、常日頃からのセキュリティ対策や情報開示といった取り組みが目下の急務だ。
阿久津良和(Cactus)
