大規模な情報漏えい事件が相次いでいるが、被害に遭った大手企業にしても、セキュリティ対策を行っていなかったわけではない。むしろ「手薄なところを突かれた」と言った方が良いくらいの予防策を講じていたと言える。「手薄なところ」として狙われやすいのが、業務を委託された中小企業や関連会社のような、セキュリティ関連に予算や人材を割けない組織のシステムだ。
今後世界的なスポーツイベントが複数行われるために、日本がサイバー攻撃の標的にされる可能性が高いと言われる中、中小を含めた日本企業はいかにセキュリティ対策を取ればいいのだろうか。
セキュリティソリューションをグローバルに展開しているペンタセキュリティシステムズ(ペンタセキュリティ) 日本法人の代表取締役社長 陳 貞喜(ジン・ジョンヒ)氏は、まず経営層の意識改革が必要だと言う。
ペンタセキュリティシステムズ 日本法人 代表取締役社長 陳 貞喜(ジン・ジョンヒ)氏 |
サイバーセキュリティは経営問題
セキュリティ対策にあたっては、企業内の担当者がソリューションを選定、導入する……以前はそれだけで事足りていたかもしれないが、システムやネットワークが複雑化し、ハッカーの技術も向上してきた現在では、全社的に対策を行う必要が生じてきている。ところが陳氏が日本の顧客に話を聞いてみると、「日本は(IT分野において)平和ぼけしている」と言って、セキュリティ対策に消極的な企業もあるという。理由のひとつは投資の効果が見えにくいことにあるようだ。
こうした事態を覆すひとつのきっかけとなりそうなのが、2015年12月、経済産業省と独立行政法人 情報処理推進機構が策定した「サイバーセキュリティ経営ガイドライン ver.1.0」だ。現在、同省のサイトでも公開されている(※)。タイトルからも分かるとおり、このガイドラインが対象とするのは「ITに関するシステムやサービス等を供給する企業及び経営戦略上ITの利活用が不可欠である企業の経営者」であり、「サイバーセキュリティは経営問題」と明記しているのが特徴的だと、陳氏は指摘する。関連部署だけでなく、経営層が率先して考えなければ、スムースなセキュリティ対策や対応は不可能だということを、国が企業に認識させようとしているのだ。このことはガイドラインの冒頭、「経営者が認識する必要がある『3原則』」に明記されている。
経営者が認識する必要がある「3原則」(1)
セキュリティ投資に対するリターンの算出はほぼ不可能であり、セキュリティ投資をしようという話は積極的に上がりにくい。(中略)経営者がリーダーシップをとって対策を推進しなければ、企業に影響を与えるリスクが見過ごされてしまう。
セキュリティ対策の効果が分かるのは、インシデントを未然に防げたときだが、逆を言えばそれまでは、どれだけの投資をしても何の効果も見えてこないと言える。だが一旦不正アクセスを受けて、情報が抜き出されれば、その被害は甚大なものとなってしまうだろう。だからこそ、経営陣にしかできない投資判断が重要となってくるのだ。
経営陣にはステークホルダーへの説明責任もある
続けて他の2つの原則についても見ていこう。
経営者が認識する必要がある「3原則」(2)
子会社で発生した問題はもちろんのこと、自社から生産の委託先などの外部に提供した情報がサイバー攻撃により流出してしまうことも大きなリスク要因となる。このため、自社のみならず、系列企業やサプライチェーンのビジネスパートナー等を含めたセキュリティ対策が必要である。
冒頭にも記したとおり、大手企業にとって「手薄なところ」となり得る委託先には、十分な注意と配慮が必要となる。また委託を受けている企業側でも、独自に対策を取らなければクライアントの信用を落としかねないだろう。
経営者が認識する必要がある「3原則」(3)
ステークホルダー(顧客や株主等)の信頼感を高めるとともに、サイバー攻撃を受けた場合の不信感を抑えるため、平時からのセキュリティ対策に関する情報開示など、関係者との適切なコミュニケーションが必要である。
最近、日本企業が情報漏えいに際して行った謝罪会見を見た陳氏は、「適切なコミュニケーション」に関して、企業の意識が変わりつつあるのを感じたという。
「謝罪だけではなく、情報漏えいの経緯をきちんと分析していて、データベースの暗号化ができていなかったことへの反省や、アクセス権限がどうやって奪われたかが不明なことなどを、経営陣の方が正直に話されていました。上層部が率先して原因究明に乗り出していることが分かります。この企業の会見姿勢は、今後、同様の事件に巻き込まれた企業にとって、事後対応の一つの事例となるかもしれません」(陳氏)
将来的には法律の厳格化も - 早期の対策が重要
ペンタセキュリティが本社を置く韓国では、情報セキュリティに関して厳格な法整備がなされており、情報漏えいも程度によっては経営陣が逮捕され、裁判にかけられることがあるという。日本でも今後、マイナンバーを利用したサービスが幅広く展開していけば、個人情報保護法で定められた指導や罰金よりも厳しい罰則を伴う、強制力の大きい法律が成立していくだろうと陳氏は予測する。そうした将来へ向け、企業の経営陣として、すぐにでもチェックしておくべきセキュリティのポイントを陳氏に聞いた。
「当社では攻撃を2種類に分類しています。ひとつは外部からの侵入。もうひとつは侵入後の内部情報の盗み出し。まずはこのふたつに絞って対策を検討するのがいいでしょう。外部からの侵入パターンはいろいろあり、OSI参照モデルのセブン・レイヤーを元に考えても、対策を講じなければならない層は複数にわたっています。企業側で、まず手を付けるべきセキュリティ対策の入門編は、一番突かれやすいWEBでしょう。WEBセキュリティ対策には、WAF(Web Application Firewall)があります。侵入後の内部からの盗み出しについては、データを暗号化しておくことをお奨めします。さらにデータベースとセキュリティは、扱う人員を分け、それぞれの権限も分離しておくべきでしょう。機微なデータにおいて権限分離は基本中の基本ですが、非常に重要です」(陳氏)
なおペンタセキュリティでは、10年以上の歴史と世界的な実績を持つWAF「WAPPLES(ワップル)」の他、クラウド基盤のWebハッキング遮断サービス「Cloudbric(クラウドブリック)」や、商用DB暗号化ソリューション「D’Amo(ディアモ)」、OSSデータベース暗号化ソリューション「MyDiamo(マイディアモ)」など、比較的安価で簡単に導入できるセキュリティソリューションを取り揃えている。
「セキュリティの専門知識を持つエンジニアが不足しているなか、導入を検討する側に少ない負担で導入してもらえるソリューションを提供していくのが、セキュリティ・ベンダーとしての使命だと考えています」(陳氏)
中小企業でのセキュリティ対策として、あるいは大企業が委託先に推薦するシステムとして、この機会に同社のソリューションを検討するのも良いかもしれない。関心をお持ちの方はぜひ試してみていただきたい。
(マイナビニュース広告企画 : 提供 ペンタセキュリティシステムズ)
[PR]提供:
