IoT時代のセキュリティはかくあるべし! 有識者らが熱いリレートーク

IoT時代において、企業が行うべきセキュリティ対策にはどんなものがあるだろうか。また、そのために今からできることは何だろうか。11月30日に開催された「富士通セキュリティフォーラム2016」の基調講演では、「サイバーセキュリティ時代における技術革新と人材育成」をテーマに3名の有識者が登壇し、リレートークを行った。

登壇したのは、IPA(情報処理推進機構）理事長 富田達夫氏、日本電信電話 セキュアプラットフォーム研究所 所長 大久保一彦氏、富士通 エバンジェリスト 太田大州氏だ。3名の提言を参考に、企業としてセキュリティ対策にどう取り組むのか、今一度考えたい。

多発する脅威を前に組織はどう備えるべきか?

あらゆるモノがネットワークに接続するIoT社会を見据えたとき、最も重要なポイントの1つがセキュリティであることは言うまでもない。経営者として、今から行うべきサイバーセキュリティ対策にはどんなものがあるのだろうか。

リレートークで最初に登壇した富田氏は、IoT化が進む世界の変化について次のように説明する。

「日々、多くのデータが生み出され、2013年に4,400EBだったデータ量は、2020年には44,000EBまで増えると言われています。コンピュータ性能の向上やAIの進化により、膨大な数のセンサーが収集した情報が新たな価値を生み出す時代が到来しようとしているのです」

富田氏が想定するIoT社会では、あらゆるものがインターネットにつながり、土木・運輸・農林・厚生・金融・小売・製造など、すべての分野が変革を迎えるという。それにより、既存ビジネスが破壊され、ソフトウェアが牽引する新たなビジネスが創出されていくことが予測される。

その反面、新たな脅威も広がっていくと見られている。社会インフラがマヒしたり、企業の業務が停止したりと、被害は実世界にも及びかねない。個人の身体や生命、財産も危険にさらされる可能性がある。これを防ぐためには、何よりも「組織を守るセキュリティ人材の育成が急務」だと富田氏は主張する。

富田氏が理事長を務めるIPAでは、「情報セキュリティ」「情報処理システムの信頼性向上」「IT人材育成」という3つのミッションを掲げ、ガイドラインの策定や指導などを行っている。これらのうち、IT人材育成の一貫として、セキュリティ人材の育成に取り組んでいるというわけだ。

平成28年度からIPAが実施する情報セキュリティマネジメント試験	サイバーセキュリティ分野の国家資格も存在する

産業系サイバーセキュリティ推進センター（仮称）の構想も進む	若手IT人材の発掘・育成に向けた活動

富田氏によると、情報セキュリティの世界で最も多発する脅威は「標的型攻撃による情報流出」と「内部不正による情報漏えい、それに伴う業務停止」だという。

こうした脅威への対策にあたっては、どんなサイバー攻撃が起こり得るのか、もしくは既に起こっているのかといった情報が非常に有益なのだが、攻撃を受けた企業のなかには「攻撃されたことを公開したくない」と考える企業もある。そうした場合に、IPAが間に入ることで情報を匿名化し、攻撃内容などを周知していくというハブの役割も担っている。

数多くの事例を見てきた富田氏は、標的型攻撃に対する組織の備えとして次の3つが重要であると説明する。

1. 攻撃の上流で早期対処
2. 組織として甚大な被害を回避するための対策
3. 事案発生時のスムーズな対応

これらを行うためには、標的型攻撃メールへの十分な対応訓練が欠かせない。

また、内部不正に関しては、公表されずに内部で処理されることも多く、報道されるのは氷山の一角である。そのため、他の組織との情報共有が困難になり、各組織は自らの経験を基に独自の対策をとっているところが多いのだという。

実際のところ、内部不正が起きやすくなる要因は「動機」「機会」「正当化」にあると富田氏は指摘する。不正をするだけの理由と、実行できる機会、そして不正を正当化するだけの根拠があると内部不正の発生する可能性が高まってしまうのだ。よって、対策としては、職場の不満に対応したり、不正に対して厳しい態度を見せたりといった風土作りが有効となる。

一方で、ITに対してどの程度投資するのかは経営者の判断となる。残念ながら日本企業ではセキュリティを積極的に推進する幹部がいる企業の割合はグローバルよりも少なく、セキュリティインシデントが増加する中で、その発覚ルートが「わからない」という回答も多いのが現状だ。

インシデントが発生した場合、経営者が判断すべきことは多い。そのときに備えて十分な情報を持つことと、情報が上がってくる体制の構築が必要なのだ。