ランサムウェアによる被害や情報漏えい事故のニュースが日常化し、どこか感覚が麻痺してはいないだろうか。「うちは専門家がいないから」「大企業の話だろう」——そんな他人事の意識こそが、組織最大の脆弱性かもしれない。
12月15日~16日に開催されたウェビナー「TECH+セミナー セキュリティ2025 Dec. 総決算 堅牢なセキュリティ組織を武装する『サイバーレジリエンス』のすすめ」に、大阪大学 D3センター 教授であり、同大学のCISOを務める猪俣敦夫氏が登壇。技術論に留まらない「組織と人」の変革について、自身の経験と豊富な事例を交えて語った。
「うちは大丈夫」という慢心が招いた2017年の悪夢
「私はスーパーコンピューターセンターの所属であり、本来であればセキュリティの専門部署所属ではありませんでした。しかし、ある事情によって関わらざるを得なくなったのです」(猪俣氏)
講演の冒頭、猪俣氏は自身がCISOとしてセキュリティの指揮を執るに至った経緯について、2017年に大阪大学を襲った2つの事故を挙げて振り返った。
そしてもう1つは、入試問題の出題ミスである。これはセキュリティに関係するものではないが、組織のレジリエンスを問われる象徴的な出来事だった。外部からの指摘で発覚したミスに対し、調査と対応に時間を要してしまったのだ。
「入試ミスは人の人生を狂わせかねない重大な事故です。火事と同じで、即座に火消し(対応)をしなければなりません。しかし、対応が遅れたことで、受験生は浪人を余儀なくされたり、他大学へ入学したりと、取り返しのつかない事態を招きました。謝罪だけでは済まされないのです」(猪俣氏)
同氏はこれら一連の経験から、事故が起きて初めて自分たちの弱さを痛感したという。そして、有事の際こそトップが逃げ腰にならず、先頭に立って指揮を執ることの重要性を説く。「専門家ではないから」「大きな組織ではないから」という言葉は、被害者にとって何の言い訳にもならないのである。
攻撃者の視点を持ち、防御偏重から脱却せよ
日本の組織は、セキュリティにおいて防御の考え方が強く、優秀なソリューションを導入することには熱心だ。しかし、それでもランサムウェア被害は後を絶たない。猪俣氏はその原因を「攻撃者の視点を見てこなかったツケ」だと指摘する。
「寒い地域に住む人が寒さに耐えられるのは、どうすれば身を守れるか、その環境(脅威)を知っているからです。しかし、サイバーセキュリティに関しては、攻撃者が何を狙っているのかを意識せず、とりあえずEDR(Endpoint Detection and Response)などのソリューションを導入するだけで安心しているケースが散見されます」(猪俣氏)
攻撃者は、防御側がどのような対策を講じているかを知ったうえで攻撃を仕掛けてくる。TTPs(Tactics, Techniques, Procedures:戦術・技術・手順)と呼ばれる攻撃者の手口を理解し、防御に活かすオフェンシブセキュリティの考え方が不可欠だと同氏は強調する。
ここで例に挙げられたのが、信号機のない円形交差点「ラウンドアバウト」だ。一見危険に見えるが、信号がないためにドライバーは自ずと周囲の安全を意識し、予測しながら運転するため、結果として事故が少なくなるという。
-
オフェンシブセキュリティの例「ラウンドアバウト」
「『自分たちにとってどこが弱いのか』『攻撃はどこから来るのか』を、平時の何も起きていないときに見ておくことこそが重要です。これがオフェンシブセキュリティの考え方に通じます」(猪俣氏)
組織にとっては、炎上・誹謗中傷も重大な脅威
レジリエンスが求められるのは、マルウェアや不正アクセスといった技術的な脅威だけではない。猪俣氏は、SNSや口コミサイトにおける誹謗中傷やネガティブな意見も、現代の組織にとっては重大な脅威であると警鐘を鳴らす。
例えば、Googleマップの口コミで、数百件の良い評価の中にたった1件の星1つと悪意あるコメントが混じるだけで、全体の印象は大きく損なわれる。プラットフォーマー側はユーザーの意見として扱うため、当事者が削除を求めても容易には対応されないのが現実だ。
「これは技術的な話ではありませんが、組織にとってはリスクに直結します。炎上は恐ろしい脅威ですが、これまでは当事者を守る法律が不十分で、泣き寝入りするしかありませんでした」(猪俣氏)
現在は、情報流通プラットフォーム対処法などにより、削除申し立ての迅速化や透明化が進みつつあるが、組織としてはネガティブなコメントの重みを理解し、ネットでの発信が持つリスクを常に意識しておく必要がある。
予算をかけずにできる組織視点の対策
「うちには専門家もいないし、予算もない」と嘆く前にできることはある。猪俣氏は、技術的なソリューションに頼る前に、組織内の各層が意識を変えることで実行できる対策を提案した。
まず、一般職員は、新しいソフトウェアの導入や新規のアクセス先への接続に対し、「これはリスクがありそうか?」とPoCのような感覚で一度立ち止まって考える。一方、管理職や経営層は、自社が事故を起こした場合、サプライチェーンや取引先にどのような影響が及ぶかを想像する。自社のシステム停止が物流や在庫にどう波及するかを普段からシミュレーションしておくことが重要だ。
また、BCP(事業継続計画)についても同氏は、ITシステムの復旧を指す「IT-BCP」と、組織活動の復旧を指す「組織-BCP」を明確に区別すべきだと説く。
「IT-BCPはルーターやストレージの復旧、ログ解析といった技術的な話です。ここばかりに注力すると、組織を正常に戻すという本来の目的が蔑ろにされ、犯人探しがゴールになってしまいがちです」(猪俣氏)
とくにバックアップについては、「最新鋭のRAID(Redundant Array of Inexpensive Disks)システムを入れているから大丈夫」という慢心を戒める。
同氏は、実際にランサムウェア被害に遭った際、最新のディスクバックアップは暗号化されてしまったが、処理速度が遅く過去の遺産だと思われていたカセットテープのバックアップが生き残っており、そこから復旧できた事例を紹介。「新しいものを入れているから安心、古いものは捨てる、ではなく、使えるものは何かを見極める視点が大切」だと語った。
重要なのは、「How」ではなく「Why」- 心理的安全性が組織を守る
講演の終盤、猪俣氏はベネッセコーポレーション(2014年)やNTT西日本グループ(2023年)で発生した内部不正による情報持ち出し事案に触れた。これらは技術的な不備というよりも、「なぜ長期間誰も疑わなかったのか」「なぜ情報が持ち出される環境が放置されていたのか」という組織風土の問題である。
「問題なのは、技術的にどう漏えいしたか(How)ではなく、なぜ漏えいしたか(Why)です。『怒られるのが怖い』『評価に響く』といった心理が働き、不都合な事実がエスカレーションされず、現場で隠蔽されたり、取り繕われたりします。これが被害を最大化させてしまうのです」(猪俣氏)
サイバー攻撃やインシデントへの対応は、初動のスピードが命だ。放置すればするほど、被害範囲は拡大する。
「『よく報告してくれたね』と、初動の素早さを称賛するような組織風土に変えていかなければなりません。現場が疲弊するだけの無意味な点検表を増やすのではなく、心理的安全性を担保し、すぐに報告できる土壌をつくること。それを主導できるのは経営者だけです」(猪俣氏)
レジリエンスの源泉は「人」にある
猪俣氏は講演を、「レジリエンスを高める力は、技術だけではない。組織を構成する『人』にある」という言葉で締めくくった。
セキュリティ担当者は、事故が起きなければ何もしていないように見えがちだ。しかし、平時から組織を守り続けている人材や取り組みを経営として正当に評価することこそが、真のレジリエンスへの第一歩となる。
他人事を自分事へ。技術視点から組織・運用視点へ。そして、叱責から称賛へ。経営層が意識を変え、現場との信頼関係を築くことこそが、どんな堅牢なシステムよりも強力なセキュリティ対策となるだろう。
Windows 11更新プログラム「KB5074109」でOneDriveに不具合、Outlookなどアプリに影響