マネジメントのためのサイバーセキュリティ Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers - Japan 制作・編集協力 日経 BP 社 Part of this book was authorized translation from the English language edition of Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers, 1st edition, ISBN: 978-0-9964982-0-3, published by Caxton Business & Legal, Inc, Copyright Ⓒ 2015. All rights reserved. No part of this book may be reproduced or transmitted in any form or by any means, electronic or mechanical, including photocopying, recording or by any information storage retrieval system, without permission from Palo Alt Networks, Inc. 本書には、Palo Alto Networks, Inc. およびそれぞれの原著作者の許諾に基づき 翻訳した内容を含みます。翻訳された日本語版についての権利は、パロアルトネ ットワークス株式会社が保有します。 翻訳された日本語版の内容および原語を問わない各著作者の著作の記述内容に ついて、パロアルトネットワークス株式会社は最大の努力を払い正確性を期して いますが、本書の内容に基づく運用の結果については責任を負いかねますので、 ご了承ください。 パロアルトネットワークス株式会社に所属しない組織または個人による著作の 著作権はそれぞれの作品の原著作者に帰属します。 本書の著作権はパロアルトネットワークス株式会社が保有します。 本書で使用するシステム名、製品名はそれぞれ各社の商標、または登録商標で す。 なお、本文中では、TM、Ⓡ、Ⓒ マークは省略している場合もあります。 ごあいさつ パロアルトネットワークス株式会社 代表取締役会長兼社長 アリイ・ヒロシ 2015 年 10 月、パロアルトネットワークス米国本社とニューヨー ク証券取引所が本書の原書にあたる Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers を 共 同 で 刊行いたしました。ニューヨーク証券取引所や世界経済フォーラムを はじめとし、経営層、法曹界、サイバーセキュリティ専門家、学術研 究機関、政府関係機関など、じつに 80 を超える有識者様から幅広く サイバーセキュリティに関する知見をいただきました。おかげさま で、 「経営層ならばぜひ読むべきアンソロジー」としてたいへん大き な反響をいただいております。この成功をうけて日本の多数の有識者 様に執筆を依頼して制作されたのが日本版にあたる本書となります。 すべてがデジタル化された時代において、サイバー犯罪に国境はあ りません。しかしながら、サイバーセキュリティ関連の法律や規制、 産業構造は地域ごとに異なります。このため、地域ごとに見るとどう しても前書ではカバーしきれない領域が生じます。そうした地域の事 情にも対応し、米国のみならずグローバルを対象として各国有識者の 知見を敷衍することができれば、 「企業」という枠組みを超えた情報 共有が進むことでしょう。そうすれば、これまでよりずっと次元の高 いサイバーセキュリティを実現できるはずです。 本書の制作の意図も、お読みになった皆さんが自社のサイバーセキ ュリティの現状を把握し、そこから一つでも具体的なアクションに落 とし込める「気づき」を得ることで、官民全員参加の「より安全で安 定したデジタル時代」の実現を支援することにあります。 iii 経営層にとってこの「デジタル時代」は諸刃の剣といえる非常に扱 いの難しいものです。デジタル化が自社にとってビジネス発展の前提 条件であることはもちろん理解していますし、 「デジタル化」の裏の 顔といえるサイバーリスクについても、ほんの 2 年前までバックオ フィス扱いしていた頃に比べれば、ずいぶん意識も高まってはきてい ます。しかしながら、現実には毎日のようにどこかの企業がセキュリ ティ侵害を受けたと報じられていますし、経営層の意識が高まったと はいっても、その理解が十分ではなかったり、古すぎて時代に合って いない場合も多々あります。たとえば私がお話をうかがったお客様の なかには「サイバーセキュリティにかけられるコストはこれだけだか らこの予算内で対応したい」というアプローチの方が非常に多くみら れますし「弊社は 4 社もの製品を導入しているからセキュリティ対 策は万全」という考えの方もおられます。これはどちらも不十分であ ると同時に時代に合ってはいないのですが、それを理解できている経 営層は残念ながらまだまだ少ないのです。 そうは言っても、経営層にも言い分はあるでしょう。「いろんな分 野の専門家がそれぞれに違うことを言っていて、結局どれが本当に自 分にとっての正解なのかわからない」というのがそのひとつです。本 書でも様々な立場の専門家がそれぞれの立場から発言しておられま す。保険業界にくわしい専門家はサイバー保険について、セキュリ ティ対策製品のベンダー企業は技術的対応による対策について、コン サルティング企業は従業員の意識向上トレーニングについて説明し ています。たしかに「ベストプラクティスがたくさんありすぎて、い ったいどれが本当にベストなのか」と言いたくなる気持ちはわかりま す。しかしながら、これらはそのどれかひとつのアプローチが正解な のではなく、そのどれもが並行して正解ということを知る必要があり ます。それはちょうど「長生きをするための秘訣」を問われたとき、 iv ごあいさつ 「治療費を払えるよう保険に入っておくこと」 、 「病気にならぬようワ クチンを接種すること」 、 「栄養面で食事指導を受けること」のすべて が「長生き」という目的のための正解であるのと同じことです。 しかしながら、どれにより重きを置くかはひとそれぞれに異なりま す。ちょうど「保険をかけない場合に失う価値を保険料が正当化で きるか」、 「ワクチンの必要な病気が流行している地域に住んでいる か」 、 「栄養管理指導料は適切か」などが個々人の置かれた状況によっ て異なるのと同じです。しかも、サイバーセキュリティ対策に割くこ とのできる予算や時間はどの組織でも有限ですが、あまたのアプロー チをすべて試すことはできません。そこで、様々な専門家が紹介する ベストプラクティスを自社の状況と比較することで、自社にとってよ り優先度が高く、したがって今後の経営会議の議題とすべきセキュリ ティ課題が何であるか、そのバランスを見つけていくことが重要とな ります。読者の皆さんにはそのヒントを本書の行間に見つけていただ きたいのです。 本書にはいろいろな立場からの言葉がありますが、通底する認識が あります。それは、特定の企業一社だけでなく、官民、業種、業界の 垣根を越えて活発にサイバーセキュリティについての情報共有をしな ければ、本当の意味で効果的な対応は難しいだろうという危機意識で す。皆さんが自社のサイバーセキュリティ対策について不安を感じ、 まだ十分な対応ができていないと認識しているのであれば、ぜひそう した情報共有の場をまずは親しい経営層の方々と持つことを検討して ください。またそのさい、本書をご携行いただき、「専門家からこん な意見があるようだけど、あなたはどう思いますか」と話のきっかけ にしていただければ、非常に嬉しく思います。そうして共有した情報 から、経営者の皆さんご自身が、 「経営者がデジタル時代のサイバー セキュリティ実現の主導者であることは当たり前」という認識を持つ 時代が到来すれば、サイバーセキュリティ啓蒙への高い熱意をもって v 本書へ快くご寄稿いただいた執筆者の皆様にとっても、サイバーセキ ュリティ対策の一翼を担う一企業としても、これにまさる喜びはあり ません。 パロアルトネットワークス株式会社 代表取締役会長兼社長 アリイ・ヒロシ(Hiroshi Alley) 米国 Palo Alto Networks の日本法人、パロアルトネットワークス株式会社の代 表取締役会長兼社長。パロアルトネットワークスの日本市場における戦略の構 築、ビジネス成長へ向けた活動を統括。 米国メイン州立大学卒業後、本田技研工業米国法人で営業、マーケティング、技 術、品質管理を担当。P&O ネドロイド(現 A.P. モラー・マースク)に移籍後、 日本に赴任し事業戦略部門の責任者としてアジア太平洋地域を統括。その後日本 BEA(現・オラクル)に営業職として移籍し、様々な要職を歴任したのち 2005 年に同社代表取締役社長に就任。2007 年、ウィプロ・ジャパン代表取締役社長に 就任、同社の企業向け IT サービスの成長に寄与。2011 年より F5 ネットワーク スに代表取締役社長に就任、同社の企業、政府、サービスプロバイダ向けビジネ スの成長に貢献し、2014 年 8 月 1 日、パロアルトネットワークス合同会社(組 織改編を経て現在はパロアルトネットワークス株式会社)代表執行役員社長に就 任、現在に至る。 vi ごあいさつ はじめに パロアルトネットワークス株式会社 副会長 齋藤 ウィリアム 浩幸 私たちは、複雑に張り巡らされたネットワーク化社会のなかで、情 報、ビデオ、画像、個人データを前代未聞の速度で交換しあいながら 生きています。いまは情報の時代であり、データこそが最も価値の高 い資源です。この時代はまた、高いスキルを持った悪質なハッカーを も魅了する時代です。彼らはみな精力的にサイバーセキュリティシス テムの脆弱性を悪用し、住所氏名などの個人情報、ログイン ID、パ スワード、医療情報などを窃取し、悪用し、売却しています。 世界中で国家的ハッキングインシデントがおこっていますが、たと えばアメリカ合衆国人事管理局(OPM)への攻撃では、2100 万人を 超えるアメリカ国民の記録が被害を受けています。どこの国のコンピ ューターシステムも不正アクセスされており、その規模は増大すると ともに重篤度も高まっています。大規模な攻撃のターゲットには、 玩具メーカー、モバイル通信事業者、銀行、メディア媒体、出会い系 サイト、健康保険会社などが含まれ、米国最大の健康保険会社は約 8000 万人の個人情報漏えいを伴う攻撃被害にあっています。 情報通信技術(以降「ICT」と略します)の経済成長を阻害してい る唯一最大の問題は、コンピューターセキュリティです。コンピュー ターセキュリティまたはサイバーセキュリティの概念は、ハッキング 自体と同じだけ古く、それは第二次世界大戦やそれ以前における暗号 解読にまで遡ることができます。インターネットもまた元来はアメリ カ国防総省の軍用設備の一部として 1969 年に開発されたものです。 当 時 は、ARPANET( ア ー パ ネ ッ ト、Advanced Research Projects Agency Network)と呼ばれていました。しかし、コンピューターネ vii ットワークのハッキングが広く大衆の関心を引くようになった原因 は、その 10 年程後に発表されたコンピューター侵入に関するセンセ ーショナルな報告と、コンピューターハッキングをポップカルチャー の一部にしてしまった 1983 年の SF 映画「ウォー・ゲーム」のよう な架空の物語です。 サイバーセキュリティは長らく懸念事項ではありましたが、この 10 年で個人やビジネス、そして政府にとっての重要性が増大してい ます。その理由は、データの集約化、クラウドサービスや仮想化やモ バイル化へのシフト、IoT(モノのインターネット)機器の増大、あ まりに早い技術革新速度にセキュリティチームの対応が遅れをとって いる状態、データ侵害の増大とそうした侵害事件による被害の深刻化 などです。他に技術的傾向として、クラウドや機械学習、そしてビッ グデータの発達といったものもあげられるでしょう。 ソフトウェアとハードウェアの環境は、それ自体がより複雑さを増 しているエコシステムであり、インタラクティブな機器、ネットワー ク、人そして組織といったもので形成されています。サイバーセキュ リティ問題とは、テクノロジーベンダーから経営者チームにいたる数 多くの関係者の自発的な参加や協力、投資がなければ解決できない問 題です。また、実際にはいくつもの問題が複雑に合わさったもので、 それぞれに断固とした行動が必要な問題でもあります。したがって、 官民が力を合わせることと、サイバーセキュリティの課題に対処する ために、限られた資源の中で何が使えるか優先順位を付けることが必 須となります。 サイバーセキュリティ問題への取り組みは、官民のいずれかだけに 背負わせてはなりませんし、官民いずれかだけに任せることはそもそ も不可能です。お互いがお互いに常に対策に苦慮していることを理解 しなければなりません。サイバーセキュリティへの取り組みを難しく している関係機関各所の文化と意識を変えることが必須であり、官民 が共に働き、信頼関係を構築し、コミュニケーションや知識、そして viii はじめに 情報共有に関して改善していかなければなりません。 それでは、どうすれば官民のバランスがとれるのでしょうか。それ にはまず、民間が政府からの支援や、政府主導のサイバーセキュリテ ィ対応を期待して座して待つことをやめなければなりません。他方、 政府は民間がサイバーセキュリティ事案に革新的な方法で対処しよう としているとき、その動きを阻害しないよう配慮せねばなりません。 なぜなら、ほとんどの ICT インフラは民間の維持するネットワーク や設備上にあるからです。政府がサイバーセキュリティに関してリー ダーシップを取ろうとすると、そこには衝突や混乱、不信感が生まれ る可能性があります。このため、官民協働について、新たな方法を模 索しなければなりません。産学官民が一体となり、多様な視点を活用 して協働しなければならないのです。そしてその結果、効果的なルー ルやフレームワークを構築していく必要がありますし、その途上で技 術革新を妨害したり、信頼を損なったりしないようにしなければいけ ません。サイバーセキュリティの課題には、国内とグローバル双方 のステークホルダーをすべて巻き込んで対応しなければならないので す。 日本はこの課題に関して世界で独特のポジションにいます。急激な 高齢化と人口縮小、そして 2020 年夏のオリンピックといった国家的 一大イベントを控えているといったことから、自動化、IoT、ロボテ ィクスそして自動走行車といったものの活用において、日本は諸外国 に先行しています。これらが真に生産的なものになるかどうかは、全 て ICT とサイバーセキュリティにかかっています。この点がわかっ ているからこそ、サイバーセキュリティが ICT の根幹にあって、テ クノロジーの恩恵を最大限まで適切に活用するべきである、と強調す ることが重要なのです。このことを無計画に、また中途半端に行うこ とは決して許されません。 日本は、セキュリティと安全性に関する注力によってその名を高め ているこの ICT の世界で、サイバーセキュリティを単に防御ツール ix としてだけではなく、差別化を図り、競合に先行し、競争力を高める ための機会として活用しなければならないのです。 本書はこうした「産学官民一体の取り組み」へむけた一歩として、 産学官民の数多くの有識者からご意見をいただき、編纂したもので す。同じ意見、異なる意見、様々あるなかから、皆さんの所属組織の サイバーセキュリティに役に立つ情報やベストプラクティスが見つか ることを、サイバーセキュリティ対策への共通の情熱をもってご執筆 くださった皆様とともに、心から願ってやみません。 パロアルトネットワークス株式会社 副会長 齋藤 ウィリアム 浩幸 (William H. Saito) 1971 年カリフォルニア生まれの日系二世。16 歳でカリフォルニア大学リバーサ イド校に合格。同大学ロサンゼルス校(UCLA)医学部を卒業。10 代で商用ソフ トウェアのプログラミングを始め、その大学在学中に I/O ソフトウェアを設立。 1998 年に 27 歳で「アントレプレナー・オブ・ザ・イヤー」(アーンスト・アン ド・ヤング、ナスダックおよび USA トゥデイ主催)を受賞。暗号、生体認証、 サイバーセキュリティに関する第一人者でもある。 BAPI という生体認証システム技術を開発し、マイクロソフト社を含む 160 社以 上の企業とライセンス契約を結ぶ。BAPI は事実上の世界標準規格となり、2004 年に自社をマイクロソフト社に売却した。 2005 年に拠点を東京に移し、株式会社インテカーを設立。コンサルタント会社 として、企業がグローバルに認められ、革新的な技術がビジネスとして成功する ための助言を行いながら、時としてベンチャー企業に資金援助も行う。アントレ プレナーの手助けに情熱を傾ける傍ら、日本の政府機関への協力や、大学の講 義、政策提言を行う。講演活動をはじめ、出版物やテレビなどメディアを通じて 情報発信している。 2012 年には、総理大臣直属の国家戦略会議で委員を拝命し、また日本の憲 政史上初めて国会に設置された、東京電力福島原子力発電所事故調査委員会 (NAIIC)では、IT などのインフラ設備構築で手腕を発揮した。また、2013 年 12 月より、内閣府本府参与に任命されている。2015 年 6 月パロアルトネットワ x はじめに ークス株式会社副会長に就任。 海外では、世界経済フォーラムから「ヤング・グローバル・リーダー」(2011 年)および「グローバル・アジェンダ・カウンシル」(2011 年)のメンバーとし て選出され、その後同フォーラムのボードメンバーにも任命されている。 各国の政府機関に対する支援活動を行うなか、日本では、経済産業省、総務省、 文部科学省、国土交通省、独立行政法人・産業技術総合研究所、情報処理振興事 業協会などの機関に対して支援協力の実績がある。 著書としては、2011 年に出版された自伝本『An Unprogrammed Life』(John Wiley & Sons, 2011)の他に、日本語本『ザ・チーム─日本の一番大きな問題 を解く─』(日経 BP 社、2012 年)、『その考え方は、「世界標準」ですか?』(大 和書房、2013 年)、『IoT は日本企業への警告である』(ダイヤモンド社、2015 年)『ザ・チェンジ・メイカー』(日本経済新聞出版社、2016 年)が出版された。 また 2012 年、日経ビジネス「次代を創る 100 人」に選抜されている。 xi 目次 iii vii ごあいさつ………パロアルトネットワークス株式会社 アリイ・ヒロシ はじめに………パロアルトネットワークス株式会社 齋藤ウィリアム浩幸 サイバーセキュリティの現状 18 防止は可能か…………パロアルトネットワークス マーク・マクローリン 32 効果的なサイバーリスク・マネジメントの統合的アプ ローチ…………アメリカ合衆国エネルギー省 元 CIO ロバート・F・ブレス 46 サイバー時代の新常識の舵を取る…………国連安保理 ジャン = 56 サイバー空間における攻撃側と防御側の格差拡大 66 IoT 時代のサイバーセキュリティ………株式会社日立製作所 74 サイバーセキュリティ —グローバルな視点から見えてく ポール・ラボルデ、世界経済フォーラム ダニル・ケリミ …………株式会社サイバーディフェンス研究所 名和利男 宏明 中西 ること…………国際刑事警察機構 中谷昇 企業経営とサイバーセキュリティ 84 企業幹部に求められるサイバーセキュリティの知識と 行動…………アメリカ合衆国元大統領特別補佐官 リチャード・A・クラーク 90 取締役会でのサイバーセキュリティレビュー指針の策 定…………Stroz Friedberg 社 ポール・ジャクソン 108 企業経営とサイバーセキュリティ…………内閣官房 内閣サイバーセ キュリティセンター (NISC) 三角育生 118 日本のサイバーセキュリティ経営ガイドライン:変わ りつつある日本のビジネス観とグローバルレベルの向上への 貢献の可能性…………パロアルトネットワークス株式会社 松原実穗子、パロア ルトネットワークス ダニエル・クリズ 130 経営としてのサイバーセキュリティ…………NTT 横浜信一 142 企業リスクの一部としての情報セキュリティ…………Sony グループ ジョン・シモーネ ベストプラクティス設計 156 敵は何を狙っているのか 脅威にもとづくサイバーセキュ リティ・リスク・マネジメントのアプローチ…………インターコンチ ネンタル取引所 およびニューヨーク証券取引所 ジェリー・ペルロ 168 現状を打破する: 侵害防止のための設計…………パロアルトネット 194 情報セキュリティ対策は環境適応の一環で考えよう 206 未来にむけて:プロフィットセンターとしてのサイバーセキュ ワークス デイビス・Y・ヘイク …………株式会社ラック 西本逸郎 リティ…………パロアルトネットワークス株式会社 齋藤ウィリアム浩幸 インシデントレスポンス 214 サイバーインシデント後のコミュニケーション ………… Sard Verbinnen & Co 社 スコット・リンドロウ サイバー・リスク・マネジメントにおける投資判断 228 サイバーエクスポージャー最小化のための投資最適化 …………Axio Global 社 スコット・カンリー、デイビッド・ホワイト、ジェ イソン・クリストファー サイバーリスクと従業員教育 242 サ イ バ ー 教 育 は 終 わ り の な い 仕 事 …………NYSE Governance 254 サイバーセキュリティに対応した取締役会の構築 Services 社 アダム・ソドウィック …………Korn Ferry 社 ジェイミー・カミングス、ジョー・グリースディッ ク、アイリーン・アレクサンダー サイバーセキュリティと法的側面 270 情報セキュリティマネジメントと企業の責任…………TMI 総 合法律事務所 大井哲也 重要インフラとサイバーセキュリティ 282 重要インフラのサイバーセキュリティ強化…………一般社団 292 デジタル時代の制御系システムと情報セキュリティ管 理:重要インフラからの視点…………東京電力ホールディングス株式会社 法人日本経済団体連合会 谷口浩 梶浦敏範 サイバーセキュリティの 現状 防止は可能か パロアルトネットワークス 取締役会長、社長兼最高経営責任者 マーク・マクローリン 18 防止は可能か 大企業や政府機関での情報セキュリティ侵害ニュースが毎日のよう に紙面見出しを飾っています。なぜこれほどまでに事件が続くのか、 いつかは終息するのか、そうした疑問の声が後をたちません。 サイバーセキュリティの問題が日々のニュース報道にすっかり定着 し、世界中の企業や政府からの多大な投資と注目を集めているのには わけがあります。こうした侵害によって、デジタル化が進んだ私たち のライフスタイルが危険にさらされているという認識が高まってい るのです。これはけっして誇張ではありません。私たちは加速度的に 進化するデジタル時代を生きています。かつて実体をもち、有形であ ったものは、いまや機械で生成されるもの、ビットやバイトとしてし か存在しないものに取ってかわられています。たとえば、銀行口座 を考えてみましょう。そこには手にとれる紙幣も硬貨も、額面を裏打 ちする法定通貨すら存在しません。それでも、金融機関の web サイ トで自分の口座にログインすれば画面上に数字が「見える」ので自分 の資産が存在していると信じています。電気、ガス、水道などの生活 インフラについても同じことがいえます。実際にどういう仕組みで生 活インフラが維持されているかは知らなくても蛇口をひねれば水がで ることを当然と受けとめ、この状態に頼って生活しています。公共交 通機関の運用もよい例です。地球上には平均して毎日 10 万機もの航 空機が航行していますが、そのすべてが安全な機間距離を保ってすれ 違い、適切な間隔で離発着してくれるものと安心しています。では、 その信頼、依存、安心を当たり前とみなせなくなり、その結果、完全 な混乱状態に陥ったと想像してみてください。それがデジタル時代で す。デジタル化のおかげで効率性や生産性が飛躍的に高まったがゆえ に、私たちはますます、それらがいつでも当然「使える」ものと信じ きっているのです。 こうしたデジタルシステムへの依存が、サイバー攻撃に起因する懸 念がこれほど急速に高まっている理由です。企業や政府、教育界、軍 の指導者らは、信頼の上に成り立つ円滑に機能するデジタル社会と、 19 その信頼の低下が招く社会の大崩壊の間には紙一重の差しかないとい うことを知っています。そしてこの信頼は急速に低下しています。そ れはなぜでしょうか。この状況に類例はあるのでしょうか。そして何 より、解決は可能なのでしょうか。 機械対人間 サイバーセキュリティの戦いの核心にあるのは、ある数学的問題で す。比較的理解はしやすい問題ですが、是正するのは容易ではありま せん。コンピュータ能力のコストが下がり続けている現状の負の副産 物の一つに、サイバー上の犯罪者や攻撃者がますます低いコストで高 度な攻撃を大量に仕掛けることが可能になっていることがあげられま す。たとえば、悪意のある人間に独自ツールを開発する技能がなくて も、オンライン上にはタダかタダ同然で入手できる既存のマルウェア (悪意のあるソフトウェア)やエクスプロイトキット(セキュリティ 上の脆弱性を利用して攻撃するツール)が公開されています。スキル の高いハッカーや犯罪組織、あるいは国家であれば、こうした誰もが 利用できるツールで侵入し、正体を隠匿することも可能ですし、独自 ツールを特定ターゲット用に開発してさらに大きな被害をあたえるこ とも可能です。こうしたことのすべてがあいまって、攻撃者に非常に 大きな優位性を与えているのです(図 1 参照) 。 攻撃数が急激に増加し、攻撃手法も高度化するなかで、防御する側 はと言えば、単体製品を何層にも組みあわせた何十年も前のコア(中 核的)セキュリティ技術に頼るのがせいぜいという状況です。状況全 体を把握する機能もなく、それぞれの単体製品が相互に通信できる設 計にもなっていません。その結果、攻撃をうまく検知・学習できた場 合でも、対応はほとんど手作業です。悲しいかな、人間が機械に対抗 してもまず勝ち目はありませんし、サイバーセキュリティの専門家は どこでもひっぱりだこで人材確保は難しくなる一方です。こうした状 20 防止は可能か 況で「本日のセキュリティ侵害」を減らす望みを見出すとすれば、対 応を手動ではなく自動化し、ネイティブに統合された次世代のセキュ リティプラットフォームを使って攻撃のコストを上昇させることが必 須となります(図 2 参照) 。 今後も攻撃が減るとは考えにくく、逆に増え続けるでしょう。とい うのは、様々なモノのインターネット接続が増えているので、そのぶ ん「攻撃対象領域」と潜在的な標的は増え続けると予想されるからで す。 このような恐るべき脅威環境に対して、防止など不可能だから、と にかくあらゆる侵害を検知して対応しなければと想定するのは無理か らぬことといえます。しかしながら、その想定には賛成できません。 さきほどの数学の問題を思い出してください。侵害行為の全体数が膨 大すぎる場合、防止によって絞り込んだ上でなければ、たとえ持てる 人員とプロセスと技術を総動員したとしても、どの侵害がネットワー クとそれに依存する人々に大きな影響を及ぼしうる重大な侵害なのか を把握することができないのです。この数学的問題はどうやっても解 決できません。言いかえると、検知と対応は防止に代わるものではな く、それを補足するものでなければならないのです。 図 1 コンピュータ能力が安くなれば、自動化攻撃を実行するコストも下がり ます。これによって、一定のコストで実行できる攻撃の数が増えます。 攻撃数 成功する攻撃の数 成功する攻撃を 実行するコスト 21 図 2 自動化と統合インテリジェンスを利用することで、攻撃を成功させる コストを継続的に引き上げ、その結果、成功する攻撃の数を減らすこ とができます。 攻撃数 成功する攻撃を実 行するコスト 成功する 攻撃の数 したがってとるべきなのは、攻撃者が攻撃に成功する見込みを大き 4 4 4 4 く低下させ、かつ攻撃成功に必要なコストを引き上げる戦略です。具 体的には、攻撃がそのうちなくなる、あるいはあらゆる攻撃を阻止 できると想定した上で対応する戦略ではなく、 「成功する攻撃の発生 数」が激減するレベルまで「成功する攻撃のコスト」を大幅に引き上 げることはできると想定した上で、その目標に向かって真摯に取り組 むという戦略です。 もちろんこのレベルには一朝一夕ではたどりつけません。それでも いったんたどりつけば、リスクを定量化し、細分化し、受容し、理解 できる形に落としこめます。この時点で、サイバーリスクが現実に持 続的に存在しても、紙面の見出しを飾ることは大幅に減り、日々の 生活や通商、通信、交流のなかにまぎれて目立たなくなります。ここ を私たちの到達目標とすべきです。すべてのリスクをなくすのではな く、細分化できるまでに減らすことです。実は、この問題は過去に類 例があり、そこから解決策が見えてきます。 22 防止は可能か スプートニク計画の事例 不完全ながら参考になるその類例は、米ソの宇宙開発競争です。 1957 年、ソビエト連邦は世界初の人工衛星「スプートニク 1 号」を 打ち上げました。これにより全米でパニックが巻き起こりました。こ の技術力でソビエト連邦はアメリカ全土に核攻撃を仕掛けるための圧 倒的優位を手にしたにちがいない、そして西側社会の生活様式そのも のが危険にさらされているのだ、と唐突に自覚させられたからです。 強固な軍事力を背景に築かれた豊かで快適な暮らしへの信頼は打ち砕 かれ、市民はこれまでのような暮らしはもはや立ちゆかなくなると思 い込みました。まるでとても超えられない技術的優位が存在するかの ように、どこもかしこもが不安に満ち、悪い報せばかりが次々と流れ てきました。 スプートニク打ち上げに続く数年は、核戦争後の世界をいかに生き 抜くかに関心が集まりました。裏庭に置く防空シェルターや保存のき く食料品の需要が高まり、学校では核攻撃から身を守るための訓練が 行われました。言いかえれば、攻撃を防ぐことはできないと想定し、 攻撃後の社会復旧に備えた戦略をとっていたのです。 とはいえこのような諦観は一時的なものでした。アメリカは外交と 従来型の抑止に依存しながら、技術革新と創意工夫の才を NASA の マーキュリー計画などの画期的プロジェクトに注ぎ込みました。そし て 10 年にわたる投資と協業、試行錯誤と努力を重ね、マーキュリー 計画とそれに続く取り組みによって、ついに事態は転換点にいたりま した。つまり、宇宙からの攻撃リスクはなくなっていないものの、あ りえなくはないがありそうにない出来事として、日常にまぎれて目立 たなくなるレベルまで細分化することができたのです。この転換点到 達以降、パニックや混乱が新聞の見出しやテレビのニュースを賑わせ ることはなくなりました。サイバー空間での戦いでも同じことが言え ます。この転換点にいたったときに、すべてが順調だとわかることに 23 なるのです。では、どうすればそこへ到達できるのでしょうか。 ここで重要になるのが到達目標を正しく理解することです。自分が どこへ到達したいのかを理解していなければ、実際に到達できる見込 みは低いからです。宇宙開発戦争の事例での想定が時とともに変化し たことを思い出してください。当初は攻撃が目前で阻止などできない というのが大方の想定でしたから、計画と資源の大部分が攻撃後の世 界での生活に注ぎ込まれました。しかしながら、時がたつにつれ攻撃 の確率と有効性を低下させることに計画と資源を振り向ける「防止」 に想定が変化していきました。 注目すべきは、攻撃のリスクがなくならなくても、攻撃を成功させ るためのコストを大幅に引き上げれば攻撃発生と成功の確率は減ると いう点です。前述のように、類例が完璧に当てはまることはありえま せんから、ここでいう宇宙からの攻撃とサイバー攻撃の「コスト」 は、当然ながらその評価のしかたが違います。とくに、サイバー攻撃 は超大国だけが関与するものではなく、成功する攻撃のコストを逆転 させうる技術革新も政府ではなく産業界からもたらされる可能性が高 いという点で類例とは異なります。しかしながら、防止を想定するこ とは両者で同じです。このことから、サイバー攻撃についても、いず れ防止のための能力が開発され、活用され、時間をかけて継続的に精 錬される可能性が高いと予測できます。 防止は可能か ここで当然浮かぶのは、そもそも防止は可能なのか、という問いで す。ほとんどのセキュリティ関係の専門家は、完全な防止は不可能だ ということで意見が一致すると思います。がっかりさせられる見解で すが、この点は、過去に私たちが対処してきた他のあらゆる大きなリ スク要因でも同じです。したがって本当の問いは、成功する攻撃の発 生数を、リスクの観点から対応可能なレベルまで減らすことは可能 24 防止は可能か か、ということになります。これは時間をかければ可能だと、私は確 信しています。そしてその実現のためには、サイバー空間での戦い においてコスト上の優位性を獲得することが不可欠です。この優位性 は、組織に対するサイバーリスクに対処するにあたって、鍵となるい くつかの要素を継続的に改善し調整していくことによって獲得できま す。その要素とは、技術、プロセスと人員、そしてインテリジェンス 共有です。 技術 従来型セキュリティ技術での対応には限界がきています。これには 主に 3 つの理由があります。 ▪第一の理由は、ネットワークそのものが長い年月をかけて進化して きたために本質的に複雑になっていること、その複雑なネットワー ク上に相互連携する機能のないセキュリティ技術が単体製品として バラバラに配備されていることです。規模の大小を問わず、従来的 なネットワークアーキテクチャにおけるセキュリティ「ソリューシ ョン」は、それぞれメーカーの異なる複数の単体製品が単一の特定 タスクのみを実行し、他の製品との情報交換や連携の機能を持って いません。このため、ネットワークのセキュリティ体制は全体とし て、 「スマートさ」にもっとも欠けるデバイスや製品と同じレベル のスマートさしか持つことができません。つまり 1 日に何千件も 発生する脅威の一部を仮にうまく検知できたとしても、対応は手作 業に頼らざるをえません。というのは、同一ネットワーク内でさえ 製品同士で自動連携する機能がないので、異なるネットワーク間や 組織全体で事態を把握することなど論外だからです。攻撃側が機械 的に効率よく攻撃をする一方で、防御側がもっともレバレッジの効 かないヒトというリソースへの依存を強めているということが現実 的な問題です。 25 ▪第二の理由は、こうした複数の単体ソリューションは、多くの場 合、ステートフルインスペクションなどの何十年も前に開発された 技術に基づいていることです。この技術は 1990 年代には有用でし たが、現代のサイバー攻撃の情勢にはまったく歯が立ちません。 ▪第三の理由は、 「ネットワーク」という概念が急速に変容して おり、もはやその定義があいまいになっていることです。SaaS (software as a service)プロバイダやクラウドコンピューティグ、 モビリティ、モノのインターネット (LoT)、などの技術が登場した ことで、セキュリティ専門家が一元的にデータを管理しにくくなっ ています。 以上の理由に対応するため、将来のセキュリティアーキテクチャは 以下の実現が急務です。 ▪第一に、そのネットワークを誰がどのように利用するのかを明確に 定義した上で高度なセキュリティシステムを設計、導入しなければ なりません。使用形態をはっきりさせないままで設計、配備しては いけません。 ▪第二に、セキュリティシステムの各機能はプラットフォームに可能 なかぎりネイティブに統合し、ある機能が発動したら、その結果を うけてほかの機能が自動的に再プログラミングされるようになって いなければなりません。 ▪第三に、このプラットフォームはより広範なグローバルエコシステ ムの一部として機能しなければなりません。このエコシステム内で は攻撃情報をほぼリアルタイムで絶えず共有し、同エコシステム内 の別組織が同じような攻撃の被害に合わないよう保護策を直ちに適 用できなければなりません。 ▪最後に、データの保存場所や「ネットワーク」の配備モデルに関係 なく、セキュリティ体制が一貫していることが必要です。たとえ 26 防止は可能か ば、高度な統合型セキュリティと自動化により得られる結果は、デ ータがオンプレミス、クラウド、サードパーティ製のアプリケーシ ョン上のいずれにある場合でも同じでなければなりません。セキュ リティに不整合な部分があるとその部分が脆弱性として突かれや すいからです。また、クラウド、仮想化、SDN(Software-defined Network) 、NFV(Network Functions Virtualization) な ど 将 来 的 に利用するネットワークモデルが変わった場合でも、セキュリティ 体制がそのモデルにより得られる生産性の妨げとなってはいけませ ん。 プロセスと人員 技術だけでは問題を解決できません。組織内の技術専門家がその組 織にとってのサイバーセキュリティリスクをきちんと管理しているこ とを確認するのは経営陣の責務です。今日の経営幹部の皆さんは、技 術やサイバーセキュリティに精通していたからその地位を得られたわ けではないでしょう。それでも成功しているリーダーはみな、組織内 リスクを評価し、競合するニーズに優先順位をつけてリソースと労力 を割り当てる必要性を理解しています。企業をとりまく脅威の状況と 先にあげた攻撃成功とそのコストの数学的問題を踏まえれば、リーダ ーは組織のネットワーク上に存在する情報資産の価値と脆弱性をとも に理解し、それに応じて防止と対応のための取り組みに優先順位をつ ける必要があります。 経営陣主導で組織のセキュリティ管理プロセスを継続的に改善する ことも重要です。組織の人員に対して、サイバー攻撃の見きわめかた と、攻撃を受けた際にとるべき適切な手順の研修を継続的に行わなけ ればなりません。今日報告されているサイバー攻撃の多くは、その どこかにプロセスの不備や人的エラーがからんでいます。たとえば、 SNS で開けっぴろげに共有されている膨大な個人情報を集めれば、 ハッカーはかなり正確に個人のプロフィールや企業内での地位を絞り 27 込めますし、その情報を使ってソーシャルエンジニアリング攻撃やキ ャンペーンを仕掛けることもできます。こうした攻撃は、個々人が適 切な研修を受けていなければなかなか見分けられません。組織を保護 するために導入されている技術がどんなに優れていても、適切なプロ セスと手順が確立していなければ対応は難しいのです。 組織を標的として電信送金で多額の金を騙し取ろうとする典型的な 攻撃は、社員が多忙で十分なサイバー攻撃対策研修を受けていないこ とや、サイバー攻撃対応プロセスに一貫性がないことを当て込んで行 われています。このような攻撃では、攻撃者はソーシャルネットワー キングサイトで集めた公開個人情報を利用し、企業内で電信送金を行 う権限を持つ個人を特定します。その後、一見正しく見えるけれども 実際には不正なメールアドレスを巧妙につくりだし、その社員の上司 がすぐに電信送金を送れと指示しているように見せかけたフィッシン グ攻撃を仕掛けるのです。その社員が正しいメールアドレスを見分け る研修を受けていない場合や、複数人による検認を義務づけるなどの 適切な電信送金依頼検証プロセスが導入されていない場合、この攻撃 はたいてい成功します。技術、プロセス、人員をバランスよく組み合 わせ、定期的に研修を実施することが重要なのです。 インテリジェンス共有 サイバー攻撃は質量ともに圧倒的なので、一企業や一組織だけでこ うした攻撃を撃退できる十分な脅威情報を持てるとは考えにくいでし ょう。ただし、企業同士、組織同士が自組織の把握した攻撃状況をほ ぼリアルタイムで相互共有し、インテリジェンスを統合できれば、攻 撃全体にしめる成功数を低く抑えられることは想像に難くありませ ん。これが私たちの目指すべき成果です。この段階に達すれば、攻撃 者は現在のように複数の標的に対して 1 つの攻撃のバリエーション を繰り返し使うことはできなくなり、組織を攻撃しようとするたびに 異なる攻撃を計画、準備する必要が生じるからです。毎回違う攻撃を 28 防止は可能か 計画するとなれば、攻撃成功にかかるコストは格段に上昇し、攻撃者 は人材と資金を集約せざるを得なくなります。そうなれば、攻撃者が 防御側や法執行機関、政府から見えやすくなるのです。 脅威情報の共有にこれほど関心が集まっている理由はこうした防御 のネットワーク効果にあります。この分野は草創期ではあるものの着 実に進歩しており、様々な組織が脅威情報を共有する自動化システム を利用しはじめています。インテリジェンス共有で得られた情報を解 析する機能も急速に開発が進んでいて、これが解析結果をフィードバ ックして迅速に防止機能を再プログラムする高度なプラットフォーム の登場につながっています。そしてエコシステム自体が拡大するにつ れ、エコシステム内で接続されているネットワークが脅威対応機能を 絶えず更新し続けあうようになります。ここにいたり、サイバーセキ ュリティの戦いにおいて圧倒的優位性を獲得できるのです。 結論 サイバー攻撃の発生数が増え続けている現状に、懸念と関心が集ま るのは当然のことです。しかし、こうした脅威をもっと長い目で見 て、防止第一の意識を持てば、次世代技術、プロセスと研修の改善、 そしてセキュリティ体制を自動的に再構成できるプラットフォームを 利用した脅威情報のリアルタイム共有を組み合わせることで、攻撃の 成功数を大幅に減らし、グローバル経済のために私たちの誰もが必要 としているデジタル時代の信頼を取り戻すことができるのです。 パロアルトネットワークス 取締役会長、社長兼最高経営責任者(CEO) マーク・マクローリン(Mark D. Mclaughlin) 2011 年 8 月にパロアルトネットワークスの社長兼 CEO に就任し、2012 年よ 29 り取締役会長を兼務。パロアルトネットワークス入社以前は、Verisign 社社長兼 CEO。それ以前は Signio 社のセールスおよびビジネス開発担当副社長として、 1999 年の Verisign 社による Signio 社の買収の実現に尽力した。Signio 社入社 前は、世界トップのスマートカード会社 Gemplus 社のビジネス開発担当副社長 を務めた。Gemplus 社以前は、Caere Corporation の首席法務担当役員を務め、 また Cooley Godward Kronish 法律事務所に弁護士として勤務した。2014 年、 オバマ大統領より国家安全保障通信諮問委員会(NSTAC)委員長に任命された。 シアトル大学法科大学院を優等の成績で修了し、法務博士号を取得。米国陸軍士 官学校で理学士号を取得。 30 防止は可能か 効 果 的なサイバ ーリス ク・マネジメントの統合 的アプローチ アメリカ合衆国エネルギー省 元 CIO ロバート・F・ブレス 32 効果的なサイバーリスク・マネジメントの統合的アプローチ ベライゾン社の「2015 年度データ漏えい/侵害調査報告書」1 に よると、評価対象とされた約 8 万件のセキュリティインシデントの 60%でサイバー攻撃者が数分以内に組織のセキュリティを侵害し、 このうち 2000 件以上についてデータ侵害が発生したことが分かりま した。驚くべきことに、発生後数日以内にこうしたセキュリティイ ンシデントが発見された事例はこの 3 分の 1 程度にすぎませんでし た。これは、経営トップや役員にとっては悪いニュースです。データ 侵害、データ侵害の有無を特定できないセキュリティインシデント、 DoS 攻撃、破壊的なマルウェア、そのほかのサイバーセキュリティ インシデントは、収益損失や風評被害、ひいては訴訟、企業の未来に 影響する短期的・長期的な責任につながるおそれがあるからです。調 査報告書をみれば「ハッキング被害」は避けがたいように思われます し、実際に避けられないばあいもあるでしょう。しかしながら良いニ ュースは、リスク・マネジメントへの統合的アプローチをとること で、サイバーセキュリティリスクも効果的に管理できるということで す。 では誰がこの統合的アプローチに責任を負い、そこには具体的に何 が含まれるかを考えてみましょう。まず、えてしてそうなりがちで すが、サイバーセキュリティ・リスク・マネジメントを最高情報責 任者(CIO)と最高情報セキュリティ責任者(CISO)に丸投げして はいけません。たしかに専門家は有能ですが、企業は「情報(デー タ) 」、「情報技術」 、 「業務」からなる統合的アプローチによってはじ めて、サイバーセキュリティリスクを包括的な企業リスクプログラム のひとつとして効果的に管理できるからです。取締会レベルでの関与 と報告をうながす動きもありますので、サイバーセキュリティ・リス ク・マネジメントとインシデント対応の監督業務に役員が十分に関与 していないとみなされれば、その地位がおびやかされる危険も生じて います。たとえば 2014 年、議決権行使助言会社の ISS(Institutional Shareholders Services)社は 2013 年に発生したターゲット社の大 33 規模データ侵害事件について、当時取締役会のメンバーだった役員 7 人全員に不信任票を投じるよう株主に提言しました。このことはいさ さか衝撃的ではありますが、企業役員および取締役会がその受託者責 任を果たすうえでサイバーセキュリティ・リスク・マネジメントがい かに鍵となるかを如実に示しているといえます。 サイバーセキュリティ・リスク・マネジメントを成功させるには、 管理業務を単発的・不定期的なチェック作業ととらえるのではなく、 継続的・定期的なプロセスととらえなければなりません。またリス ク・マネジメントの対象範囲も企業の成長とともに広げ、進化しつづ けるサイバー脅威に応じて変化させていく必要があります。というの もデータを保存するシステムや情報技術(IT)システム、それらのシ ステムが運用されているインターネット接続環境は、企業リスクに影 響を及ぼすほかの多くの変数を上回るスピードで変化しているからで す。社内で適切なステークホルダーが適切なレベルで関与しなければ ならないだけでなく、適切な自動ツールおよびプロセスを設置するこ とで、リスクに関する意思決定やモニタリングを支援しなくてはなり ません。 完璧なセキュリティは神話である 物理的なセキュリティと同じく、完璧な IT セキュリティ(サイバ ーセキュリティ)は存在しません。あらゆるファイアウォール、暗号 化、パスワード、パッチを駆使しても、企業がサイバーセキュリティ 脅威を懸念することなく事業を運営できる、絶対安全な場所を作るこ とはできません。とはいっても完璧なセキュリティは必要ではありま せんし、望まれてもいません。もちろんセキュリティ対策が貧弱すぎ ることによる影響はきわめて明白ですが、過剰なセキュリティは、顧 客が企業の製品やサービスにアクセスするさいの効率性や有効性を損 ない、社内および B2B のやりとりを不必要に制約することで、企業 34 効果的なサイバーリスク・マネジメントの統合的アプローチ の事業運営能力をいたずらに制限してしまうからです。効果的なリス ク・マネジメントは、事業運営ニーズと、セキュリティの費用・ニー ズの間でのバランスを見いだすことにあります。両者のバランスをと ることで、企業は成功の基盤となる重要な情報や資産を守りつつも市 場競争に勝つことができるでしょう。 企業リスク・マネジメント 世界有数の IT 調査・コンサルタント企業であるガートナー社によ ると、サイバーセキュリティ・リスク・マネジメント・プログラム は、モビリティ、クラウド、ビッグデータ、提携などの企業の取り組 みへの対応に困難を抱えていることが判明しています。同社は、デジ タル産業経済とモノのインターネット(IoT)により今後さらに困難 さが増すとも予測しています。しかしながら、企業リスクプログラム と切り離してサイバーセキュリティ・リスク・マネジメントを評価し ようとしてはいけません。リスクモニタリングに抜け穴をつくり、組 織を一層大きなリスクにさらすことになるだけからです。 ほぼすべての企業が、企業リスク・マネジメントのプロセスを策定 しています。大企業はたいてい、事業部門から独立して企業リスク プロセスを管理する権限・責任を与えられている最高リスク責任者 (CRO)またはそれに相当する役職を設置しています。そこで、企業 が管理するこれら様々なリスクのひとつとしてサイバーセキュリティ を組みこむことを優先課題にすべきです。サイバーセキュリティは、 市場リスク、信用リスク、通貨リスク、物理的なセキュリティリスク などの企業が直面する他のリスクとあまりに異なるため、同じように は管理できないという反論もあるかもしれません。しかしながらサイ バーセキュリティがどれほど「技術的」に見えても、対策によって 達成したい結果は同じです。すなわち、企業の未来に影響を与えるリ スクを回避、低減、移転するか、これを保有する(受容する)ことで 35 す。ただし、ひとつ確かなことがあります。それは、管理策や保険を 通じた移転ですべてのサイバーセキュリティリスクを回避することは できず、残ったリスクは受け入れねばならないということです。これ らの意思決定を適切に行うためには、秩序だった統合的アプローチが 必要です。 サイバーセキュリティ・リスク・マネジメント・プ ロセス サイバーセキュリティ・リスク・マネジメントを企業リスク・マネ ジメントのプロセスに効果的に統合するには、いくつかの重要な手順 を踏む必要があります。本章では特定のプロセスを詳しく説明するの ではなく、リスクフレーミング/リスクアセスメント、管理策の評 価、リスクに関する意思決定、残留リスクの承認、リスクモニタリン グ、アカウンタビリティ(説明責任)を含む、活用すべき共通属性に 重点を置いて説明します。図 1 は、このプロセスを示したものです。 サイバーセキュリティ・リスク・マネジメントへのアプローチに関し て詳しくは、米国国立標準技術研究所(NIST)のコンピュータ・セ キュリティ・リソース・センター(CSRC)をはじめ、国際的な規格 標準化機関や業界情報も確認しましょう2。 図 1 サイバーセキュリティ・リスク・マネジメント・プロセス・ アカウンタビリティ(説明責任) リスクフレーミング/ 管理策の評価 リスクアセスメント 36 リスクに関する 意思決定 残留リスクの 承認 効果的なサイバーリスク・マネジメントの統合的アプローチ リスクモニタリ ング リスクフレーミング/リスクアセスメント:リスク・マネジメントで は初期の活動としてリスクフレーミング/リスクアセスメントと管理 策の評価を行います。CIO と CISO は IT システムへのリスクを長年 評価しているので企業リスクに影響を及ぼす幅広いサイバーセキュリ ティ脅威や脆弱性を熟知しています。しかしながら、それらの脅威や 脆弱性がもたらす結果(たとえば事業への影響)を十分に理解できる かどうかは、IT と事業部門リーダーがこれまでに築いてきた関係し だいです。つまり IT と事業部門責任者が緊密な関係を築くことがき わめて重要です。そしてこの関係を活かし、ビジネス遂行上不可欠と なる情報とシステムについて、企業が受容しうるリスクの種類と量 を、以下の 3 つの側面について明確にする必要があります。 ・機密性(情報へのアクセスを認められた者だけが、その情報にアク セスできる状態を確保すること) ・完全性(情報が破壊、改ざん又は消去されていない状態を確保する こと) ・可用性(情報へのアクセスを認められた人が、必要時に中断するこ 3 となく、情報にアクセスできる状態を確保すること) しきいち IT が事業部門責任者のリスク閾 値を理解したら、CIO と CISO は 適切なセキュリティ管理策の計画策定・実施・評価を開始できます。 管理策の評価:リスク対応を適切に準備するには、想定される管理策 を評価しなければなりません。管理策には、リスクの回避・低減・共 有・移転・受容のために企業が保有すべきすべてのツール、戦術、 プロセスが含まれます。つまり、従来の IT 管理策に加えて、組織構 造、教育訓練や意識啓発プログラム、物理的セキュリティ、そのほか の選択肢を考慮する必要があります。サイバー保険も検討対象となる でしょう。ここでも CIO と CISO だけが評価を行うのでなく、様々 37 な事業部門、業務支援部門、IT 組織の積極的な協力をあおぎ、想定 される管理策とそれがサイバーセキュリティリスクに与えうる影響を 特定します。 リスクに関する意思決定:リスク対応において意思決定プロセスはき わめて重要な要素です。個々のリスクに対し、何を行い、何を行わな いかをここで決定します。この決定はシステムや情報の保護と、それ を用いた効果的な事業運営ニーズの間でバランスをとる必要がありま す。考慮すべき要因としてはほかに、実施・保守コストに対するリス ク低減量や社員研修、認証要件への影響度があげられます。 行動指針規定を策定して事業部門の合意を取りつけ、管理策を実施 し、実施初期の効果を評価します。管理策が十分機能すれば、承認・ モニタリングプロセスを開始できます。機能しないばあいは新たな行 動指針を策定しなければなりません。新たな行動指針を策定するばあ い、リスク対応のためにさらに管理策の評価を追加したり、許容でき るリスクを調整するためにリスクフレーミング/リスクアセスメント を追加しなければならないこともあります。 残留リスクの承認:残留リスクの承認をもって意思決定プロセスが終 了します。リスク・マネジメント・プロセスの業務上の顧客は事業部 門なので、残留リスクの承認は事業部門の役割とすべきです。またこ の承認は書面による公式な記録として残しておきましょう。署名者や レビューア(監査機関など)がリスク対応計画と受容した残留リスク を明確に理解できるかたちで、個々のリスクにどのように対処・承認 したかに関する意思決定を示しておく必要があるからです。残留リス クが公式に承認された時点をもって、システム運用の開始とすること が多いでしょう。残留リスクを公式に承認することは事業部門のリス ク意識向上にも役立ちます。 38 効果的なサイバーリスク・マネジメントの統合的アプローチ リスクモニタリング:リスクモニタリング(監視)は継続的なプロセ スです。個々のモニタリング活動は、モニタリングの目的、種類、頻 度を考慮して設計されます。通常はリスクフレーミング/リスクアセ スメントの段階でリスクレジスター(risk register: リスク登録簿、 リスク目録とも呼ばれる特定されたリスクの一覧)を作成し、リス ク・マネジメント・プロセスのすべての手順でこのリスクレジスター を活用します。リスクレジスターは、監査役の参考資料としても役立 ちます。リスクレジスターにはもっとも重大なリスクを記載し、時間 の経過とともに変化する事業にあわせて定期的、継続的に更新とレビ ューを実施する必要があります。というのは、影響が発生する可能性 やその重要度が変化したばあい、またはほかの物理的要因や IT 環境 面の要因が変化したばあい、リスク対応計画と残留リスクの受容レベ ルの改訂をもとめられることがあるからです。改訂するばあいは、リ スクモニタリングの前に説明した各プロセスの手順を繰り返します。 レビューの頻度は、リスク発生の可能性やその重要度に応じて決定す べきです。ほとんどの企業は多数のシステムを保有しており、システ ムごとに独自のリスクレジスターがあるので、自動化システムをモニ タリングやレビューに援用することが多いでしょう。 アカウンタビリティ(説明責任) :最後にもっとも重要な点として、 アカウンタビリティを考慮します。アカウンタビリティとは「問題が 起きたとき誰を責めるか」ということではありません。これまでに説 明したとおり問題が起きる可能性は高いのです。アカウンタビリティ とは、 「公式なリスク・マネジメント・プロセスが遵守され、効果的 な意思決定が実施されていること」を保証するものです。たしかに、 リスク・マネジメント・プロセスでは、ひとりの人物がアカウンタビ リティを負わなければなりません。しかしながらそこにいたる過程で は、様々な人が各手順における責任や説明責任を負い、その手順にい たるまでにさらに多くの人が相談や報告に関与しています。役割・責 39 任を明示するひとつの方法として、RACI 図(図表 1 を参照)を用い て、実行責任者、説明責任者、相談先、報告先となる人物や組織を明 確にします。表 1 はひとつの例であり、各社の企業リスク・マネジ メント・ガバナンス・プロセスに合わせた調整が必要です。 責 任 分 担 表(RAM) : 別 名 RACI 図、ARCI 図、LRC(linear responsibility chart)。プロジェクトや業務プロセスのタスク遂行または成果物完成 に必要な役割別に関与する内容を記載している。 図表 1 RACI 図 CIO CISO LOB CRO CEO 取締 役会 リスクフレーミング/ リスクアセスメント A R C C C C 管理策の評価 A R C I I I リスクに関する意思決定 C R A C I I 残留リスクの受容 C R A I I I リスクモニタリング A R C C I I アカウンタビリティ R C C A C C プロセスの手順 A: 説明責任 R: 実行責任 C: 相談 I: 報告 CIO: Chief Information Officer 最高情報責任者 CISO: Chief Information Security Officer 最高情報セキュリティ責任者 LOB: Line of Business 事業部門 CRO: Chief Risk Officer 最高リスク管理責任者 CEO: Chief Executive Officer 最高経営責任者 40 効果的なサイバーリスク・マネジメントの統合的アプローチ サイバーセキュリティ・リスク・マネジメントを支 える情報 リスク・マネジメントは厳密な科学ではありません。このことはサ イバーセキュリティ・リスク・マネジメントについてもあてはまりま す。リスク・マネジメント全体をうまく行うには、リスクを認識・把 握し、効果的に意思決定ができる程度に「必要十分」な情報があれば ことたります。複雑な数学モデルが企業の直面する一部のリスク・マ ネジメントに役立つばあいもあるかもしれませんが、ありもしない客 観性を無理やり作り出してリスク分析の意義より数値に重点を置いて しまうと、結果として不適切で非効果的な意思決定につながるおそれ もあります。したがって、 「低・中・高」 、 「可能性が低い・可能性が 高い・可能性が非常に高い」などの、いわゆる「大型バケツアプロー チ(big bucket approach) 」と呼ばれるおおまかな分類でも十分なこ とがあります。 ステークホルダーの関与 企業のサイバーセキュリティ・リスク・マネジメント・プログラム においては、ステークホルダーが適切なレベルで関与することが重要 です。ステークホルダーが適切に関与することで、企業の受託者責任 がきちんと履行されることを保証できるからです。リスク・マネジメ ント・プログラムを CRO や CIO だけに任せていたのでは、デューデ ィリジェンス(due diligence、相当の注意)を果たしているとは言 えません。リスクフレーミング/リスクアセスメントには、企業の リスク許容度を明確に理解する必要があります。事業部門トップは残 留リスクの承認に責任を負うべきですが、リスクに関して優れた意 思決定を行うためには、社内のほかの個人や組織に相談したうえ、 その意見も考慮に入れねばなりません。リスク評価の対象となるシ ステムに応じて想定されるステークホルダーとしては最高情報責任 41 者(CIO)、最高情報セキュリティ責任者(CISO) 、最高財務責任者 (CFO)、弁護士、支援関係や依存関係にあるほかの事業部門責任者 や外部パートナーがあげられます。ユーザーエクスペリエンスに影響 を及ぼす可能性が大きいばあいは、ユーザー受け入れテストやアンケ ートを実施する必要があるかもしれません。 組織のサイバーセキュリティ・リスク・マネジメン ト・プログラムの成熟度評価 サイバーセキュリティ・リスク・マネジメント・プログラムは、導 入当初から効果的とはかぎらず、業務拡張にあわせたスケーリングに ただちに対応できるわけでもありません。効果的なリスク・マネジメ ントの意思決定と残留リスク受容と同じくらい重要なのが、プロセス 自体の継続的な評価です。数多くの IT /サイバーセキュリティ/ビ ジネスコンサルタントや業界団体が、役員向けの指針やチェックリス ト、質問すべき項目を発表しています。これらの指針には経営トップ や取締役会がリスク・マネジメント・プログラムに関与するための 方法が多岐にわたって説明されていますが、どのように関与するにせ よ、企業のサイバーセキュリティ・リスク・マネジメント・プログラ ムを成熟させつづけることで、企業の将来的な成功を確かなものにし なければなりません。プログラムの成熟度を評価するには、リスクに 対する理解と対応方法の改善状況、経営陣や一般社員による参加の有 効性、リスク・マネジメント・プロセスの変化への対応力、効果的な インシデント対応能力などの評価に重点を置いて、つぎのような質問 を投げかけるべきです。 経営トップや上級管理職の間で、自社のサイバーセキュリティリス ク許容度に対する理解にどの程度一貫性がありますか。その理解は、 組織にどれくらい深く浸透していますか。 事業部門責任者は、自分の業務に関連するサイバーセキュリティリ 42 効果的なサイバーリスク・マネジメントの統合的アプローチ スクをどの程度理解していますか。業務ニーズに応えるため、リス ク・マネジメント、リスク受容に関する適切で効果的な意思決定はす みやかに行われていますか。 役割や責任はどの程度明確に理解されていますか。担当者は自分の 責任をどれくらいわきまえ、まっとうしていますか。社員はサイバー セキュリティ上の問題を報告していますか。その問題はリスク・モニ タリング・プロセスに組みこまれていますか。 脅威や脆弱性、そのほかの条件が変化したさい、リスク・マネジメ ント・プロセスはこれに対応し、リスク対応計画が継続的に有効であ りつづけるために必要な変更を加えていますか。 サイバーインシデント対応計画はどの程度効果がありますか。定期 的に演習を行い、演習や過去のインシデントで学んだ教訓を活かして 計画を改善していますか。 効果的なコミュニケーション サイバーセキュリティ・リスク・マネジメントが長期的に有効であ りつづけるためには、所属組織のセキュリティについて全員がみず からの責任をまっとうする必要があります。このためにはサイバー セキュリティリスクを意識した社風の形成が欠かせません。このよう な社風は効果的なコミュニケーションを通じて形成されます。経営陣 は、全社的なリスク測定手法を把握し、どの程度のリスクレベルであ れば受容可能かを明確に伝え、そのレベルのセキュリティ実現のた めに発生するコストとのバランスを比較考量しなければなりません。 社員は、多様なサイバーセキュリティ上の脅威や脆弱性の基本知識に 加え、業務遂行に伴う日々の自身の意思決定や行動の重要性を理解し なければなりません。定期的な教育訓練と意識啓発活動も欠かせませ ん。こうした教育訓練や意識啓発活動は、物理的なセキュリティ対策 でも実施されている「不審なものを見かけたら即報告」といった働き 43 かけに準じた内容にするとよいでしょう。さらにサイバーセキュリテ ィ上の問題をすすんで報告してもらえるよう社員への報奨制度も必要 です。 また、顧客へのサービス品質を改善するのみならず、外部パートナ ーやサプライヤーとの関係性強化のためにもコミュニケーションは大 切です。ビジネスパートナーにサイバーセキュリティ上の要件や期待 を伝えることで、リスクに関する意思決定を改善し、リスクを低減す る協力的取り組みにつながります。サイバーセキュリティリスクは、 サプライチェーンにも存在します。特定の重要なコンポーネントまた はサービスについて、サイバーセキュリティ要件を伝えサプライヤー をきびしく審査すれば、リスクを効果的に低減できます。ターゲット 社やホームデポ社などの大規模サイバー攻撃の被害者がサイバーセキ ュリティ面で外部パートナーとのコミュニケーションを重視し、より 強固な関係を構築できていたなら、被害者となるリスクをもっと低減 できていたかもしれないのです。 結論 経営トップと取締役会は、サイバーサキュリティを恐れてはなりま せん。サイバーセキュリティ・リスク・マネジメントを企業リスク・ マネジメント・プロセスに統合し、IT や事業部門の役員を効果的に 巻き込めば、サイバーセキュリティリスクをきちんと把握し管理する ことができます。継続的なリスク・マネジメント・プロセスの質を確 保するには、リスクを意識した社風の形成が重要です。サイバー脅威 と脆弱性を定期的に評価すれば社員は問題を報告できるようになりま すし、事業部門の役員は業務運営への想定される影響を意識しておく ことができます。これにより、企業のサイバーセキュリティ防御がい っそう迅速で機動的なものになり、リスク全体をコントロールできま す。最後に、長期的にその有効性をたもつためには、プロセスの効果 44 効果的なサイバーリスク・マネジメントの統合的アプローチ や変化とインシデントへの対応力を含めて、リスク・マネジメント・ プロセスを継続的に評価することが重要です。 1 2 3 h t t p : / / w w w. v e r i z o n e n t e r p r i s e . c o m / r e s o u r c e s / r e p o r t s / r p _ d a t a - b r e a c h - investigation-report-2015_jp_xg.pdf 日本で同等の情報を提供する機関には情報処理推進機構(IPA)、内閣サイバーセキュ リティセンター(NISC)などがあります。 http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/intro/security/index. html アメリカ合衆国エネルギー省 元 CIO ロバート・F・ブレス (Robert F. Brese) rfbrese@gmail.com 世界有数の IT 調査・コンサルタント企業ガートナー社の副社長兼エグゼクティブ パートナー。連邦政府の最高情報責任者としての最新の生きた経験を活かし、IT 業界リーダーに喫緊の課題と刺激的なビジネスチャンスに関する洞察を提供して いる。現職以前は、米国エネルギー省最高情報責任者を務めた。同省傘下の国立 研究所、生産設備、環境浄化施設のミッションは、オープンサイエンスから核安 全保障まで多岐にわたる。ブレス氏はエネルギー省の政策、ガバナンス、15 億 ドル以上の年間 IT 投資の監督、ならびに同省のオープンデータ、クラウドコンピ ューティング、省エネ IT 戦略に関する主要な取り組みを指揮した。エネルギー省 ではプライバシーならびに機密情報共有と保護に携わる Senior Agency Offical for Privacy and for Information Sharing and Safeguarding も務めた。米国 政府におけるサイバーセキュリティ分野の第一人者として、サイバー法制、政 策、サイバーセキュリティ技術の研究開発・配備、米国基幹インフラのサイバー セキュリティ保護に関する政府の取り組みに大きく貢献した。 45 サイバー時代の新常識の 舵を取る 国連安保理 テロ対策委員会執行事務局長 ジャン = ポール・ラボルデ 世界経済フォーラム デジタルエコノミー・技術政策・情報通信技術産業部門長 ダニル・ケリミ 46 サイバー時代の新常識の舵を取る 私たちはいま、巨大で複雑に入り組んだネットワーク社会に暮らし ています。このネットワーク社会は、ほんの数年前には想像すらつか なかった機会とリスクをもたらしました。私たちは、ネットワーク社 会の原理に合わせて規範や方針、ビジネスモデルを調整しつつ、それ が生みだす社会的、政治的、経済的変化をようやく理解しようとして いるところです。 これらの変化は、個人、企業、政府間でのコミュニケーション方法 を根本から定義しなおしました。このため、経済的価値の創出と消費 という側面についてみても、ネットワーク社会が生みだす新たなビジ ネスモデルとコミュニケーションが、従来型のそれを脅かしていま す。あらゆる業界が社内外のコミュニケーションにおいてデジタルへ の依存を強めていますし、これまでとくに技術系企業とみなされたこ とがない組織であっても、専門外の様々な課題に対処しなくてはなら なくなりました。 ようするに、インターネットが労働・生産・生活・ショッピング・ 旅行・健康のすべてのありかたを一変したということです。こうした 変化は、 「デジタル革命」に集約される一連の技術によって、ビジネ スと社会の多数の側面を変革しつつあります。 このデジタル革命は、コミュニケーションに付加価値や効率化とい う恩恵をもたらす一方、その実装において大きなリスクと不確実性の 要因にもなっています。各界のリーダーは、この革命が自社、政府、 エコシステムに与える戦略的含意の分析に取り組んでいるところで す。 このように莫大な数のユーザーと「IoT(モノのインターネット)」 関連デバイスに後押しされ、人とモノがますます緊密にネットワーク に接続されるようになると、攻撃者はより多くのデバイスを経由して より多くの人に損害を与えられるようになります。侵害件数、被害企 業とユーザー数、損害規模はすべて年々増大しています。攻撃者の 47 思惑や関心は様々で、攻撃で得た利益の換金をもくろむ攻撃者もいれ ば、サイバー空間で利用可能な比較的安価な手段で物理的損害を与え たい攻撃者もいますし、暴力的なメッセージを拡散したい攻撃者もい ます。いずれにせよ、誰もサイバー攻撃からは逃れられないことが次 第に明らかになりつつあります。 こうした事情を受け、官民いずれにおいても、限りあるリソースを バランスよく優先順位をつけて配分し、サイバーセキュリティ課題に 対処することが不可欠となっています。そのためには、官民が歩み寄 り、両者の緊張関係の要因や相互連携を阻む要因について理解を深 め、サイバーセキュリティ分野のベストプラクティスを全面的に採用 できるようにしていく必要があります。 民間企業 民間企業は自社のシステム改善、エンドユーザーの保護、レガシー 製品への対応に必要な経済的、時間的、人的リソースを、優先順位を つけて配分しなければなりません。またこの配分は、急速なイノベー ションサイクルと、市場投入までの時間短縮を重視する市場状況を念 頭に置いて行わなければなりません。 こうした企業の直面するサイバーセキュリティ課題の複雑さは金融 危機前の金融商品の複雑さにも匹敵します。なぜなら、そこには互い に独立した多数の関係者が存在し、それぞれが個別に自身のシステム を保有・運営し、それらのシステムを寄せ集めて相互運用すること で、サイバーセキュリティ課題に対する多層的ソリューションを形成 しているからです。しかもこのソリューションの製品ひとつをとりだ してみても、その各部品を複数の会社が提供している、または一社の 複数の部署が提供している、ということもめずらしくありません。 48 サイバー時代の新常識の舵を取る この複雑なサイバーセキュリティ上の課題をまえに、大半の企業役 員は、サイバーリスクがもはや対岸の火事でなく、目前にある事業遂 行上のコストであることを認識しています。企業は効果的なリスク軽 減対策を積極的に模索しており、昨今の調査によれば、取締役会の 80%が既にサイバーセキュリティを議題に含めるようになっていま す。これは 4 年前の約 30%から 50%の増加です。企業は自社の企業 リスクマネジメントの枠組みを見直し、サイバーリスクやそれに関連 する管理策を必要なリスクマネジメント処理のひとつに含めるように もなりました。クラウド上で業務が実行される機会が増え、社内イン フラ用に導入された従来の管理策が役に立たなくなるケースも増えて います。あらゆる健全なエコシステムと同様、クラウドのような環境 はステークホルダーが相互に交流し、コンテンツをやりとりする絶好 の機会を生みだす一方で、新たなリスクもはらんでいるのです。こう したことがあいまって、高度化する脅威に比べ、リスク軽減の手法と 技術は遅れをとっている状況です。 実際、私たちが世界経済フォーラムやマッキンゼーと共同で実施し た過去の調査から、役員の 90%が自社のサイバー脅威への対処能力 は「初期段階」にあり「発展途上」だと感じていることが分かりま した。役員はこうした状況でサイバー侵害が事業遂行に伴う避けがた い現実となったとき、大規模なサイバー侵害の可能性とそこから想定 されるコスト、影響について懸念しなければなりません。また、リス クを数値化してエクスポージャー(保護すべき組織の情報がサイバー 侵害により漏えいすること)発生リスクの評価手法を策定し、その影 響を軽減し、損害から復旧するための計画も策定しなければなりませ ん。 49 公的機関 同様に、公的機関も個人データ保護やネットワークに接続した重要 インフラのセキュリティ確保を迫られるようになってきています。テ ロリストや過激派は、人材募集や洗脳、攻撃の推進、実行手段として インターネットを悪用しています。こうしたなか、官民で効果的に連 携するには、法律制定と施行に伴う課題や調査・情報共有上の障害を 含め、連携を阻む要因や制限を認識し、対処しなければなりません。 インターネットを構成する基幹システムやリソースの多くを民間企 業が管理するなかで、政府機関の多くは技術的懸念の残るこの新たな 領域の課題に対処しようと努力している最中です。公的機関の直面す る一番の課題は人材不足でしょう。技術系の人材や専門知識は民間企 業に集まる傾向があるからです。もうひとつの要因は、ユーザーの年 齢、文化、経験、価値観に応じてプライバシーやセキュリティに対す る期待が異なることです。 その一方で公的機関ならではの強みもあります。たとえば公的機関 であれば国内外の脅威に関する情報を入手しやすく、サイバー犯罪の 捜査や起訴の権限も持っていて、競合や風評といった懸念から通常で は難しい企業との協力も実現できます。 官民のパートナーシップ 成熟した業界と発展途上の業界、先進国と途上国のギャップを埋 め、知識・情報の共有を促すには、本当の意味での官民のパートナー シップが喫緊の課題であるのは明らかです。かつてマネーロンダリン グやテロ資金調達に対抗し、金融業界の官民関係者が結集して行った 取り組みと同様に、複数のステークホルダーが参加する新たなイニシ 50 サイバー時代の新常識の舵を取る アチブが実現すれば、サイバー空間はより強固となり、市民の信頼向 上、グローバルセキュリティ強化、過激派への対応、基本的権利の保 護、国境を越えた経済活動の推進の後ろ盾となるでしょう。 この新たなサイバー時代の新常識のなかでうまく舵を取るには、企 業のリスク慣行もそれにあわせて修正する必要があります。企業経営 者や政府指導陣はこの課題の複雑さを言い訳にしてこれ以上逃げかく れすることはできません。サイバーセキュリティはすでに業界・省 庁・市民社会を越えた重要課題ですし、ネットワーク社会が物理社会 の基盤により深く組み込まれるにつれ、サイバーセキュリティの緊急 性は高まる一方だからです。とはいっても、官民はそれぞれに難しい 課題に直面しています。多様な役割と責務の間でバランスをとり、 限られたリソースに優先順位をつけて配分するという課題です。さら に、官が民の直面する課題の複雑さを正当に評価できない、あるいは 逆に民が官の課題を評価できないといったことが、あまりに頻繁に生 じています。こうした誤解は、効果的な連携とパートナーシップを損 なうおそれがあります。 サイバーセキュリティに関するグローバル・アジェ ンダ・カウンシル 世界経済フォーラムの「サイバーセキュリティに関するグロー バ ル・ ア ジ ェ ン ダ・ カ ウ ン シ ル(The Global Agenda Council on Cyber Security of the World Economic Forum)」 は、 変 化 す る サ イ バーセキュリティ動向や新たな課題をめぐる困難な挑戦に対し、実践 的な解決策を模索し、開発するために設置されました。サイバーセキ ュリティは、もはや IT 部門だけにまかせる問題ではなく、業界・政 府の最も高い次元での関与が求められる問題だからです。 51 このデジタル偏重社会では、インターネットを活用した経済・産業 によってもたらされる、これまでにない政治、社会、ビジネス面の機 会が存在します。それによりますます複雑さを増すコーポレートガバ ナンス環境下でも、個々の目標を追求した結果が、グローバルなイン ターネットを包括的に捉えた経済的・社会的価値向上につながるよう にしなければなりません。 この現代技術が与える社会的、政治的、経済的影響を、私たちは理 解し始めたばかりです。従来なら国家権限の裁量にまかせていた判断 や特定の会社に委ねていた決定が、今では極めて国際的で公的な影響 力を持つ可能性があります。よく言われる「グローバルに考え、ロ ーカルに行動する」をネットワーク社会にあわせて言い換えるなら、 「ローカルに考え、グローバルに行動する」必要があるのです。 企業はあまたの現実的な緊急課題に直面していますが、こうした課 題に対し、誰もが普遍的に利用できて体系だった解決策が近い将来あ らわれる可能性は低いでしょう。ただ特定の事例については、各分野 の専門家の力を借りてベストプラクティス案、原則集、新たな連携上 のイニシアチブや具体的なイニシアチブを策定し、大幅な進歩を達成 できる可能性はあります。 結びに サイバーセキュリティに簡単な解決策や特効薬はありません。しか しながら、サイバーセキュリティ上の課題に対処するため民間が今す ぐできることがあります。それは、サイバー空間の衛生に関する優れ たプラクティスに従い、これを実行することです。これにより、企業 はサイバー環境にただちに望ましい影響を与えることができます。官 民の緊密なパートナーシップを実現し、そこから生まれてくる新たな 52 サイバー時代の新常識の舵を取る 統合的ガバナンスの枠組みを活用しましょう。そしてこの枠組みを活 用して、セキュリティ上のベストプラクティスに対する企業風土や意 識を向上させましょう。こうした取り組みを続けることで、革新をも たらす機会を逸することも、信頼を損なうこともなく、サイバーセキ ュリティ上効果的なルールやツールを官民共同で策定する体制をつく りだし、ひいてはこのサイバー時代の新常識のなか、私たちみながう まく舵を取ることができるようになるでしょう。 ※本章は著者らが副議長およびマネージャーを務める、世界経済フォーラム「サイバーセ キュリティに関するグローバル・アジェンダ・カウンシル(Global Agenda Council on Cybersecurity)」の白書に基づいて作成されたものです。 国連安保理 テロ対策委員会執行事務局長 ジャン = ポール・ラボルデ(Jean-Paul Laborde) 1950 年フランス・オーシュ生まれ。トゥールーズ第 1 大学法学研究所卒業、ト ゥールーズ大学 ( 私法学 ) 修士課程修了。 22 年にわたりフランス刑事司法制度の様々な部局で上級職を歴任後、フランス破 棄院(司法最高裁判所)刑事部裁判官。 2009 年から 2010 年には国連の政務担当事務次長のテロ対策問題担当上級顧問、 2010 年から 2011 年にはテロ対策実施タスクフォース事務局長兼議長を務めた ほか、国連薬物犯罪事務所(UNODC)の犯罪防止・刑事司法担当地域間アドバ イザーを務め、国連事務次長補レベルのテロ対策委員会執行事務局(CTED)長 に任命され、現在に至る。 学術活動にも積極的に寄与し Catholic Institute for Highest Studies で国際金 融・経済犯罪に関する講座を担当するほかトゥールーズ大学法学部の Centre de droit pénal international(旧国際刑法センター、現国際刑法・紛争分析センタ ー)の共同創設者でもある。 53 世界経済フォーラム デジタルエコノミー・技術政策・情報通信技術産業部門長 ダニル・ケリミ(Danil Kerimi) dkerimi@cyber.harvard.edu 世界経済フォーラムにおいてデジタル経済・グローバルテクノロジー政策部門 の 責 任 者(Director, Digital Economy and Global Technology Policy) 兼 NETmundial Initiative(ネットムンディアル・イニシアティブ、以下 NMI)事 務局員。世界経済フォーラムでは、グローバルテクノロジーに関する政策課題の 策定を担当、ドメイン名管理機関 ICANN(Internet Corporation for Assigned Names and Numbers)及びブラジルインターネット運営委員会との協働で進め られている NMI のフォーラム側担当窓口担当。NMI の取り組み目的は、多数のイ ンターネットガバナンス問題に対処するためのすべてのステークホルダー間の実 際的な協力を媒介するプラットフォームを提供すること、インターネットガバナ ンスにおける諸問題、解決策、専門知識及びリソースの中立的な情報センターと して機能すること、各コミュニティが見つけた課題に対処するためのベストプラ クティス、提言、イノベーション、解決策につなげられるよう、知識や専門技術 を共有できるオープンで包摂的、かつ公平で協調的なコミュニティを実現するこ と、及び政策策定における格差対策として、発展途上国のコミュニティや政府、 支援の行き届かないステークホルダーを能力開発活動と関連する機関やプロセス とのネットワーク構築を通じて援助すること。世界経済フォーラム勤務以前は、 国際連合、欧州安全保障協力機構、国際移住機関などの国際機関で様々な要職を 歴任。山東大学(中国)、ウィーン外交アカデミー卒業。世界経済フォーラムが多 くの大学との協力で実施する Global Leadership Fellowship プログラムを修了。 54 サイバー時代の新常識の舵を取る サイバー空間における攻 撃側と防御側の格差拡大 株式会社サイバーディフェンス研究所 専務理事/上級分析官 名和 利男 56 サイバー空間における攻撃側と防御側の格差拡大 深刻化及び広域化するサイバー攻撃に対して、現在、官民挙げて 様々な取り組みが行われていますが、サイバー攻撃を仕掛ける側の状 況を観察し、サイバー攻撃という行動を誘発させる環境や原因等を 見出そうという取り組みが希薄であるように感じます。サイバー攻撃 は、いまのところ自由意志を持った人間が仕掛けていますので、今後 のサイバー攻撃の動向を正確に見積もることは難しいですが、 「攻撃 側」の人間が置かれている状況や背景を理解することにより、動向変 化の見通しを得ることは、ある程度可能なはずです。また、サイバー 攻撃から自組織を守る立場にある「防御側」の環境変化も理解する必 要があります。 「防御側」の守る能力が変化していくと、「攻撃側」と の相対的な位置関係が変動し、 「攻撃側」の攻めることができる能力 が大きく変わるためです。 それでは、サイバー空間における「攻撃側」と「防御側」の状況を 眺めてみましょう。 攻撃側 サイバー空間における「攻撃側」というと、サイバー犯罪者、悪意 のあるハッカー、ハックティビスト(ハッキングをすることで特定の 主張や抗議を行う者)などが想起されますが、他にもいくつか存在し ています。例えば、テロ対策や治安対策を任務とする組織が、法に基 づいて行うインターネット上の合法的な傍受活動は、その対象となっ た団体・個人及び人権団体等からみるとサイバー攻撃を仕掛けられた と認識します。また、安全保障・外交や国防を任務とする組織が、相 手国に対して行うインターネット上の諜報行動は、その相手国からみ るとサイバー攻撃の被害を受けたと見なします。最近では、一部の過 激派テロ組織或いはその同調行動を行う主体が、テロ活動の一環とし て様々なサイバー攻撃を仕掛けるようにもなってきています。このよ うな「攻撃側」の主体は、その行動の目的や対象の違いにより、次の 57 5 つの分類で具体的に説明することができます。 ① 新技術や応用技術(科学技術、医療等)の発展を任務とする機 関・団体及びそれと近い関係にある組織が、特定の対象組織の 内部にある重要情報を窃取する。 政治、経済、軍事などの分野において急速な発展を遂げつつある新 興国において見られます。新技術や応用技術の研究開発には、専門的 な人的リソースと膨大なコストが必要となるだけでなく、長い時間を 要することがあります。しかし、上層部の強い意志を伴って設定され た目標や計画通りに進まない、或いは、それらの実現が危ぶまれる状 況に陥った現場は、不正手段による目標達成を試みようとします。そ の一つの手段がサイバー攻撃による情報窃取です。主な攻撃対象は、 先進国において高い技術やノウハウを保有する組織であるとみられて いますが、政府機関から委託を受けた民間企業の中には、同国の競合 会社に対しても情報窃取や不適切な人材獲得を行うなど、技術開発競 争を激しくしています。さらに、これに便乗した形で、競合会社等か らの情報窃取を専門とする職業的ハッカーがこれを助長している状況 です。この種の攻撃主体として有名なものは、1998 年~ 1999 年の Moonlight Maze(ロシア当局が攻撃起源と推定されている米国に対 するサイバー攻撃主体) 、2003 年~ 2004 年の Titan Rain(中国当局 が攻撃起源と推定されている米国に対するサイバー攻撃主体)です。 ちなみに、日本に対するサイバー攻撃については、枚挙に暇がありま せん。 ② 軍内部のサイバー戦略・戦術の開発・推進を任務とする機関・組 織が、敵対する国の軍の行動能力や規模を把握する。 主要国における国防を任務とする組織(軍等)は、限られた人的リ ソースで行動能力を向上させつつ、全般的にコスト削減をすることが 求められています。これを解決する一つの手段として、汎用的な製品 58 サイバー空間における攻撃側と防御側の格差拡大 や技術をはじめとしたサイバー空間の積極的利用があります。一方、 敵対する国の軍は、このようなサイバー空間利用に依存したところに 着目したサイバー兵器の開発を進めています。また、一般的に、自軍 の優位性を確保するため、敵対する国の軍の行動能力や規模を把握す ることが重要視されています。しかし、最近のデジタル化や情報化の 推進に伴い、旧来の火力や機械力だけでは適切に把握できなくなって きているため、積極的な情報戦を行うことが求められています。情報 戦には細かな作戦分類がありますが、いずれの作戦を遂行するにも、 敵対する軍の行動能力や規模を把握しておくことが必須となります。 さらに、自軍におけるサイバー空間の防護能力で保有すべき開発・推 進のレベルは、敵対する国の軍のサイバー空間における行動能力を凌 駕するものでなければなりません。ところが、多くの国の軍は防衛関 連企業の技術や知見に依存しているため、敵対する国の軍の能力を把 握する際、その軍と近い関係にある防衛関連企業も情報窃取のター ゲットにする傾向にあります。このような状況に対して、米国では DCISE(Defense Industrial Base Collaborative Information Sharing Environment) 、日本では CDC(サイバーディフェンス連携協議会) という枠組みで、防衛領域におけるサイバー攻撃対処の官民連携の強 化を図っています。 ③ 国内の治安や統制を任務とする組織が、テロリストや(国内の) 不法分子を支援する組織の行動情報や内部情報を傍受する。 ゲリラ的なテロ活動に悩んでいる国家は、様々な取り組みや仕組み の構築による対策で、テロ活動を未然に防ごうと努力しています。し かし、昨今の個人情報保護の意識や関心の高まりにより、インターネ ットの関連サービスの保全性や機密性が格段に向上していることを受 けて、テロ対策や治安を任務とする組織にとっては、一般のネットユ ーザーになりすまして行うテロの準備活動を察知することが難しくな ってきています。一方、テロ活動により甚大な被害を受けた経験の多 59 い国々は、必要な法律を整備した上で、その運用を工夫しながら、テ ロリストや不法分子及びそれを支援する組織の行動情報や内部情報を 積極的に把握する行動を行っています。一部の国では、サイバー犯罪 と同様な手口で行っているケースも見られます。 ④ マフィアやギャング或いはそれに近い関係にある組織が、不特定 多数或いは特定の相手から経済的利得を得る。 世界各国におけるマフィアやギャングという組織犯罪集団が、不法 行為による経済的利得を確保する仕組みを有しています。その代表的 な手段として、麻薬取引や売春などが挙げられます。しかし、そのよ うな犯罪行為を取り締まる警察(法執行機関)の権限強化や、それ を支持する法令が相次いで制定されるなどして、組織犯罪集団が旧来 の不法行為による経済的利得を獲得することが徐々に難しくなってき ています。ところが、それに反比例するような形で、あからさまな金 銭窃取を目的としたサイバー犯罪が急増しており、その幾つかにおい て、攻撃起源がマフィアやギャングとなっていることが確認されてい ます。この種のサイバー犯罪は、ビジネスモデルとして定着している とみられており、執拗かつ継続的に仕掛けてくる特性があります。そ のため、その攻撃対象は、不特定多数となる傾向があります。 ⑤ 強い不満や不安を持つ若年層が、鬱憤晴らし、特定の思想や信 条、或いは何かしらの報酬を得るために行う。 テレビ視聴者の一部が、コマーシャルや番組の内容に影響を受けて 購買行動に向かう傾向があると同様に、ネットユーザーの一部は、ネ ットメディアやソーシャルメディアによる情報発信に大きな影響を受 け、特定の事象に対する同調的な行動に向かう傾向が見られます。こ れらのネットユーザーが同調的な行動に向かう理由や背景は様々で すが、彼らの発言内容を眺める限り、 「何かしらの事象をネットでつ るし上げることにより日頃の鬱憤を晴らそうとする」、「特定の思想や 60 サイバー空間における攻撃側と防御側の格差拡大 信条を他人に理解してもらおうとする」 、或いは「特定のサイトに積 極的に誘導することで、そのサイトにアクセスさせることにより発生 する広告収入を得ようとする」などの行動が散見されます。特に、5 月 9 日のロシアにおける対独戦勝記念日や、9 月 18 日の中国におけ る柳条湖事変に伴う国恥記念日には、マスメディアやソーシャルメデ ィアが一斉に報じた内容に大きな影響を受けたネットユーザーの一部 が、強い嫌悪感を抱く対象とした相手国に、同時多発的なサイバー攻 撃を仕掛けようとする運動を活性化させます。 以上の 5 つの攻撃主体を眺めると、サイバー空間における「攻撃 側」は、我々「防御側」と比べて、優位性や収益性が非常に高い状態 にあると理解いただけたと思います。 防御側 次に、 「防御側」における現状について、幾つかの観点で「攻撃 側」と比較しながら確認していきます。 業務環境 「防御側」は、組織が指定した業務環境の中でサイバーセキュリティ 対策を行います。組織規模が大きいほど、この業務環境は厳しいコン プライアンスの影響下にあるため、自由なネットアクセスや他組織と 情報交流することに制限が課せられることがあります。また、業務 の一環として、新しい技術や知見を十分に習得する機会を得ることが 難しいため、業務時間外に情報収集及び学習をしなければならない担 当者も散見されます。これは、組織の上層部や意思決定者が、サイバ ー攻撃対処やセキュテリィ対策に関する経験や知見が不足している ため、高度化・巧妙化し続けるサイバー攻撃に追随するための能力保 持の必要性を理解しないことに起因していると考えます。一方、「攻 61 撃側」は、経済的利得の獲得対象となるターゲットに関する情報収集 や、そのシステムや攻撃の技術習得と準備のために、ほぼ全ての自分 の時間を使うことができます。しかし、 「防御側」は、対処活動以外 に組織の意思決定者や上層部に対する報告という作業もしなければな らないため、対処にかかる実務能力の向上を阻害する要因がかなりあ るといえます。 意識・意欲 「防御側」の担当者の多くは組織における構成員(企業における労働 者)であるため、組織から命を受けて担当となります。しかし、その 全ての担当者が、サイバー攻撃対処やサイバーセキュリティに強い関 心と行動意欲を有しているとは言い難いところがあります。そのた め、サイバー攻撃の技術に追随及び対処する実務能力を獲得しようと するというより、組織から許される予算の中で、サイバーセキュテリ ィ対処にかかるプロダクトやサービスの調達に専念する傾向にありま す。この観点でも、 「攻撃側」と比べて意識面で劣っていると言わざ るを得ません。 活動制約 外部のベンダーや専門事業者は、 「防御側」の内部状況を的確に把 握することができないため、 「防御側」自らが、サイバー攻撃に関す る十分な理解と適切な対処立案をすることが求められます。ところ が、 「防御側」の担当者は、組織内の全ての部門を直接的に把握する ことや、対処立案の実施に必要な他部門への影響力行使をすることが 非常に難しいです。また、組織の内部事情により、全ての部門に影響 力を行使することが出来る上層部の協力を仰ごうとする担当者はわず かです。一方、「攻撃側」はこのような制約はまったくありません。 攻撃側の多くは組織の縦割りの概念がないため、攻撃に必要な活動を 何の制約もなく実施することが出来ます。 62 サイバー空間における攻撃側と防御側の格差拡大 人的リソース 最近、サイバーセキュリティを専門とする人材が枯渇しており、運 よく採用できたとしても、そのコストは高くつきます。そのため、 「防御側」に与えられる人的リソースは、非常に限られたものになり ます。そして、民間企業におけるサイバー攻撃対策やサイバーセキュ リティは、経営者にとってはお金を生まないコストとして見なされる ことが多い状況です。一部の経営層は、費用対効果を「防御側」の担 当者に算出させようとしますが、その担当者は、上層部を説得させる ためだけの見せ掛けの数字しか出せません。サイバー攻撃は「攻撃 側」たる人間の自由意志により仕掛けられるものである以上、その発 生予測を正確に見積もることが不可能に近いためです。このような算 出作業は、担当者のコスト意識向上や他の経営幹部の説得材料とする 以外に使い道がなく、 「防御側」のサイバー攻撃対処の実務としては 何の生産性もないものとなります。一方、 「攻撃側」は、経済的利益 が得られる或いは共通の目的を達成するという前提で、一時的な仲間 を見つけることができる環境にあります。このような「防御側」と 「攻撃側」の人的リソースにおける悲劇的な格差は、是正するような 材料がほとんど見当たらず、ますます拡大の一途を辿っています。 結びに 以上のように、 「攻撃側」と「防御側」の状況を眺めてきました が、一つ言えることは、我々「防御側」は、「攻撃側」に比べると、 かなり劣勢な状況に置かれているということです。そして、この状況 を打開する王道は、今のところ見当たりません。 我々「防御側」が「攻撃側」を凌駕するためには、絶え間ない努力 と関係主体間の密な相互連携以外にはないと考えます。そして、それ 63 以前に、サイバー攻撃に対処する「防御側」となる全ての主体者が、 適切な状況認識と適切な危機感を持つことが求められています。 サイバーディフェンス研究所 専務理事/上級分析官 名和 利男(なわ としお) 海上自衛隊において、護衛艦の COC(戦闘情報中枢)の業務に従事した後、航 空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指 揮システム等のセキュリティ担当(プログラム幹部)業務に従事。 その後、国内 ベンチャー企業のセキュリティ担当兼教育本部マネージャ、JPCERT コーディネ ーションセンター早期警戒グループのリーダを経て、サイバーディフェンス研究 所に参加。 専門分野であるインシデントハンドリングの経験と実績を活かして、 CSIRT(Computer Security Incident Response Team) 構築及び、サイバー 演習(机上演習、機能演習等)の国内第一人者として、支援サービスを提供。最 近は、サイバーインテリジェンスやアクティブディフェンスに関する活動を強化 中。現在、PwC サイバーサービス合同会社や Arbor Networks のアドバイザー を兼務している。 64 サイバー空間における攻撃側と防御側の格差拡大 IoT 時代のサイバーセキ ュリティ 株式会社日立製作所 取締役会長 代表執行役 中西 宏明 66 IoT 時代のサイバーセキュリティ IoT(モノのインターネット)は、あらゆるものがつながる世界を 実現します。あらゆるものがつながることで、さまざまな価値がもた らされるようになり、IoT は、人々の日常生活や経済活動にとって、 不可欠な存在となります。しかしその一方で、サイバー攻撃や犯罪の リスクが高まり、被害も甚大化するため、その対策がいっそう重要と なります。 ここでは、まず Society 5.0 に関わる取り組みから IoT が実現する 価値を示し、続いて IoT 時代の課題と対策について、重要インフラ セキュリティを例として述べていきます。 1.IoT が実現する価値と価値実現の道筋:Society 5.0 インターネットによりつながる世界は、まず e コマースとして商 業分野で始まり、その後、製造業を中心とした第 4 次産業革命が起 きようとしています。そして今後、変化の波は、社会全般に広がり、 IoT の恩恵は、社会システム全体で享受できるようになると期待され ます。これまでの IT は、市場拡大や生産性向上など、経済価値の増 大を目的として活用されることが中心でしたが、これからの IoT は、 エネルギー・資源問題や都市問題、高齢化問題など、グローバルな社 会課題の解決に関わる領域で、力を発揮していくと考えられます。 日本政府が提唱する「Society 5.0」は、IoT や AI(人工知能)が 創出する価値を、社会全体として、より広範にとらえている点に特徴 があります。電力を例としますと、電力会社は、需要のピークに対応 することが大きな負担となっていますが、デマンドレスポンスを導入 し、ピーク時間帯の電力使用を減らすことができれば、その負担を軽 減することが可能となります。デマンドレスポンスの導入は、発電か ら送配電、エンドユーザーの電力利用、料金の徴収まで、電力システ ムのバリューチェーンを、真の意味でつなげる、という点に大きな意 義があります。つまり、電力利用者にどれだけのピークシフトを促す ことができ、発電費用を抑えることができるのか、さらには、発電所 67 の建設計画を最適化できるのか、といった検討をより実質的に解析す ることが可能となるのです。 IoT が実現する価値と価値実現の道筋、つまり社会システム全体 を、真の意味でのバリューチェーンとしてつなげるためには、第1に 社会インフラの設備やロボット、自動車、センサーなどのデバイスが ネットワークにつながり、データをやり取りできるようになることが 必要です。データが収集され、使いやすい形式に変換され、蓄積す るシステムが成立することが前提となります。第 2 に、データを分 析し、価値を生み出すことができるようになること。多量のビッグデ ータのリアルタイムでの分析や社会システムのシミュレーションによ り、価値実現や課題解決の最善策を示せるようになることが重要で す。 第 3 に必要なのは、現実社会にこれらの結果をフィードバック す る シ ス テ ム を 構 築 す る こ と。2016 年 1 月 に 第 5 期 科 学 技 術 基 本 計 画 が 閣 議 決 定 さ れ ま し た が、 そ の 第 2 章 で は、 「従来は個別 に機能していた “ もの ” がサイバー空間を利活用して “ システム 化 ” され、さらには、分野の異なる個別のシステム同士が連携協調 することにより、自律化・自動化の範囲が広がり、社会の至ると ころで新たな価値が生み出されていく」との考えを示しています。 2. IoT 時代の課題:サイバー攻撃や犯罪のリスクの高まり IoT 時代を迎え、多種多様なデバイスがネットワークで接続される ようになると、新たなサイバー攻撃の脅威が高まることが懸念されま す。インターネットと常に接続状態にあるスマートフォンなどが急速 に普及し、同時に、これまで独立していた家電製品や自動車、監視カ メラなどが、新たにインターネットにつながったことで、サイバー攻 撃の対象が増加し、拡散しています。これらの変化は、急速に進行し たため、セキュリティ対策が不十分な部分が取り残されるリスクも高 まっています。 68 IoT 時代のサイバーセキュリティ また、IoT 時代には、エンドユーザーやセンサーが発するデータ が、リアルタイムかつ自動的に社会インフラにつながり、場合によっ ては、制御に反映されるようになります。このため、サイバー攻撃の 影響が直接、実世界に及ぶようになり、損害も甚大になります。例え ば、自動車における GPS 信号への攻撃について考えると、これまで は、妨害波によりナビゲーションが機能しなくなるなど、便利さが失 われるリスクが問題となりましたが、自動運転の時代になると GPS 信号のなりすましにより、カージャックされるリスクまで検討するこ とが必要となります。 サイバー攻撃の中身も、大きく変化しています。サイバー攻撃者と 目的の点では、これまでは個人によるいたずら目的の無差別型攻撃が 多かったのですが、最近では、テロリストなどが主導する経済的もし くは社会的な打撃を与えることを目的とした標的型攻撃が深刻化して います。攻撃の手法も、単一攻撃ではなく、あらゆる手段を駆使して 被害を発生させようとする、複合攻撃に変化しています。また、これ までは、公知となっている攻撃を模倣した攻撃が大半でしたが、未知 の脆弱性を突くゼロデイ攻撃が増えています。 サイバー攻撃による世界経済の損失額は、風評被害など二次的な被 害も含めて、2015 年で年間約 4000 億ドル、2019 年には、全世界で サイバー攻撃対策用に 2 兆ドル以上のコストが掛かるとの分析もあ り、 「リスクの甚大化」 、 「拡散」 、 「グローバルリスク化」など、国家 安全保障上の重要課題として取り組む必要が高まっています。 3.高まるサイバー攻撃リスクへの対策の進化: 重要インフラセキ ュリティの例 それでは、ますます深刻化していくサイバー攻撃のリスクにどのよ うに立ち向かっていけばよいのでしょうか。ここでは、国民生活に甚 大な被害をもたらすであろう電力や交通、水道など重要インフラのセ キュリティ対策を中心に見ていきます。 69 アメリカでは 2013 年の大統領令をきっかけに、重要インフラの防 護計画、官民連携プログラム、攻撃への対策指針であるフレームワー クの作成などが、政府主導で推進されてきました。一方、日本でも、 サイバーセキュリティ基本法のもと、例えば、情報通信、金融、航 空、鉄道、電力、ガス、政府・行政サービス、医療、水道、物流、化 学、クレジット及び石油の 13 分野に属する重要インフラ事業者など に対し、情報セキュリティ確保において、政府機関などで取られてい る対策に準じた取り組みを求める動きなどが見られます。 重要インフラ事業者はそれぞれに対策を講じているのですが、個々 の重要インフラ事業者が単独でセキュリティ対策を行うだけではサイ バー攻撃の脅威への対応に限界があります。特定の企業や組織を狙う 攻撃者は、周到に準備をすすめ、段階的に攻撃を仕掛けてくるから です。このような段階的な攻撃への対応策には、多層防御によって堅 牢性を高める方法があります。システムにおける認証ポイントを、物 理、ネットワーク、データまで階層ごと、多段に設定し、堅牢性を高 め、対抗する方法です。 攻撃者はより大きな被害を、より確実に発生させるために、人の心 理やミスなどのヒューマンファクターを突く攻撃を組み合わせた攻撃 を仕掛けてくるかもしれません。このような攻撃に対抗するために は、システムの堅牢性を高めるだけではなく、教育や実践型演習によ って人の対応力も強化する必要があります。 未知の脆弱性を突くゼロデイ攻撃に対しては、早期に発見する対 策、例えば、ビッグデータ分析結果を用いた振る舞い検知などが重要 です。通常、ソフトウェアベンダーやセキュリティベンダーは新し い脆弱性が発見されるとパッチ提供やリスト更新によって対応します が、攻撃者が組織化したことによって、ベンダーよりも早く脆弱性を 見つけ出し、ベンダーが対策する前に先制攻撃を仕掛けてきます。ゼ ロデイ攻撃への対応策は、 「いかに防ぐか」ではなく、「いかに早く発 見し被害を抑えるか」という考え方のもと、対策することが必須で 70 IoT 時代のサイバーセキュリティ す。 4.サイバーセキュリティ対策強化に向けた提言 このようなサイバーセキュリティ対策を有効に導入し、さらに強化 していくためには、産官学が連携し、サイバーセキュリティ対策が、 自律的に強化されていくエコシステムの成立まで発展させることが不 可欠と考えます。 経団連は、重要インフラ等をサイバー攻撃から守るため、昨年に続 き、今年 2016 年の1月に、 「サイバーセキュリティ対策の強化に向 けた第二次提言」をまとめ、公表しました。提言では、サイバーセキ ュリティ対策として、(1) 情報共有、(2) 人材育成、(3) セキュリティ レベルの高いシステムの構築、(4) 国際連携の推進、(5) 東京オリンピ ック・パラリンピックへの対応を骨子とし、政府機関と企業による双 方向の情報共有や人材の要件の明確化、大学などにおける人材レベル に応じた教育の実施、社会システムとしての重要インフラの重点的な 防護、範囲の見直し、通信検知や攻撃予兆解析などの技術開発などを 掲げました。 また、内閣府の戦略的イノベーション創造プログラムや IoT 推進 コンソーシアムの活動にも、大いに期待しています。セキュリティ対 策技術の研究開発とともに、社会実装に向けた共通プラットフォーム の実現やセキュリティ人材育成は、日本のサイバーセキュリティの強 力な基盤となるでしょう。 このような動きに加えて、今後重要となるのが、これらの活動をト リガーとして、日本のサイバーセキュリティ対策が、自律的に強化さ れていく好循環を成立させることだと考えます。言い換えれば、セキ ュリティ対策への投資が適切に行われ、うまくおカネが回る仕組みづ くりです。 その一つが、日本が新興国などの重要インフラ建設に貢献する中 で、サイバーセキュリティ強化を位置づける施策です。サイバーセキ 71 ュリティにより、日本が建設する重要インフラの安全性・安定性を高 めるとともに、日本のセキュリティシステムやソリューションが、重 要インフラと合わせて、活発に海外展開されるようになり、社会イン フラ全体のセキュリティ強化に貢献するための取り組みです。 また、インフラ事業者が、円滑にセキュリティ投資を予算化できる ようにするためには、新しい技術の認定制度やそれを採用する調達制 度 ( ガイドライン含む ) の見直し、被害の発生確率と被害額、セキュ リティ投資効果の見積り支援などが重要です。サイバー攻撃は、複雑 化・巧妙化していますので、検討プロセスを部門別・個別にするので はなく、包括的に検討できるようにするマクロな対応も必要です。そ のためには、(1) まず、オリンピック・パラリンピックを想定して、 危険要素をリストアップし、とるべき対策案を作ること、(2) その内 容を関係者にトップダウンで共有すること、(3) これを規制やガイド ラインなど、明確な形で定着させること、(4) 同時に、現実的な対応 策を実装できるよう環境を整えておくことが重要です。 重要インフラをサイバー攻撃から守り、オリンピック・パラリンピ ックを無事に執り行えるようにするための取り組みには、十分過ぎる ということはありません。産官学が連携し、強靱で、活力のあるサイ バー空間を構築することが求められます。 株式会社日立製作所 取締役会長 代表執行役 中西 宏明(なかにし ひろあき) 1946 年生まれ。東京大学工学部電気工学科卒業、スタンフォード大学大学院 コンピュータエンジニアリング修士課程修了。 株式会社日立製作所入社後、常務、専務、副社長、社長を経て現在、取締役会長 代表執行役。一般社団法人日本経済団体連合会副会長、IoT 推進コンソーシアム 副会長、一般社団法人中東協力協会センター長を務める。 72 IoT 時代のサイバーセキュリティ サイバーセキュリティ グローバルな視点から見えてくること 国際刑事警察機構 総局長 中谷 昇 74 サイバーセキュリティ 1 はじめに 情報化社会の到来により、我々が現に生活している「リアルスペー ス」と、インターネット上に成立している「サイバースペース」は、 相互に依存する存在として認識されるようになってきました。世界の あらゆる情報がデジタル化され、地球上のどこからでもアクセス可能 なサイバースペース上でそれらが提供されている状況はインターネッ トの利便性を象徴するものではあるものの、一方で犯罪者も同じくこ の利便性を謳歌しているのは間違いありません。国境を越えて行われ る犯罪の増加が著しい中、その典型であるサイバー犯罪を各国が個別 に対処していくには限界があることから、国際的な連携がより一層重 要なものとなってきています。 国際刑事警察機構(インターポール)では、こうした連携を推進す る た め の 拠 点 と し て、 シ ン ガ ポ ー ル に INTERPOL Global Complex for Innovation(IGCI)を 2015 年 4 月 に 創 設 し、 イ ン タ ー ポ ー ル 加 盟国の法執行機関を結ぶサイバー犯罪対策に係る「One Stop Shop」 として、特定の脅威情報の提供、捜査支援、デジタルフォレンジック 等のトレーニングの実施などを民間のパートナーと協力を得ながら加 盟国に提供しているところです。 2 3つの課題 各国及び様々な企業・団体のサイバーセキュリティ対策を俯瞰する と、サイバーセキュリティの向上には、次の「3つのポイント」が重 要となることが見えてきます。 POINT 1 トップの責務 言うまでもなくサイバーセキュリティと情報通信技術は密接に関連 しており、その対策となるとまさに技術的な要素がその多くを占める 75 ことから、単純に技術的な問題であると考えられてしまう傾向があり ます。組織内の IT サポート部門が頑張って何とかしてくれているか ら大丈夫と信じている経営幹部が少なくないのが偽らざる実態ではな いでしょうか。しかしながら、サイバースペースは既に現実空間と同 様に重要な生活 / ビジネス環境となっており、潜在化するサイバーセ キュリティ上のリスクを把握しないまま事業運営を続けることは、い わばブレーキの効かない車で見知らぬ街を走行するようなものとも言 われており、単なる技術の問題ではないことを理解していく必要があ ります。 情報ネットワーク化とサイバーセキュリティ対策はバランスの取れ た形で進めることが重要であり、適切なサイバーセキュリティ対策は 様々なビジネスサービスの enabler(実現をうながすもの)となり経 済発展に資する一方で、十分に対策がなされないまま提供されたサー ビスにおいてインシデントが発生した場合には大きな代償を伴うとい った傾向が顕著になっています。実際、多くの国で顧客情報や内部の 機密情報がハッカーに盗まれるといった被害にあった企業、団体等の 76 サイバーセキュリティ 経営幹部が記者会見で謝罪している場面がたびたび目にされます。ウ イルス感染やそれに起因したネットワーク経由の情報窃取は企業にと って大きなリスクであり、こうしたリスクが顕在化した時の社会への 影響を常に意識することが重要となってきたことが実感されると思い ます。 CEO 等の経営層が、サイバーセキュリティそれ自体はリスクでは なく、そこへの必要な投資を適切に実施しないということこそが実は グローバルな高度情報化社会におけるビジネス上のリスクであると認 識することが極めて重要になってきており、サイバーセキュリティ対 策におけるトップの責務は一段と重くなってきていると言えます。 POINT 2 情報共有の必要性 銀行強盗の件数は世界的にも減少傾向である一方、オンライン・バ ンキングにおいてユーザーが知らぬ間に預金を窃取されたという類の 事件は頻繁に発生しています。最近では、コンピュータ・ウイルスを 使い銀行の勘定系システム等に細工を加え、犯人のなすがまま、彼ら が希望する場所にある ATM から思い通りの額の現金を吐き出させる 指示を送信し、実際に指定された ATM の現金受け渡し口から出てき た現金がそのまま奪われてしまうといった「サイバー銀行強盗」とも 呼べる事件も数カ国で発生しており、被害事例も報告されています。 しかしながら、こうした状況はまだ広く一般に知れ渡っておりませ ん。おそらく、発生件数がまだ多くないことも一つの要因とは思いま すが、それ以上に、銀行強盗であればマスコミで大きく取り上げられ ると同時に警察による事件捜査も同時並行して行われる一方、“ サイ バー銀行強盗 ”—拳銃も目出帽もなく IT 技術を悪用してネットワー ク経由で行われる銀行強盗—となると、警察に事件として通報されて いる件数はかなり少なく、マスコミも必ずしもトップニュースとして 取り上げない、という傾向が影響しているのではないかと思われま す。実際、オンライン・バンキング詐欺は金融機関、マルウェア感染 77 の被害はセキュリティソフト会社に報告・連絡というのが一般的では ないでしょうか。警察にまで届けられる報告件数というのは、民間で 把握している件数に比べれば氷山の一角といっても過言ではありませ ん。 こういったことからもご想像いただけるように、サイバー犯罪に係 る情報の多くは警察の手元にはない状況であり、その結果サイバー犯 罪の全貌を警察が把握するのは容易ではないという実態をご理解いた だけると思います。ここでの問題点は、様々な理由が背景にはある ものと思われますが、サイバー犯罪に係る事件報告が十分に行われて いない、ということにあります。サイバー犯罪の被害にあったとして も、事件を報告した結果として懸念される企業のイメージ悪化や株 価・業績への影響等を天秤にかけるあまりに報告を躊躇する傾向も指 摘されています。 ロンドン市警察でも、2015 年においてサイバー犯罪の 85% は警 察に報告されていないという実態に危機感を感じており、様々な規模 の企業がある中、全ての企業が十分な対策を同じように講じることが できていると信じる方が必ずしも適切ではないという視点から興味深 い分析をしています。つまり、サイバー攻撃の被害に遭っているとし ても、攻撃を受けている事実が内部で適切に共有され、その攻撃から 自分たちの情報システムが効果的に保護されるような仕組みが実装さ れているという理想的な状況を誰に対しても期待するというのは現実 的ではなく、そもそも自分たちがサイバー攻撃の被害者になっている ことすら気がつけていない企業が多いのではとして、実態と比較して 報告が少ない理由が解釈されており、意味深い問題提起の一つと考え られます。 多くのモノがインターネットを通じて相互につながる IoT 時代に おいては、モノ(Things)だけでなく、脅威(Threats)も容易にネ ットワークを通じて拡散してしまいます。IoT の指し示す元々の意味 で あ る “Internet of THINGs” が “Internet of THREATs” に な っ て し 78 サイバーセキュリティ まうことのないように、サイバー空間における脅威情報を共有し、共 同して対処することが重要です。サイバー犯罪の被害傾向やその対策 についての情報共有は、マーケットではライバル同士である同業種間 においても必須であると考えることが重要であり、むしろそういった 情報共有を通じて、類似の被害が同業種では確認されておらず、自社 だけが標的として狙われていることに気がつくことができれば、警察 に直ぐにでも相談することで、被害に応じた対策を一緒になって講じ ていくこともできるように思います。この意味では、2015 年に欧州 を拠点とする複数の銀行が集い、 「相互の情報共有」をその最大の武 器とし、サイバー攻撃に業界として的確に立ち向かうためロンドンに 共同で出資・設立した Cyber Defense Alliance(CDA)は、金融部門 における先進的な取り組みの一つとして評価できるものです。CDA は IGCI や複数国の法執行機関と緊密に連携しており、こうした情報 共有の枠組みを通じて、必ずしも保有できていない警察の「外」にあ る情報を共有してもらうということが、サイバー犯罪捜査を担う警察 にとっては極めて重要になってきているのです。 POINT 3 役割分担を明確にした官民連携が不可欠 サイバー犯罪に係る多くの情報が警察の外にあるという状況では、 警察が単独でできることは非常に限られてきます。 「官民連携」と言 うと、国によっては行政機関と民間企業との馴れ合いといった悪しき 慣習を連想されることもあるところですが、サイバー犯罪対策を効果 的に推進する、つまりサイバー空間の安全・安心を確保するために は、官民連携は不可欠な手段の一つであり、IGCI はこれを活用して これまで著しい成果を挙げてきました。おそらく、それは「官民連携 2.0」とも言える新しい形態のものです。一例を挙げますと、マイク ロソフトから提供された「警察の外にある情報」を基に、INTERPOL と関係国の法執行機関が連携し、さらにトレンドマイクロ(日本)、 カスペルスキー(露) 、サイバーディフェンス研究所(日本)等の民 79 間企業の情報分析のサポートを受け、コンピュータ・ウイルスの拡散 やサイバー攻撃の温床として世界で猛威を振るっていたボットネッ トをインターネット上から排除することに成功しています。これは、 2015 年4月に関係国のサイバー犯罪担当捜査官がシンガポールに集 まり、IGCI のサイバー・フュージョン・センター(写真)でオペレ ーションを行ったという好事例です。同様に、同年 12 月にも欧州刑 事警察機構(Europol)サイバー犯罪対策センター European Cyber Crime Centre(EC3)とともに、別のボットネットをインターネット 上から排除させるための共同オペレーションを関係国の法執行機関、 民間企業との連携の下、効果的に実施し成果を得るに至っています。 サイバー犯罪対策の観点からサイバーセキュリティの強化への取り 組みについて述べましたが、もはや官民連携というものはサイバーセ キュリティを考える上で避けるべきものではなく、避けられないもの として位置づけていくことが重要であり、政府、民間企業、学術機関 等のサイバーセキュリティを担う各プレーヤーが緊密に連携し、適切 に対策を講じていくことが期待されています。 80 サイバーセキュリティ 3 おわりに 2016 年 6 月、INTERPOL 及 び ナ イ ジ ェ リ ア 経 済 金 融 犯 罪 委 員 会 との連携の下で展開されたオペレーションの結果として、日本語で は「ビジネスメール詐欺」と翻訳されることの多い Business E-mail Compromise(BEC)に関与していたナイジェリア人主謀者を逮捕す るに至っています。「ビジネスメール詐欺」は、取引先の担当者にな りすました支払い依頼メールが新たな銀行口座情報とともに企業の経 理担当者に送り付けられ、正当な指示だと勘違いしてしまった担当者 が実際に送金をしてしまった結果、大金をだまし取られるというのが 主な手口として認知されています。本主謀者は、「ビジネスメール詐 欺」を国境を越えて行っていた元締めであり、日本円にして 60 億円 以上を荒稼ぎしていたということが確認されています。 本事件解決に至るカギは、 「グローバルな官民連携」によるもので した。トレンドマイクロが INTERPOL に提供した端緒情報が捜査の きっかけとなり、その後、フォーティネット(米)からの分析レポー トやサイバーディフェンス研究所の専門家によるデータ解析といった 協力を得て、ナイジェリア当局と共に犯人を特定していく作業が進め られて行きました。まさに、IGCI が官民連携のハブとなり、安全な サイバー空間の実現を目指したいという使命を抱く各プレーヤーを効 果的に結びつけることができた結果が今回の成功に結びついたと言え るのではないかと考えています。 日 本 に お い て も、 日 本 サ イ バ ー 犯 罪 対 策 セ ン タ ー(JC3: Japan Cybercrime Control Center)と呼ばれる産業界等と警察がそれぞれ の強みを活かしながら互いに協力できる場が確立され、サイバー空間 全体を俯瞰して、その脅威の実態を解明していく試みが始まっている と認識しています。INTERPOL では IGCI を通じて、各国法執行機関 を結ぶそもそものハブとしての役割に加え、グローバルな視点で各企 業のサイバーセキュリティ強化に資するプラットフォームとしての役 81 割をも担うべく、共通の使命を抱くプレーヤーと連携して、サイバー セキュリティ強化を推進していきたいと考えています。 国際刑事警察機構 総局長 INTERPOL Global Complex for Innovation(IGCI) インターポール グローバル・コンプレックス・フォー・イノベーション 中谷 昇(なかたに のぼる) 1993 年警察庁入庁後、警察庁情報技術犯罪対策課課長補佐、国際刑事警察機構 (インターポール)事務総局経済ハイテク犯罪課長、IT 局長、警察庁組織犯罪対策 部国際組織犯罪対策官等を歴任。 インターポールが事務総局の所在地(フランス・リヨン)を離れ、サイバー犯罪 の専門部局を含めた新たな拠点(INTERPOL Global Complex for Innovation : IGCI)をシンガポールにて開設(2015 年 4 月)するに当たり、初代トップとし て指揮・監督を担う。犯罪及び犯罪者の特定に向けた研究・開発拠点となるこの 新しい組織において、世界 190 加盟国の法執行機関に対するイノベーティブな訓 練と捜査支援の提供に向けた施策の開発・構築をリードし、現在に至る。 82 サイバーセキュリティ 企 業 経 営とサイバーセ キュリティ 企業幹部に求められるサイ バーセキュリティの知識と 行動 アメリカ合衆国元大統領特別補佐官、 Good Harbor Security Risk Management 社 最高経営責任者 リチャード・A・クラーク 84 企業幹部に求められるサイバーセキュリティの知識と行動 あらゆる企業はサイバー攻撃の危険にさらされています。サイバー 攻撃は、被害企業に大惨事をもたらすばあいもあれば、ちょっとした 災難で終わるばあいもあります。そのどちらになるかは、企業の上層 部がサイバーセキュリティをいかに理解し、その理解に基づいて行動 できるかしだいです。 いまや情報技術(IT)ネットワークなしで機能できる企業はなく、 ネットワーク運用には本質的なリスクが伴います。したがって、企業 幹部は例外なく、会計制度や企業法規制の基本を理解しなければなり ません。同様に、サイバーセキュリティについての基本的な理解も必 要です。それでは、企業幹部は何を知っておくべきで、何をするべき なのでしょうか。もちろん、自分でコンピューター用にプログラムを 書き、自社のセキュリティイベントやインシデントを管理するシステ ムに送信されるアラームをそのつど理解する必要はありません。必要 なのは、サイバーセキュリティが企業の包括的なリスク管理システム と戦略のどこに当てはまるかを理解することです。そのためには、サ イバーセキュリティと企業との関係における 4 つの重要要素を確認 しなければなりません。 起こりうる問題を理解する 第一に、リスクの全範囲、すなわち、自社のデータネットワークや 「モノのインターネット(IoT) 」上の、あるいはそれらを標的にした 悪意のある行為によって、どんな問題が起こりうるかを理解しなけれ ばなりません。攻撃をしかけてくるのは企業スパイやサイバー犯罪 者、不満を持つ従業員などです。様々な種類のデータが盗まれたり、 書き換えられたり、消去される可能性があります。生産やサービス提 供が遅延、停止するおそれもあります。製品へのダメージや資金の盗 難もありえます。厄介な情報が暴露されることもあるでしょう。企業 の評判が損なわれ、顧客離れが起き、株主が株を売却し、経営陣の交 85 代に動く可能性もあります。政府の規制当局から処分を受ける、競合 他社に市場シェアを奪われる、独自の研究結果を利用される、なども 考えられます。リスクレジスター(リスクを記載した登録簿)とリス クの優先づけは、それぞれの企業で異なります。同じ企業は二つとあ りません。したがって、企業幹部は自社のリスクを「発見」し、それ らのリスクの自社にとっての重要性を判断しなければなりません。こ のプロセスは、企業の「リスクプロファイル」と「リスク許容度」の 決定と呼ばれます。 サイバーリスクに関する計画の策定は、政府規制や監査基準の遵守 とは異なります。すべての規制や基準を遵守し、「ペネトレーション テスト(侵入テスト) 」に合格したばかりの企業でも、ハッキングを 受けて深刻な損害を被った例は少なくありません。リスクアプローチ という考え方は、個々の企業のニーズとその企業特有の要素に重点を 置き、すべてのリスクを除去できる基準やベストプラクティスは存在 しないという認識に基づいて行われるものです。 ガバナンス制度の仕組みを確認する 第二に、自社のガバナンス制度が、サイバーセキュリティを取り扱 うのに適した仕組みであることを確認しなければなりません。ガバナ ンス制度は、最高情報責任者(CIO)だけが懸念すべき問題ではあり ませんし、セキュリティだけに関する問題でもありません。企業全体 をリスクにさらしかねない「全社的」な問題なのです。自社が冒すべ きリスクはどれであるかや、どの程度のリスクなら適切なのかを判断 するのは CIO の役目ではありません。サイバーリスクに対する企業 としての責任あるアプローチをとるには、企業の上級役員が十分な情 報に基づいて関与し、定期的な見直しを行う必要があります。取締役 会もまた、十分な情報を与えられ、そのサイバー・リスク・アプロー チに同意しなければなりません。 86 企業幹部に求められるサイバーセキュリティの知識と行動 複数年計画を策定する 第三に、サイバーセキュリティ向上のための 2 ~ 3 ヵ年の計画を 策定する必要があります。この計画は自社のリスクに基づき、最初に 最重要のリスクの軽減を図るものでなければなりません。サイバーセ キュリティ関連の製品やサービスを購入するさいは、自社の優先リス クに直接関係するかどうかを必ず確認すべきです。 侵害に備えレジリエンスを高める 第四に、サイバーインシデントや侵害は起きるものと予想し、それ に備えることが必要です。リスクを完全に排除することは不可能で、 軽減しかできないことを認識しなければなりません。どんな計画や技 術でも企業のサイバーリスクをゼロにすることはできませんが、企業 のニーズに合わせて策定された適切な計画があれば、特に有害なリス クが発生する確率を下げられます。また、計画を策定することで、実 際にサイバーインシデントが発生したときに迅速に回復できる可能性 が高くなります。レジリエンス(復元力)を持つことは防御と同じく らい重要な目標です。したがって企業幹部は、いざサイバー危機が起 きたときに、自分たちとそれぞれの部下全員が何をするのかを把握し ておかなければなりません。適切で詳細な計画を実行し、その計画に 基づいて適切な研修を行うことで、インシデントに対応できる態勢を 整えておくことが肝要です。 終わりに IT を賢く利用すれば、自社を他社と差別化し、業界をリードし、 収益性を上げることができます。しかし一方、21 世紀の企業である ためには避けられないサイバーリスクに対する理解と備えがなけれ 87 ば、企業とその幹部にとっては失敗となりかねないことを覚えておく べきです。 アメリカ合衆国元大統領特別補佐官 / Good Harbor Security Risk Management 社 最高経営責任者 リチャード・A・クラーク(Richard A. Clarke) 企業や政府にサイバーセキュリティに関する助言を行う Good Harbor Security Risk Management 社の最高経営責任者(CEO)。 米国政府に 30 年勤務し、ホワイトハウス高官として 10 年にわたり 3 人の大統 領に仕えた。ホワイトハウスでは国際問題担当大統領特別補佐官、サイバースペ ース担当大統領特別顧問、安全保障・テロ対策担当国家調整官を務めた。 ホワイトハウス勤務以前は外交官として、20 年にわたり国務次官補を含む国務省 や国防総省の要職を歴任した。 2003 年に公職を離任後は、 「ABC ニュース」のオンエアーコンサルタントを 10 年間務め、ハーバード大学ケネディ公共政策大学院で 5 年間教鞭をとったほか、 全米ベストセラー 1 位になった『爆弾証言 すべての敵に向かって』、『核を超 える脅威 世界サイバー戦争』をはじめ、フィクションとノンフィクションを含 めて 7 冊の著書を執筆。最新の小説 Pinnacle Event(邦訳未刊。『史上最大の事 件』)は 2015 年 5 月 19 日に刊行された。 Good Harbor 社の役職のほかに、現在までにオバマ大統領の『機密情報及び通信 技術に関する審査グループ」(国家安全保障局[NSA]の審査グループ)委員、 バージニア州サイバーセキュリティ委員会共同委員長、ニューヨーク州クオモ知 事のサイバーセキュリティ諮問委員会委員、SRA International 社 CEO のサイバ ーセキュリティ及びテロ対策担当上級顧問、中東研究所理事会会長、Veracode 社取締役、Bit9 社取締役、Nok Nok Labs 社取締役に就任し、一部は現在も在任 している。 88 企業幹部に求められるサイバーセキュリティの知識と行動 取締役会でのサイバーセ キュリティレビュー指針 の策定 Stroz Friedberg 社 マネージングディレクター ポール・ジャクソン 90 取締役会でのサイバーセキュリティレビュー指針の策定 この 2 年ほどで、サイバーセキュリティが取締役会の最重要議題 として取り上げられることが急に増えてきました。とはいってもご自 身が取締役会のメンバーであるかたは、これまでにサイバーセキュリ ティを受託者責任にからめて考える余裕などなかったかもしれません し、経営陣に対し何を質問・提案していけばいいのかもがよく分から ないばあいも多いでしょう。あるいは、過去に克服されてきた多くの 技術上の問題同様に、技術が進歩すればサイバー脅威もそのうち過去 の話になるはずだとひそかに期待をされておられるかもしれません。 しかしながらそのような期待をいだくべきではありません。サイバ ーセキュリティは、取締役会が長期的に関心を払うべき企業リスクの ひとつとして企業グローバル経済のほぼ全業種を席捲するデジタル変 革とは表裏一体の関係にあるからです。お客様との取引からサプライ チェーンとの提携関係まで、事業のあらゆる側面が「デジタル化」さ れていくその一方で、会社全体が電子的にサイバー攻撃にさらされ、 その攻撃に対し脆弱になっているのです。 サイバーセキュリティリスクはとくに目新しいリスクではありませ ん。しかしながら、近年その脅威はますます威力を増しています。た とえば、私たち誰もが個人情報を託している名立だたる企業が相次い で大規模な攻撃を受け、マスコミに大きく報道されています。被害企 業の多くは風評面、経済面で深刻な損害をこうむり、これが企業トッ プの交代にまでつながっています。つまり、セキュリティ攻撃が直接 CIO や CEO の解任劇につながることすらあるのです。ところがこれ らの攻撃の影響はこれだけにとどまりません。大規模なサイバー攻撃 を受けた企業の取締役会は株主代表訴訟を起こされていますし、サイ バーセキュリティに関する法律制定はいまや各国政府や規制当局にと って終わりの見えぬ課題となっています。 こうした状況をうけ、取締役会議の議題にサイバーセキュリティリ スクを加える企業が増えはしたものの、サイバーセキュリティを検討 するための標準的手法はとくに決まっているわけではありませんし、 91 十分な対応実績のあるガイドラインが用意されているわけでもありま せん。そこで本章では、サイバーセキュリティ関連の企業リスクを検 討するにあたり、役員の意識改革をうながし、取締役会において全社 的な企業リスク戦略のひとつにサイバーセキュリティを組みこむため の簡潔な評価指針をしめしていきたいと思います。 取締役会でサイバーセキュリティレビュー指針の策定 取締役会にとってサイバーセキュリティは企業リスクのひとつで す。すべての企業リスク同様重要なのは防御ではなく軽減です。一般 的に受け入れられているこの企業リスク管理のガイドラインは、サイ バーセキュリティ分野においてもとりわけ有用です。なぜならば、あ らゆるサイバー侵害を完全に防御防止するすることは誰にもできない からです。いまやあらゆる企業が標的です。敵に十分な動機と資力さ えあれば、狙った企業のネットワークへの侵入は果たせるのです。 そのため、最終目標を「サイバー防御(cyber defense) 」と表現し てしまうと、効果的な対応姿勢をあらわすには不十分といえます。こ の表現では自社ネットワークの周囲に鉄壁の防御を巡らすことによっ て、悪意ある者のアクセスを完全にシャットアウトできるような印象 をあたえかねません。こんにちの状況からすれば、取締役会でのサ イバーセキュリティレビューの目標はむしろ「サイバーレジリエンス (サイバー侵害への耐性やサイバー侵害からの回復力)」に置くほうが 適切です。サイバーレジリエンスという姿勢の背後には、ネットワー ク侵害は必ず起こるので、できるかぎり早くサイバー脅威に対応する ための準備をし、付随するリスクの軽減に重点を置くほうが重要だと いう考えがあるからです。 役員のサイバーセキュリティに対する姿勢として、テクノロジーへ の恐怖心をなくすことも大切です。問題はあくまでも企業リスクであ り、技術的な解決策ではありません。内燃エンジンの仕組みを知らな 92 取締役会でのサイバーセキュリティレビュー指針の策定 くても安全運転のルールを作れるように、技術的な見識がなくてもサ イバーセキュリティリスクに関する議論には参加できます。そう聞か されれば気が楽でしょうが、この姿勢にもある意味での対価を伴うこ とは忘れてはいけません。役員に技術的な見識がないからといってサ イバーセキュリティリスクを監督する受託者責任は否定できないから です。 「テクノロジーの問題」としてではなく「企業リスク」、また「サイ バー攻撃の防御」でなく「リスク軽減」に重点を置くことを踏まえ ると、取締役会でのサイバーセキュリティレビューの指針は、次の 3 つの検討項目にまとめることができます。 1. 自社のすべてのサイバーセキュリティ関連リスクを、適切に評価 しているか。そのリスクを評価するため、どのような合理的な措 置をとってきたか。 2. 自社のサイバーセキュリティリスクについて、もっとも重大なリ スクから軽微なリスクまで、適切に優先順位をつけているか。そ の優先順位は、企業戦略やその他の業務要件、自社のサイバー脆 弱性に対するカスタマイズされた評価と、十分整合性がとれたも のか。 3. サイバーセキュリティリスクを軽減するため、現在どんな措置を とっているか。サイバー脅威に対処するための、レジリエンスを 重視したインシデント対応計画を設置し、その計画を定期的に検 証しているか。 当然ながらこうした検討項目は、業界や置かれた状況に応じ、各社 に特有のものに適宜変更されるべきでしょう。このような各社に特有 な項目を検討していくことで、その会社にとってもっとも生産的なサ イバーセキュリティレビューが実現するでしょう。自社にとって有意 義な検討項目を考案するための鍵は、取締役会による監視を実現しつ 93 つ、経営陣が無駄な労力を費やさずにすむよう、適切なバランスを見 出すことです。 本章の残りの部分では、これら上流工程の検討項目を多様な状況・ 業種に適用するために有意義な方法を探り、自社のサイバーセキュリ ティレビューの構想をまとめるための指針をしめします。その次の手 順を担うのは、この章をお読みになっている役員のかたご自身、ある いはご自身の取締役会です。この指針を活用して、経営陣、重要なス テークホルダー、外部の専門家と自社のサイバーセキュリティリスク に関する議論を推進し、自社のサイバーレジリエンス実現にお役立て ください。 取締役会によるサイバーレジリエンスの評価指針 取締役会は、財務課題や財務リスクの管理には慣れています。彼ら には監査委員会や報酬委員会があり、取締役会のメンバーには(これ らの委員会に所属する)元 CFO が含まれ、財務諸表の評価や損益計 算書の分析に関し豊富な経験があります。既存の知識は身につけてい て、知らないことはたとえあってもわずかです。 この安定したリスク管理の状態を、取締役会のサイバーセキュリテ ィをめぐる議論の現状と比べてみるといいでしょう―すなわち、何 を質問すべきかもまだ分からず、経営陣の対応に何を期待すべきかも 分からないといった現状です。財務問題を扱うさいと同じくらいの安 定感をよりすばやく見出せるよう、取締役会によるサイバーセキュリ ティレビューの指針を、次の 6 つの領域にわけて整理してみましょ う。 1. 取締役会レベルでの包括的な議論 94 役員全員が、サイバーセキュリティに対し説明責任を負えるよう にする 取締役会でのサイバーセキュリティレビュー指針の策定 2. 事前のサイバーリスク管理 初期段階のあらゆる経営判断に、サイバーセキュリティを組みこ む 3. リスク重視の優先順位づけ サイバー保護のレベルに応じて資産を区分する 技術だけでなく、社員向けの意識啓発・教育訓練プログラムも会 4. 人的防御への投資 社のサイバーセキュリティ投資の対象に含める 5. サードパーティとの関係評価 ビジネスパートナー由来のサイバーエクスポージャー(組織の管 理する機密情報や個人情報がサイバー侵害により外部に漏えいす ること)を制限する 6. インシデント対応方針・手続き 侵害が発生した場合に想定されるリスクを軽減する 1. 取締役会レベルでの包括的な議論 サイバー犯罪がもたらす急激に増大する脅威と、大規模な侵害によ る壊滅的な影響の可能性を踏まえると、役員全員が、取締役会のサイ バーセキュリティレビューのプロセスに積極的に参加できるようサイ バーリスクを十分に理解するという観点と、こうした議論を定期的 に―できれば取締役会のたびに―行うという2つの観点が重要で す。 サイバーセキュリティリスク調査を担当する「サイバーセキュリテ ィリスク委員会」を設置することにより、これら 2 つの観点での役 員の参加を確保できます。こうした委員会を設置すれば、役員のうち 誰か(たとえば委員長)が、サイバーセキュリティリスクに関する知 識を習得し、役員全体への教育を担うステークホルダーになります。 取締役会がファイヤーウォールの構造を知る必要はありませんが、サ イバーセキュリティリスクの性格、自社に想定される影響、効果的な 95 リスク軽減アプローチについて学ぶべきことは多々あります。そのた めに、サイバーセキュリティの知識をもつ者を役員に任命してもよい かもしれません。 こうした委員会設置を通じて、サイバーセキュリティをめぐり一貫 性ある議論を行うという目標も達成されます。委員長は、自ら報告を 行ったり、CIO や CISO に報告させたり、当該分野の専門知識があれ ば有用だと分かっている課題については、外部専門家に講演を依頼し 詳しい解説を得ることができます。脅威インテリジェンスは、外部専 門家に解説をうけることにより、より的確な理解が得られるテーマの 一例です。なぜならば、ほとんどの会社にとって、脅威インテリジェ ンスは社内で保有・開発できる専門技能ではないからです。悪意のあ る攻撃者が使用するツールやアプローチ、行動の分析に精通した人物 や組織に自社の特徴の分析を依頼し、取締役会のサイバーセキュリテ ィ教育をうながすことで、各社に合わせカスタマイズされた洞察を得 ることができるでしょう。 全役員がサイバーセキュリティレビューに関われるようにするた め、取締役会レベルの議論では、役員達にとってなじみある企業リス ク分野の用語で課題を扱うべきです。そのためのひとつの条件とし て、取締役会で専門用語を使わないことです。CIO からの報告であ っても、専門用語を排した分かりやすい言葉を使うべきです。 取締役会レベルでの包括的な議論(まとめ) ▪サイバーセキュリティリスク委員会を設置する、または既存の企業 リスク委員会にこのテーマを追加する ▪取締役会で毎回、サイバーセキュリティリスクについて議論する ▪全役員に知識を身につけさせ、サイバーセキュリティリスクについ て不安なく協議できるようにする 96 取締役会でのサイバーセキュリティレビュー指針の策定 2. 事前のサイバーリスク管理 サイバーセキュリティリスクに関する議論を、あらゆる経営判断に 最初から組みこむことが重要です。サイバーセキュリティを事後的に 検討するのは、事前の検討と比べた場合はるかにむずかしく、効果も かなり薄くなるからです。企業戦略、新商品発売、設備、顧客との交 流、M&A、法務・財務上の問題のいずれに関わる判断であれ、経営 陣は必ず事前にサーバーセキュリティリスクを検討する必要がありま す。 例として、白熱するオムニチャンネルマーケティングを取り上げま す。これは、小売業者がモバイル技術を用いて顧客からデータを収集 し、その情報を(時には、顧客が店に足を踏み入れた瞬間に)活用し てターゲットマーケティングやプロモーションを実施するものです。 当然、このような小売業者は顧客について従来以上に多くの情報を集 めています。その情報をどうやって守るのでしょう。こうしたアプロ ーチを可能にするモバイルアプリは、会社を新たな脆弱性にさらすも のでしょうか。収益促進のチャンスがどれほど魅力的であっても、小 売業者の取締役会は、こうした取り組みの推進に向けた経営判断の一 環として、このような質問を経営陣に投げかける必要があります。経 営陣は、「ソフトウェアベンダーは自分たちのセキュリティは素晴ら しいと言っている。加えて顧客に導入する前に、社内で独自テストを 行いこのソフトの脆弱性を確認している」といった形で回答すべきで す。 取締役会は、上記の例のようにサイバーセキュリティの事前検討を 経営判断のあらゆる側面に適用する必要があります。サイバー戦略に 対する事前検討を採用するため、M&A を通じた事業成長を例に考え てみましょう。取締役会は、M&A のサイバーセキュリティリスクを 多面的に検討しなくてはなりません。具体例を 3 つ挙げると、デュ ーディリジェンス(due diligence、相当の注意)に対象企業のサイ バーセキュリティ分析を追加する、M&A プロセスをサイバー侵害か 97 ら守る、買収後の事業統合によるサイバーエクスポージャーの可能性 を検討するなどです。 いずれの例でも、取り組みが進んだあとでサイバーセキュリティ上 の懸念に対処するのがどれほどむずかしいかは明らかです。 事前のサイバーリスク管理(まとめ) ▪企業戦略から新たな形態の顧客交流まですべての事業取り組みで初 期の段階からサイバーセキュリティリスクを想定する ▪とくに新しいデジタルビジネス構想に伴う新しいリスクについて考 える 3. リスク重視の優先順位づけ 資金は有限です。しかしながら投資できるサイバーセキュリティ対 策はそれこそ無限にあります。このため、自社の直面するもっとも重 大な脅威に評価基準をカスタマイズし、その評価基準に基づいてセキ ュリティ対策に優先順位をつけることが求められます。この評価は、 自社にとってもっとも貴重な資産という観点、その資産にとって最大 のサイバー脆弱性という観点の、主に 2 つの観点から取り組むべき です。 多くの場合、自社にとってもっとも重要な資産は明白です。小売業 者なら決済カード情報、映画スタジオならば近日公開するシリーズ続 編の脚本、ソフトウェア会社なら看板製品のソースコードなどが挙げ られるでしょう。開発から生産、流通まで自社の最重要資産を守るた めどんな措置を講じているか、この情報はすべての取締役会のサイバ ーセキュリティレビューに含めなければなりません。ただし、もっと も重要な資産以外の資産についても、個々の重要度に応じた保護が必 要です。これらの資産を特定し優先順位をつけるのは、情報ガバナン ス上の課題であるため、取締役会は自社の情報ガバナンス方針を理解 し、その実行の質を把握しなくてはなりません。自社では何が機密デ 98 取締役会でのサイバーセキュリティレビュー指針の策定 ータにあたるかを特定しているか、それをどこに保管しているか、機 密でないデータはどれで、それはどこに保管しているか、重要な情報 を確実に保管し、それ以外のすべてのデータを処分するといった方針 が敷かれているか、これらを取締役会レベルで把握しましょう。適切 な情報ガバナンス方針をもたなかったばかりに、セキュリティ侵害の 被害企業として新聞に大きく取り上げられ、必要以上に世間を騒がせ るようなことがないようにしましょう。 2 番目の観点である自社のサイバー脆弱性では、自社用にカスタマ イズした脅威インテリジェンスが大きな役割を果たします。自社ネッ トワークの弱点を分析し、機密情報の保管場所とその保護方法を把握 し、自社の環境を評価します。自社の環境とは、「業界の競争関係」 や「業務プロセスに応じた情報フロー」のことです。業界の競争関係 の例としては、他社と比べた自社の知的財産の価値が挙げられます。 また業務プロセスに応じた情報フローの例としては、消費者やクライ アントの機密情報を保管しているか、しているならその方法、どの国 で事業を展開しているか、それがセキュリティにどんな影響を及ぼす かなどが挙げられます。 取締役会のサイバーセキュリティレビューでは、これら両方の観点 について頻繁に協議をかさねる必要があります。なぜならリスクは固 定ではなく、将来的なインターネットの接続性やインフラの複雑性の 変化に大きく左右される可能性があるからです。 リスク重視の優先順位づけ(まとめ) ▪何が一番重要で何が一番脆弱かという 2 つの側面から優先順位を 決定し、限られた資金を最適な形で配分する ▪すべての資産が適切に保護されるよう、自社の情報ガバナンスをめ ぐる方針・慣行の質を確保する 99 4. 人的防御への投資 サイバー防御とサイバーレジリエンスは、製品や技術の構成に関す る問題であるのと同じくらい、人材の問題でもあります。防御と対応 のためのセキュリティ技術は確かに必要ですが、取締役会は、全社的 なサイバーセキュリティ教育や意識啓発についても議題として検討す べきです。さらに、人的防御への投資は、カスタイマイズされた脅威 インテリジェンスに基づく洞察に合わせて実施し、前項で触れた「も っとも重要 / もっとも脆弱な」優先課題に重点的に投資を行うように します。 サイバーセキュリティへの投資を考えるさい、取締役会は、ユーザ ー ID を認証しアクセスを管理するシステムなどの典型的な IT 支出 に加え、適用される法規制の遵守も検討する必要があります。しかし ながらこれらはベースラインにすぎません。取締役会は、さらに次の ような課題を考える必要があります。 ・自社の IT 知識は、脅威インテリジェンス報告書がしめすさまざま な課題にどの程度対応しているか。 ・外部の専門知識を活用して、社内スタッフを十分に補強できている か。 ・抜け穴がないか探るため、ホワイトハッカーを雇って自社ネットワ ークを攻撃させるべきか。 ・社員のフィッシングに対する意識/フィッシング対策能力を試すべ きか。 自社のセキュリティ技術がどれほど効果的に機能しても、ハッカー は常に、ソーシャルエンジニアリングやスピアフィッシングといわれ る戦術を組み合わせて、一番弱い部分、すなわち人間を狙うことがで きます。これに対抗する唯一の防御は、全社的な教育です。スピアフ ィッシング対策研修などの持続的な教育・意識啓発プログラムを、サ 100 取締役会でのサイバーセキュリティレビュー指針の策定 イバーセキュリティ投資に盛りこむべきです。取締役会は、こうした プログラムについて質問や支援を行い、プログラムが事業に合致した ものとなるようにしなければなりません。 人的防御への投資(まとめ) ▪サイバーセキュリティに関し全社的に継続的な意識啓発・教育訓練 プログラムを実施し、情報セキュリティ製品への適切な投資を補う 5. サードパーティとの関係評価 2014 年のサイバー侵害をめぐる報道の背景を注意深く見てみる と、いわゆる「攻撃の入口(attack vectors) 」の多くにパートナー企 業やベンダーなどのいわゆるサードパーティが関連していることが理 解できるでしょう。悪質な攻撃者は、想定している攻撃対象よりセキ ュリティが脆弱と考えられるビジネス上のパートナーを侵害し、その パートナーのアクセス認証情報を使って標的企業に侵入していたので す。 とはいえ、これはサードパーティとの関係がセキュリティ脆弱性に つながるひとつの形にすぎません。たとえば事業提携の増加に伴い、 ビジネスパートナーの社員間で共有される秘密情報、企業秘密、知的 財産の量は急激に増大しています。こうした極めて重要な情報が、し ばしば開かれた環境であるインターネットで電子的に流通することに より、経済スパイにうってつけの環境が生まれています。昔は、こう した問題に悩まされるのは防衛、エネルギー、テクノロジーなど限ら れた業種のみでした。けれど今は、あらゆる業種が狙われています。 取締役会はサイバーセキュリティレビューの一環として、サード パーティに関する自社のサイバー・デュー・ディリジェンス(due diligence、相当の注意)の実施方法を把握する必要があります。取 締役会は、自社と取引関係があるサードパーティを明確に理解し、リ スクの高中低という観点からそれらの関係に優先順位をつけねばなり 101 ません。たとえばあるパートナー企業が高リスクと判断されたら(先 方が自社の企業ネットワークにアクセスできるなど) 、そのパートナ ー企業自体のセキュリティ体制を把握する必要があります。自社はサ ードパーティベンダーのセキュリティ方針と慣行をどれくらい認識し ているでしょうか。そうしたベンダーからセキュリティアンケートへ の回答を得ていますか。ベンダーの現地検証/監査を行う権利をもっ ていますか。 また取締役会は、新たな業務提携関係を確立する初期段階で IT 部 門の関与を求めるべきです。そうすれば、各提携関係の業務要件に あわせて情報アクセスを管理できます。たとえば人事分野のベンダー が、あなたの会社の社員データへのアクセスを必要とするとしても 24 時間アクセス可能である必要はないかもしれません。そのような ばあいは 1 カ月または 1 日のうち特定の時間にアクセスを制限し管 理することで、攻撃の入口を減らし、きめ細かなセキュリティ監視を 実現できるでしょう。 サードパーティとの関係評価(まとめ) ▪想定されるサイバーセキュリティの脆弱性について、すべてのビジ ネスパートナーとの関係を見直します。業務提携関係を確立する初 期段階で、IT 部門の関与をうながします。 6. インシデント対応方針・手続き セキュリティに完璧はなく、侵害をすべて回避することはできない という知識で武装したうえで、取締役会は、サイバーインシデント対 応方針をよく練り、定期的なシミュレーション演習を通じて対応計画 を検証しなければなりません。 優れたインシデント対応計画では、対応チーム(危機管理広報、人 事、法務、IT など)の役割・責任を定義し、調査を指揮してコミュ ニケーションを管理する社内外のリソースへの通報をはじめ、初期の 102 取締役会でのサイバーセキュリティレビュー指針の策定 活動項目を明確にしておきます。なお、最悪の事態に備えることがす なわちネットワークの弱さや脆弱性を認めるということだと誤解しな いでください。むしろ最悪の事態に備えるのは、セキュリティ侵害へ の対応の遅延や失敗が、データ損失や規制措置、風評被害の拡大につ ながることを自覚するということなのです。 インシデント対応計画を評価するさい、取締役会が心に留めるべき 2 つの考えかたについては、文脈は異なりますが以前にも指摘しまし た。第一に、インシデント対応計画には会社全体を巻きこむことが大 切です。IT セキュリティ専門家がどれほど対策に力をいれても、社 員がスピアフィッシングのリンクをクリックしてネットワークセキュ リティに穴を開けてしまうようではその努力も無駄になってしまうか らです。社員がそうしたリンクをクリックせず、自発的に初動対応に 加われるよう、少なくとも自社ネットワークへの侵害が図られたこと を通報できるよう、社員を教育しましょう。サイバーセキュリティの 最前線にいるのは社員です。社員が油断することなく用心深くなり、 侵害を速やかに通報すれば、たいていは被害を大幅に軽減できます。 第二に、企業のサイバーセキュリティリスク環境は絶えずダイナミッ クに変化しています。変化する脅威インテリジェンスにあわせ、イン シデント対応計画も常に最新に保ち、継続的に予行演習を行わなけれ ばなりません。 取締役会でサイバーセキュリティーレビューを行うさいの適切な疑 問点としては以下が挙げられます。 ・侵害を速やかに発見するため、自社はどんな方針・手続きをとって いるか。 ・監視および報告/対応を行うため、全社員にどのような権限を与え ているか。 ・インシデント発見後に、どんな方法でトリアージ(優先順位の決 定)/上への報告を行っているか。 103 ・インシデント対応を、IT 運用にどのように組みこんでいるか。 ・サイバー対応を業務要件に合致させ、全事業部門に対応計画におけ る各自の役割を理解させるため、何をしているか。 ・自社の対応計画が、脅威インテリジェンスにどのように対応してい るか。もっとも可能性の高い攻撃に見合うかたちで、自社のリスク の特徴を分析しているか。 結論:不意打ちを喰わない! 不意打ちが好きな人などいません。取締役会となればなおさらで す。したがって取締役会によるサイバーセキュリティレビューの目標 は、サイバーインシデントへの準備不足を避けることです。ただしこ れまでの経験からは、ある企業の取締役会が本当の意味で最高水準の サイバーセキュリティ計画をもてるようになるのは、いちど悪質な不 意打ちによるサイバー侵害を経験したあとに限られているようにも思 われます。一度痛い目にあったから、二度と同じ目にあいたくないと いうわけです。 しかしながら、本章で扱ったサイバーセキュリティレビューの原則 や考えかたにしたがい、社内にはない知識やスキルをもつ外部専門家 と協力すれば、不意打ちを避け正面からリスクに立ち向かう準備がで きます。本章で論じたレビューのアプローチにより、サイバーセキュ リティリスク分野へのとまどいと不安を感じる状態から自信をもって 包括的な回答を提示できる状態へと社内にパラダイム転換をもたらせ ます。さらには、単純なネットワーク境界への防御から 24 時間体制 の監視と全社的に共有されたインシデント対応実現への転換、サイバ ーリスク意識の欠如から経営幹部のトップダウン型の情報発信に基づ く全社的な意識啓発、社員の意欲的な行動への転換をはかれるでしょ う。 本章でしめした指針は、皆さんが本当の意味でサイバーリスクに注 104 取締役会でのサイバーセキュリティレビュー指針の策定 意を向けるうえで役立ちます。もちろん、だからといって皆さんの会 社にセキュリティ侵害が発生しないわけではありません。しかしなが ら、セキュリティ侵害が発生しても、リスクを適切に管理していると いう明確な自信をもって対処できるようになるでしょう。 インシデント対応(まとめ) ▪侵害は必ず発生するため取締役会は最高レベルのインシデント対応 を確保しなければならない。 ▪全社員がインシデント対応計画に参加しなければならない。 ▪インシデント対応は絶えず進化しなければならない、なぜなら脅威 も進化するからだ。 取締役会でのサイバーレビュー指針の策定 取締役会レベルでの包括的な議論 事前のサイバーリスク管理 リスク重視の優先順位づけ 人的防御への投資 サードパーティとの関係評価 インシデント対応方針・手続き 105 Stroz Friedberg 社 マネージングディレクター ポール・ジャクソン (Paul Jackson) PJackson@StrozFriedberg.com 香港警務処、JPMorgan Chase 社勤務を経て現 Stroz Friedberg 社マネージン グディレクター。Stroz Friedberg 社は調査、インテリジェンス、リスク管理業 務のグローバルリーダー。著者は同社香港地域統括拠点にてアジア太平洋地域の 顧客エンゲージメントを担当、アジア地域での金融・サイバーセキュリティ・法 執行機関・法曹界での 25 年以上にわたる勤務経験をもとにデジタルフォレンジ ック、セキュリティ侵害、金融機関に対する犯罪、オンライン詐欺、内部関係者 による脅威等の調査、捜査上の eDiscovery ( 電子証拠開示 ) において世界的に高 い評価を得ている。 香港警務処では上級幹部として約 22 年勤務。1996 年から技術関連の取締に携わ り、2001 年には TCD (Technology Crime Division: 科技罪案組と呼ばれる技 術犯罪部門 ) の設立に寄与。デジタルフォレンジック、サイバー犯罪捜査、サイ バーインテリジェンス捜査において法執行機関の使用する手法を多数開発、また フォレンジックラボの標準手順を確立し、同手順は世界各国の法執行機関で採用 されている。 JPMorgan Chase 社には 5 年勤務。香港を拠点とするアジア太平洋地域の捜査 を主導したのち 2012 年にニューヨーク地域に転任、グローバルハイテク犯罪捜 査部門を率いてフォレンジック用インフラの再構築、フォレンジック専門家の大 規模採用、サイバー侵害レスポンス用のポリシーと手順の策定、証拠物件管理シ ステム設計に携わる。また同社と顧客に対するオンライン詐欺、組織犯罪活動に 対抗する社内人材育成、内部関係者による脅威への対応プログラム開発にも尽力 した。 個人では香港警察学院 (Hong Kong Police College) 向けにデジタルフォレンジ ック、ネットワークフォレンジック、オンラインインテリジェンス、サイバー 犯罪捜査の 2 週間トレーニングプログラム 4 コースを開発・提供。2004 年から 2010 年にかけ国際刑事警察機構 ( インターポール ) にトレーニングディレクタ ーとして参画、アジア太平洋地域・ヨーロッパ地域を対象とした多数のトレーニ 106 取締役会でのサイバーセキュリティレビュー指針の策定 ングコース開発や人材育成に貢献した。日本においても警察機構と協力して国際 協力機構 (JICA) にて 2 度トレーニングを提供したほか、ASPWP (Interpol AsiaSouth Pacific Working Party on Information Technology Crime、国際刑事 警察機構のアジア太平洋を対象とした情報技術犯罪対策ワーキングパーティ ) の 取り組みの一環として日本警察と緊密に連携して多数のサイバー事件の捜査と人 材育成に協力した。このほか 50 以上の警察組織において個人的にトレーニング プログラムへの支援を提供している。 107 企業経営と サイバーセキュリティ 内閣官房 内閣サイバーセキュリティセンター (NISC) 内閣審議官 三角 育生 108 企業経営とサイバーセキュリティ 1.現状認識 今日、情報通信技術(IT)の発展に伴い、生活、商取引、製造、国 際的な交流など、経済社会活動のあらゆる場面において、IT が利活 用されています。特に、企業活動においては、ウェブを通じて特定の 地域からグローバルに商品・サービスの提供が可能になるなど、消費 者向けのビジネスが一変してきました。これのみならず、企業内、企 業間取引においても、ノウハウのシステム化やサプライチェーンマネ ジメントなどへの適用により、世界が大きく変革しつつあります。 例えば、自動車についてみれば、これらがネットワークで接続さ れ、自動運転などの実用化が進むなど、いわゆる IoT(Internet of Things)は目覚ましい勢いで進展しつつあります。新たな付加価値 を産むこうした技術を用いることで、従来のモノ(Things)の延長 上ではない画期的なサービスや製品を提供することが可能となるわけ です。こうした、新たな技術革新に挑戦することによって、新たなビ ジネス機会を創出することができるようになってきました。 一方、サイバー空間では、悪意ある者も活動しています。不正アク セスによる大量の個人に関わる情報の窃取事案、国際的なサイバー犯 罪、さらには国家が関与していると疑われる事案などがしばしば報道 されています。こうした事案などを背景に、ますます、サイバーセキ ュリティの重要性が認識されつつあるわけです。 ところで、利活用の観点から IoT は、今後ますます注目されてい くと思われますが、顧客はどのように IoT を認識するかについてよ く考える必要があります。すなわち、通常、顧客は IT を使うという よりは、モノを使うという目的で IoT を使うと思われる点です。そ うすると、安全面など、モノが備えるべき特性は当然に備えているこ とを期待しているということが大前提なわけです。IoT がコモディテ ィ化すればなおさらです。そのうえで、IT による付加価値を期待し ていると考えるべきでしょう。この両方の期待に応えるためには、サ イバーセキュリティの視点も新たにして捉えなおしていく必要がある 109 と言えます。以下、こうした考え方を踏まえたサイバーセキュリティ 政策の動向について記します。 2. 「費用」から「投資」へ 現在の我が国のサイバーセキュリティ政策は、サイバーセキュリ ティ戦略本部(本部長:内閣官房長官)が司令塔となり、2014 年 11 月に成立したサイバーセキュリティ基本法に基づき 2015 年 9 月に閣 議決定された「サイバーセキュリティ戦略」 (以下、単に「戦略」と 記します)に則って立案され、実施されています。 この戦略では、サイバー空間を、 「無限の価値を産むフロンティ ア」である人工空間であって経済社会の活動基盤と位置づけていま す。サイバー空間について、しばしば単なるデジタル空間として記述 されたり、作戦領域として表現されたりすることがあります。しか し、サイバー空間は、大半が民間部門のネットワークやコンピュータ などに対して行われた投資によって成り立っています。このため、活 かすも、活かさないも、民間部門の力によるところが大きいわけで す。価値を産むから又は産むために活かすという考え方が重要だと言 えるでしょう。 そして、戦略における政策各論の一つ目の柱として「経済社会の活 力の向上及び持続的発展」を掲げています。ここでは、サイバーセキ ュリティをやむを得ない「費用」ではなく「投資」と考えるべきこと を提言しました。なお、この他、第2の柱として安全安心、第3の柱 として国際平和・安全保障を掲げています。 今後、IoT システム(戦略では、あらゆるモノがネットワークに接 続され、そこから得られるビッグデータの利活用等により新たなサー ビスの実現が可能となるシステムと定義しました)の普及は、我が国 の民間部門にとって大きなビジネスチャンスとなると予想されます。 その際、IoT システムを通じて提供される新たなサービスに対する市 場からの期待は、品質要素としての安全とセキュリティと考えられま 110 企業経営とサイバーセキュリティ す。戦略では、この「セキュリティ品質」が、保証されることによ り、企業の競争力の源泉となっていくことが期待されるとしていま す。 さて、この様な効果を発揮するためには、企業戦略においてサイバ ーセキュリティをいかにうまく活用するかが鍵となると言えます。す なわち、企業経営において積極的な取り組みが期待されるわけです。 これに関連する施策のひとつとして、2016 年 8 月、サイバーセキ ュリティ戦略本部の下の普及啓発・人材育成専門調査会(調査会長: 安田浩東京電機大学学長)は、内閣サイバーセキュリティセンター (NISC)が作成した「企業経営のためのサイバーセキュリティの考え 方」を了承しました。この文書は、企業の経営層においてサイバーセ キュリティを企業活動に資する「投資」対象となりうることを伝える ために、企業の経営層や CIO 等の協力も得つつ、取りまとめられた ものです。ポイントは、サイバーセキュリティの取り組みは、「利益 を生み出し、ビジネスモデルを革新するものであり、新しい製品やサ ービスを創造するための戦略の一環として」考えることが重要である という点です。もちろん、同時に、セキュリティの取り組みが社会的 な要請であることも重視していただきたいと考えています。 企業の性質は様々ですが、特に、IT の利活用を事業戦略上に位置 づけ、サイバーセキュリティを強く意識し、積極的に競争力強化に活 用しようとしている企業においては、 「情報・データの積極的な活用 に伴うリスクへの対応も含め、その製品やサービスの『セキュリティ 品質』を一層高めるため、システム基盤のセキュリティ向上、製品等 の安全品質向上に取り組むことが必要」です。そして、関係者との協 働が重要であることから法令等に基づく適切な開示のみならず、自ら の取り組み姿勢を主体的に情報提供していくことが推奨されます。 また、IT・セキュリティをビジネスの基盤として捉えている企業で は、サイバーセキュリティの確保は経営層が果たすべき責任の一つで あると認識されるべきであり、上場企業においてはコーポレート・ガ 111 バナンス・コードの考え方を踏まえて取締役会が適時正確な情報開示 が行われるよう監督すべきことなどが推奨されます。 なお、情報提供等は、顧客や出資者などのステークホルダーとの関 係で重要なツールと言えます。例えば、NISC では、2013 年度にお いて日経 225 の企業が有価証券報告書にサイバーセキュリティに関 する記載をどの程度していたかを調査しましたが、6 割の企業が何ら かの記載をしていました。そして、開示企業の多くは、ステークホル ダーとの関係のみならず、経営者及び企業内の各事業責任者等におけ る認識も高める効果もあるという点を指摘しています。 3.会社のリスクマネジメントの一環としてのサイバーセキュリティ 会社法 362 条 4 項 6 号及び施行規則 100 条によって、取締役会は、 その職務として、会社の業務の適正を確保するためなどに必要なもの として、取締役の職務の執行に係る情報の保存及び管理に関する体 制、損失の危険の管理に関する規定その他の体制などの整備を規定し ています。 同規定は内部統制システムの基本方針の決定義務に関するものです が、日本監査役協会は監査に固有の着眼点の例として、セキュリティ ポリシーが制定されているかなどを提示しています。また、損失危険 管理体制は、リスク管理体制のことですので、会社の特性等に応じて サイバーセキュリティ関連対策の検討も必要となってくるわけです。 すなわち、セキュリティはビジネス上からも法令上からも経営者の職 務上の重要課題となっています。 また、現実問題として、経営者が自らの課題としてサイバーセキ ュリティに取り組まねばならない事案もしばしば発生しています。 2015 年 5 月に発生した日本年金機構の不正アクセスによる情報流出 事案はその典型例といえるでしょう。戦略本部及び NISC では、本事 案の原因究明調査を行いました。 同機構では、もともと、年金に関する個人情報については、インタ 112 企業経営とサイバーセキュリティ ーネットと分離したシステムで処理していました。しかし、当該シス テムが業務に必要な機能を十分提供しきれておらず、同機構職員が業 務遂行に必要であるとしてインターネットに接続されているシステム にデータを移転していたため、事案に繋がってしまいました。業務遂 行に必要な機能を本来のシステムが十分に提供できていることとその 適切な運用の徹底が、不正アクセス事案対処以前に必要であったと考 えられるわけです。 この例にみられるように、一旦、事案が発生すればトップの責任と なることから、また、IT 統制と内部統制の適切かつ着実な実現とい う観点からも、経営層による必要な取り組みが求められるわけです。 経営者によるリスクマネジメント、IT 統制の必要性を改めて認識す ることが肝要でしょう。 なお、リスクマネジメントの国際規格である ISO 31000 は、「リス クマネジメントは価値を創造し、保護する」ものであり、「意思決定 の一部」であると規定している点に留意が必要です。 加えて、当該年金機構の事案は、一旦、重大なサイバーセキュリテ ィ事案が発生したときに、当該事案への対処が、組織の危機管理プロ セスそのものであることを示したものともいえます。事案の公表後、 組織トップは、事案の原因と対処及び被害拡大防止に対する取り組 みについて説明責任が問われました。さらに、インターネットと接続 することで実施できる業務の事業継続問題と、情報流出事案対処との 間で、組織トップによる経営判断が真剣に求められる局面もありまし た。そのため、経営層と技術的な作業を行っている現場との間をうま く繋ぐ機能を担う人材層が今や不可欠になってきています。 本件が社会的に議論されるなかで、IT 利活用が技術的な側面を 大きく持つことから、サイバーセキュリティ事案発生時の対処体制 (CSIRT : Computer Security Incident Response Team) の 重 要 性 が 改めて認識されました。しかし、上述の理由から、この緊急時対処体 制は、単なる技術的な活動のみを行うものではなく、経営層や責任者 113 の判断を助ける機能も担うものとして理解するのが適当でしょう。何 が発生していて、経営にどのように影響するのかについて迅速な報告 が重要であり、そのように機能するよう技術者のみならずマネジメン ト、広報、法務等の知見や技術、ノウハウを有した者も含めた体制整 備が不可欠です。企業において、自社の組織や業務の特性、IT 依存 度などを総合的に勘案して、どのような体制を作るかをよく検討する ことが求められます。 4.指数的に拡大する今後のサイバー空間に向けた取り組みを 今や IT は、経済発展、事業発展の不可欠な構成要素となっていま す。クラウド、ブロックチェーン、3D プリンター、先端的なロボッ トなどビジネスプロセスを大きく変革する技術・サービスが急速に出 現し、普及、発展しはじめています。また、計算能力の飛躍的向上な どに支えられて実用的な AI の導入も今後ますます進展していくと考 えられます。こうした大きな変革に伴い、サイバーセキュリティの姿 も大きく変化していくことが予想されます。 その一つの動向として、IoT のセキュリティを挙げられます。IoT はサイバー空間と物理空間とを融合させる性質をもつものだけに、電 力事業に関するものなど、安全の観点も加えた基準や標準、ガイドラ インの整備などが進みつつあります。さらに、事業分野を跨った接続 (例えば、スマートフォンと自動車などを接続させて自動車などをコ ントロール)などの動きもみられます。この様に、様々なモノが接続 し連動していくことを考えると、将来に向けて、それぞれのモノのカ テゴリーごとのセキュリティ標準・基準のみならず、モノのカテゴリ ー横断的な取り組みも必要になってくるでしょう。これは、一つのカ テゴリーで取り上げているセキュリティの観点と他のカテゴリーで取 り上げているセキュリティの観点が食い違うと、将来問題が生じたと きに調整不能となるためです。 このため、研究開発戦略本部専門調査会(調査会長:後藤滋樹早稲 114 企業経営とサイバーセキュリティ 田大学教授)の下で、個別の IoT のカテゴリーの標準・基準に対す るテンプレート的な機能を果たすことを想定したカテゴリー横断的な 一般的枠組みが取りまとめられました 1。この枠組みの取りまとめに あたっては、国際的にもコメントを求めました。 具体的には、製品の企画・設計段階からセキュリティを考慮するこ と、多岐にわたる IoT のそれぞれのリスク・特性に応じた対応の明 確化、機密性・完全性・可用性の確保のみならずモノの安全確保の明 確化、情報の所有権に関する議論を含めたデータの取り扱いのあり方 の明確化をすることなどを示しています。 今後、指数的に IoT などが普及し接続されていくと予想され、ネ ットワーク化され、システム化された IoT のセキュリティ、安全に 対して後追い的な対処では膨大なコスト要因になってしまいます。一 方、早期に標準化に取り組むことは、競争力に貢献するセキュリティ 面からの取り組みとなり、IoT の普及促進にも大きく貢献するものと 考えています。 以上のように、我が国としては、経済社会の持続的発展、ネットワ ーク社会発展のための環境整備に資するべく、サイバーセキュリティ 関連の施策を推進しています。企業経営においても、サイバーセキュ リティに戦略的に取り組まれ、推進されることを期待いたします。 1 研究開発戦略専門調査会 http://www.nisc.go.jp/conference/cs/kenkyu/index.html 内閣官房 内閣サイバーセキュリティセンター (NISC) 内閣審議官 三角 育生(みすみ いくお) 東 京 大 学 大 学 院 に て 博 士( 工 学 ) 号、Claremont Graduate School MA in Management(カリフォルニア州)および東京大学大学院工学系研究科にて修士 115 号を取得。 現在、内閣官房 内閣サイバーセキュリティセンター 内閣審議官。 現職就任前、経済産業省貿易経済協力局貿易管理部安全保障貿易審査課長、同省 商務情報政策局情報セキュリティ政策室長、(独)情報処理推進機構セキュリティ センター長、内閣府科学技術政策担当政策統括官付企画官、基盤技術研究促進セ ンター業務第1課長、通商産業局貿易局安全保障貿易管理課課長補佐、国土庁大 都市圏整備局計画官付主査、通商産業省機械情報産業局航空機武器課開発係長を 歴任した。 116 企業経営とサイバーセキュリティ 日本のサイバーセキュリテ ィ経営ガイドライン: 変わりつつある日本のビジネス観とグロー バルレベルの向上への貢献の可能性 パロアルトネットワークス株式会社 日本担当最高セキュリティ責任者(CSO) 松原 実穗子 パロアルトネットワークス グローバルポリシー本部長 ダニエル・クリズ 118 日本のサイバーセキュリティ経営ガイドライン 経済産業省、IPA による「サイバーセキュリティ経 営ガイドライン Ver 1.0」 2015 年 5 月、サイバー攻撃によって日本年金機構から 125 万件も の個人情報が流出しました。この事件は、1 ヵ月後の米国での連邦人 事管理局(OPM)へのハッキング事案と同様、日本で注目を集めま した。近年情報流出が続く中、この日本年金機構の事件は日本を震撼 させ、経営者層の意識を高めるとともに、日本のサイバーセキュリテ ィ態勢に大きな影響を与えています。この事件の 7 ヵ月後の 2015 年 12 月、経済産業省及び独立行政法人 情報処理推進機構(以降 IPA) 1 は、「サイバーセキュリティ経営ガイドライン Ver 1.0」 を発表しま した。この 36 ページに及ぶ文書は、専門用語を廃し、経営者層向け に平易な日本語で書かれています。同ガイドラインでは、積極的に セキュリティ対策を推進する経営幹部のいる割合がグローバルでは 59 パーセントであるのに対し、日本ではわずか 27 パーセントにと どまるという衝撃的なプライスウォーターハウスクーパース(以降 PwC)の調査結果が引用されています。 このガイドラインの発表後、産業界の関心は高まりました。日本の 経営者層は、自社のサイバーセキュリティ対策の方向性を学ぼうとし ています。ガイドラインに関するセミナーは東京をはじめとする大都 市で盛況です。従来であれば、サイバーセキュリティ系のイベントに 主に参加するのは技術者だったのとは対照的に、マネジメント層や経 営者層も足を運ぶようになってきています。また、日本のキープレイ ヤーたちもこうした動きに呼応しています。2016 年 1 月に経団連は 「サイバーセキュリティ対策の強化に向けた第二次提言」2 を発表し、 経営者層の意識向上を促すとともに、サイバーセキュリティの確保を 「経営上のリスク管理の重要項目」と位置づけています。 経団連が先鞭を付けた後、今年 4 月には富士通株式会社がグルー プ全体に適用するグローバルな「富士通グループ情報セキュリティ基 119 本方針」3 を策定・発表しました。日本企業は文化的に足並みをそろ えることを好むため、他企業も今後続々とポリシーの策定をするもの と思われます。 日本政府は、ガイドラインの概要の中で、サイバーセキュリティ は経営問題であり、知財など企業価値を守るため IT 及びセキュリテ ィに対する投資を経営判断としてすべきであるとうたっています。 併せて、経営者が認識する必要のある 3 原則及び情報セキュリティ 対策を実施するうえでのトップとなる最高情報セキュリティ責任者 (CISO)に指示すべき重要 10 項目について説明が加えられています。 3 原則とは、下記のとおりです。 ▪経営者がリーダーシップをとって、経営に対して受容できるリスク のレベルを勘案し、サイバーセキュリティに投資する ▪情報漏えいリスクの軽減のために、自社のみならず、系列企業及び ビジネスパートナーのセキュリティ対策も策定する ▪サイバーセキュリティ対策について関係者に説明し、コミュニケー ションをとり、信頼を構築する 重要 10 項目は、より具体的にとるべき手段について説明してあ り、経営者とセキュリティ担当者との橋渡し役になることを求めてい ます。経営者層が CISO に指示すべき項目は、下記のとおりです。 ▪セキュリティポリシーの策定 ▪適切な管理体制の構築と責任の明確化 ▪守るべき資産の特定、セキュリティリスクの洗い出し及びリスクへ の対処計画の策定 ▪ PDCA の実施 ▪系列企業やビジネスパートナーによる PDCA の運用 ▪必要な予算の確保及び人材育成 ▪自社の技術力や効率性を鑑み、自組織で対応する部分と他組織に委 120 日本のサイバーセキュリティ経営ガイドライン 託する部分との適切な切り分け ▪情報共有活動への参加及び貢献 ▪緊急時の対応体制の整備及び演習の実施 ▪被害発覚後の通知先及び開示が必要な情報項目の整理 本ガイドラインは法的拘束力がある訳ではないものの、日本政府か ら民間企業への期待値が示されたものです。日本では政府からの期待 にかなりの重みがあり、行動が求められます。こうした文化的な背景 に加えて、海外企業と同様に日本企業の間ではサイバーセキュリティ の強化の必要性がますます認識されるようになっており、変革の土台 が築かれています。 サイバーセキュリティ経営ガイドラインの発表のタイミングは、日 本企業が自らの価値を急速に理解するようになってきたこととも一致 しています。日本年金機構の事件後、改正個人情報保護法が 2015 年 9 月に成立し、個人情報を保護し、漏えいを防ぐためのセキュリティ 措置が全企業に求められるようになりました。また、2016 年 1 月か らのマイナンバー制度の開始も影響しています。 「重要 10 項目」の一つとして挙げられている情報共有は特に重要で す。攻撃者と被害者との間の勢力バランスを劇的に変え、力の差を埋 め、デジタル時代の信頼を回復するために攻撃者に対して強い力を行 使するためには、サイバー脅威情報の共有をオペレーション化しなけ ればなりません。それでは、日本における現状はどうなっているので しょうか、企業によるサイバー攻撃に関する脅威情報共有の拡大への 障害は何なのでしょうか、そして今どのようにすれば改善されていく のでしょうか? 効果的な情報共有の枠組みの確立 実績レベルは千差万別ですが、効果的なサイバー脅威情報共有の枠 121 組みの確立にはどの国もおしなべて苦労しており、ボットネットの C&C サーバー、マルウェアの検体、マルウェアの解析結果、脅威の 痕跡(IOC; Indicator of Compromise)といった脅威とインシデント に関する情報をメンバー間で適時に交換できるようにしたいと模索し ているところです。実現が遅れている理由は数多くあり、たとえば、 技術的な問題(大量の情報を適切に共有可能なシステムの数が少ない ことや、情報共有の規格がそれぞれ別々であることなど) 、規制や法 律上の懸念、信頼性の問題などが存在します。 あらゆる国でサイバー脅威情報の共有のあり方を改善する必要があ るとは言え、日本は実運用に関して、他の国々より遅れているように 思えます。PwC は 2016 年のグローバル情報セキュリティ調査4 の中 で、世界中の企業と比べると、日本企業はサイバーセキュリティ脅威 に関する情報共有に後ろ向きである旨報告しています。PwC による と、そのような情報共有を行っている日本企業は 30.4 パーセントに とどまる一方、世界では 64.7 パーセントの企業が行っているとのこ とです(PwC は本調査報告書のために 2016 年 5 月から 6 月までの 間に、127ヵ国 1 万人以上の IT 担当経営幹部および取締役にインタ ビューしました) 。 日本企業が脅威情報を共有したがらない理由としてトップに挙げら れているのは、「情報共有の枠組みの整備、標準化ができていない」 (39 パーセント)です。サイバー脅威情報の共有枠組みが自動化され るようになるまでは、実際に作業を行う優秀な人材が不可欠ですし、 自動化には技術的な裏づけと強固なプライバシー保護が求められま す。現時点では、日本は脅威情報共有の輪を広げていくうえで必要な 人材が不足しています。日本企業は、システムインテグレーターにサ イバーセキュリティ関連の業務を外部委託する傾向があるため、い つ誰と脅威情報を共有すべきか判断できる人材がユーザー側で不足 しています。一方、米国の銀行や大企業の中には、サイバーセキュリ ティ部門や社内サイバー脅威インテリジェンスチームを持つところ 122 日本のサイバーセキュリティ経営ガイドライン もあります。2015 年の経済産業省の調査 5 によると、日本の IT 技術 者の 24.8 パーセントはユーザー企業に、75.2 パーセントは IT サー ビス企業(たとえばシステムインテグレーターや他の企業へサイバー セキュリティを提供する企業)に所属しています。これに対し米国で は、71.5 パーセントの IT 技術者がユーザー企業に、28.5 パーセン トが IT サービス企業に所属しています。PwC の調査では、情報共有 活動への日本企業の低い参加傾向の背後にあるその他の上位の理由と して、競合企業や外部の情報源に対する信用の薄さが挙げられていま す。 日本がサイバー攻撃の脅威情報共有への参加に消極的なのは、文化 的な背景も一因かもしれません。1946 年に文化人類学者のルース・ ベネディクトが記したように、日本は「恥の文化」であり、面目を失 うことを避けたいとの願望が非常に強いところです。世界中の多くの 企業も、サイバー事件の被害者となったことを認めたり、標的とされ たことを明らかにしたりすることを望まないでしょうが、サイバー攻 撃に関する脅威情報共有枠組みが目指す「信頼」された環境であった としても、日本企業にとってそうしたことを認めるのは、さらに耐え 難いことなのかもしれません。 情報共有には仲間への信頼とボランティア精神が必須 ボランティア精神は、社会への貢献という意味で、参加者間での情 報共有を成功させる一つの要素になりえます。一般財団法人自治体国 際化協会 6 によると、米国のボランティア活動は 17 世紀までさかの ぼる長い実績を持ち、行政や社会福祉を補完してきました。一方日本 では、アメリカ式のボランティア活動が始まったのは第二次世界大戦 終了後であり、しかも地元地域密着型の社会福祉活動に重点が置かれ る傾向にありました。こうした歴史的背景があることから、情報共有 の普及拡大への寄与における日本人のボランティア精神の発揮が難し 123 くなっている可能性があります。 日本企業が情報共有に迅速に着手できるようにするためには、他 の国が情報共有のベストプラクティスについて日本と話すことが有 益でしょう。実はすでに一部の日本の組織において、米国のセキュ リティアプローチがモデルとなっています。たとえば、米国には業 界 別 の 情 報 共 有 分 析 組 織(ISAC; Information Sharing and Analysis Center)が数多く存在しており、現在はさらに広範なカテゴリを網 羅 す る 情 報 共 有 分 析 機 関(ISAO; Information Sharing and Analysis Organization)によって補完されつつあります。実際に、日本では 2002 年に最初の ISAC である Telecom-ISAC が発足し、2014 年に金 融 ISAC が設立されました。金融 ISAC は、恐らく最も成功した ISAC の 一 つ で あ る 米 国 の FS-ISAC(Financial Services ISAC)を モ デ ル に しており、ここから教訓を学ぼうとしています。日本の金融庁による 金融分野におけるサイバーセキュリティ強化に向けた取組方針では、 金融機関に金融 ISAC などの情報共有枠組みによる脅威情報の共有を 推奨しています。 米国と同様に、脅威インテリジェンスの伝達およびアクセスのレベ ルに応じて、金融 ISAC には金融機関やベンダー向けの複数のメンバ ーシップがあります。銀行や保険会社といった正会員と準会員はより 機微な脅威インテリジェンスを受けとることができるとともに、ベ ストプラクティス、サイバー演習、FS-ISAC とのグローバルな情報共 有、インシデントレスポンスなどのワーキンググループに参加できま す。こうした活動を通じて、同じ業界に属する信頼できるメンバー間 で機微な情報をやりとりする快適な環境が生まれるのです。 日本は、さらに多くの ISAC が必要であると認識しています。総務 省は Telecom-ISAC を拡張して “ICT-ISAC” に名前を変え、従来は通 信会社やインターネット・サービス・プロバイダ(ISP)のみにメン バーシップが制限されていたものの、セキュリティベンダーを含む ICT 企業やシステムインテグレーターも対象としています。さらに、 124 日本のサイバーセキュリティ経営ガイドライン 電力 ISAC も新たに日本で設立される予定であり、米国の Electricity ISAC と欧州の Energy-ISAC と密に連携することになっています。 こうした国境を超えた取り組みは称賛に値するものです。たとえ ば、日本企業が日本でのみ見られるインテリジェンスを共有すること で世界的な情報の質を引き上げ、日本市場に進出している多国籍企業 が脅威からの防御を向上させるうえで役立ちます。 ISAC は伝統的に業界(たとえば金融、医療、エネルギー)ごとに 整備され、各参加企業は受け取った情報を自社ネットワーク保護のた めに活用し、自分の所属する業界と脅威情報を共有してきました。し かし、ISAC だけが米国における情報共有の形態であるわけではあり ません。 たとえば、2014 年 9 月に設立されたサイバー脅威アライアンス 7 (CTA) は、脅威情報の共有という大義のために協力を選択したサイ バーセキュリティ企業のグループであり、高度なサイバー攻撃からの 会員組織とその顧客の横断的な防御の向上を目的としています。弊社 は CTA 創設メンバー4社のうちの1社であることを誇りに思ってい ます。各企業が自社の持つ脅威情報を囲い込み競い合うという、サイ バーセキュリティ企業の昔ながらの考え方からの脱却を CTA は体現 しています。CTA により、セキュリティ企業は共有されたサイバー 脅威の共通知識に基づいた行動がとれるようになります。ISAC との 違いですが、CTA は、セキュリティ業界の独自機能を使い、これま で未知(またはゼロデイ)であった脅威に関する情報の共有を参加条 件にしています。その結果、共有される情報はすべての業種(金融、 医療、エネルギーなど)を含むあらゆる顧客を保護するために、参加 企業によって活用されています。 信頼と文化的要因は、情報共有に影響を与える可能性があるため、 どの国においても大切です。実際、信頼関係はサイバー脅威情報共有 上重要な要素です。情報共有の枠組みにおいてメンバー間で相互信頼 関係を構築し、サイバー脅威情報を共有できるようになるまでには時 125 間がかかります。個人的な関係により状況が大きく改善されることは よくあり、そこから関係を制度化につなげられます。 「恥の文化」からの脱却 また、恥の感情を軽減していくうえで不可欠なのが、指導的立場の 人物たちの働きかけです。どの国の企業の幹部も理解しなければなら ないのは、すべての企業がサイバー攻撃の標的とされており、その脅 威情報を共有してこそ同様の攻撃の拡大が防止されるのだということ です。攻撃対象になるということは恥ではありません。これは単に経 営リスクの一つなのです。 当該ガイドラインが出てから 5ヵ月が経ちましたが、上述のとお り、新たにサイバーセキュリティのポリシーを策定・発表する企業も 出てきており、これは日本国内及び国外のビジネスパートナーにも影 響を与えるものと思われるため、本ガイドラインの英語への翻訳は有 益でしょう。そうすれば、世界中の人々が日本のサイバーセキュリテ ィの方向性を理解し、ベストプラクティスを共有し、ガイドラインに コメントを寄せ、政府の努力が国際動向に沿ったものにする機会を最 大化していくことが可能となるからです。 こうしたアプローチは、既に最近グローバルにメッセージを発信 するうえで実を結んでいます。内閣サイバーセキュリティセンター (NISC)が 2015 年にサイバーセキュリティ戦略を策定した際、ほぼ 同時期に日本語版 8 と英語版を9 発表しました。日本政府は従来英語 版を出すことがあっても、翻訳に数ヵ月を要しており、これは日本政 府にとって新たな試みでした。影響力を日本国内にとどめるのではな く、グローバルに影響を及ぼす戦略を作ろうとする日本の強い決意を 反映していたと言えるでしょう。 126 日本のサイバーセキュリティ経営ガイドライン 終わりに サイバーセキュリティを自力のみで確保できる国、セクター、企業 は存在しません。チームワークとコミュニケーションが不可欠です。 サイバーセキュリティ経営ガイドラインは、歓迎すべきものです。パ ロアルトネットワークスを含めグローバル企業の多くが政府による健 全かつ官民連携に基づくサイバーセキュリティ政策の推進を強く支持 しており、そうした政策の推進があってこそ、直面するサイバーリス クを組織が評価・対処することが可能となります。日本は世界三位の 経済大国であり、サイバーセキュリティ強化に向けての努力はグロー バルにインパクトを与えます。日本のサイバーセキュリティ経営ガイ ドラインは、グローバルに読まれるべきものなのです。 日本のサイバーセキュリティ活動の多くと同様、サイバー脅威情報 共有拡大に向けた活動は、日本政府と産業界が 2020 年の東京オリン ピック大会を成功させるためにサイバーセキュリティの強化を目指 し、かつ 2020 年以降に向け良いレガシーと国家としてのサイバーセ キュリティ能力を築く準備をしていることを表しています。そして、 さらに高い目標として掲げられているのが、経済界全体でサイバーレ ジリエンシーを高めることです。経済産業省のサイバーセキュリティ 経営ガイドラインで強調されているように、情報共有はそのために不 可欠なのです。 1 2 3 4 5 6 http://www.meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf http://www.keidanren.or.jp/policy/2016/006_honbun.pdf http://www.fujitsu.com/jp/documents/about/csr/management/security/ security-2016-04.pdf http://www.pwc.com/jp/ja/japan-knowledge/thoughtleadership/informationsecurity-survey.html http://www.meti.go.jp/committee/sankoushin/shojo/johokeizai/it_jinzai_wg/ pdf/002_03_00.pdf http://www.clair.or.jp/j/forum/c_report/pdf/120-1.pdf 127 7 8 9 http://cyberthreatalliance.org/faq.html http://www.nisc.go.jp/active/kihon/pdf/cs-senryaku-kakugikettei.pdf http://www.nisc.go.jp/eng/pdf/cs-strategy-en.pdf パロアルトネットワークス株式会社 日本担当最高セキュリティ責任者(CSO) 松原 実穗子(まつばら みほこ) 早稲田大学第一文学部を卒業後、防衛省で 9 年間勤務。フルブライト奨学金を 得て、米国ジョンズホプキンス大学高等国際問題研究大学院にて国際関係・国際 経済学の修士号を取得。その後、ハワイを拠点としたアジア太平洋地域のシンク タンクであるパシフィック・フォーラム CSIS のフェローとして地政学的な観点 でサイバーセキュリティ問題に取り組む。日本に帰国後民間企業に移り、2012 年から株式会社日立システムで、2015 年からはインテル株式会社の公共政策統 括本部のサイバーセキュリティ政策部長を務める。あわせて政府の情報セキュ リティ戦略に関わる委員会の一員としても選定された実績を持つ。2016 年 5 月 25 日、パロアルトネットワークス株式会社の日本担当最高セキュリティ責任者 (CSO)に就任。 パルアルトネットワークス グローバルポリシー本部長 ダニエル・クリズ(Danielle Kriz) パロアルトネットワークスのグローバルポリシー本部長として、同社のグロー バル政策戦略および関連活動を牽引している。官民双方の組織でグローバルテク ノロジー、サイバーセキュリティ、貿易政策に携わった実績は、20 年に及ぶ。パ ロアルトネットワークス入社以前は、情報通信技術分野の世界の主要なグローバ ル企業が所属している業界団体であり、ワシントン DC に拠点を置く情報技術産 業協議会(ITI)にて、グローバルサイバーセキュリティ施策担当部長を務めてい た。クリズの創始した ITI のサイバーセキュリティ施策プラクティスは非常に成功 し、世界的に影響力を持ち、高く評価されている。 ITI 以前は、シリコンバレーでハイテク企業やクリーンテクノロジー企業の政府渉 外戦略の策定と実施に携わった。また、米国政府機関に 10 年間勤務し、国際貿 易委員会や商務省にてハイテク産業国際貿易政策の策定を担当した。米国、EU、 中国、インド、日本、韓国、ブラジルなどでサイバーセキュリティ関連の国際協 128 日本のサイバーセキュリティ経営ガイドライン 議に参加し、サイバーセキュリティ政策の策定に関わった。ジョージタウン大学 で国際貿易と技術政策を専攻し、外交政策の修士号を、イサカ大学で政治学と経 済学の学士号を取得している。1991 年から 1994 年まで東京に在勤した。 129 経営としてのサイバーセ キュリティ NTT ヘッド、サイバー・セキュリティ・インテグレーション 横浜 信一 130 経営としてのサイバーセキュリティ 1 なぜ、サイバーセキュリティは経営課題か 先日、ある企業の経営者の方と意見交換する中で、「今の世の中、 サイバーセキュリティが経営課題と思っていない経営者はさすがにも ういないでしょう。いたとしてもかなり少数派です」とのコメントを いただきました。 確かに 2014 年末の大手映画配給会社の事例に始まり、日本年金機 構での情報漏えい、コンビニ ATM からの大量出金など、耳目を集め る事件がいくつも発生し、経営者の方々の間にも、もはや対岸の火事 でないという認識が高まってきていると思われます。 その一方、 「なぜ」サイバーセキュリティが経営課題なのかについ ては、マスコミ等でとりあげられ、経営陣の責任が問われるからとい った漠然とした理由にとどまっていないでしょうか。また、セキュリ ティ担当役員を任命して対応をゆだねている場合が多いのではないで しょうか。本稿では、まず、サイバーセキュリティを経営課題として 捉える必要があるその理由について確認し、次に、経営者がどういう 取り組みを進めるべきかについて述べさせていただきます。 (1)事業継続の前提条件 ビジネスにおいて、今やほぼすべての情報はデジタル処理されま す。電子メールやスケジューラ、財務・会計、人事などオフィス系情 報のみならず、製造現場での機械・装置の運転・制御・品質管理、店 舗の POS・売上げ集計・在庫管理など、企業活動にまつわる情報の ほとんどはデジタル処理されています。 仮にこれらに外部からの侵入が発生し、情報が改ざんされる、盗ま れる、システムの制御がのっとられる、などが起きると、ビジネス運 131 営を停止せざるを得なくなる可能性があります。企業活動においても っとも重要な事業継続が危うくなるわけですから、これがサイバーセ キュリティを経営課題として捉えるべき一番大きな理由です。とく に、社会経済の生命線となる電力・石油・ガス等のエネルギー、通 信、水道、金融、交通、医療など重要インフラと呼ばれる分野では情 報システムや情報資産を操作されると甚大な社会的被害につながるお それがあります。 工場やプラントの制御系システムなどについては、 「インターネッ トにつながってないから大丈夫」と思っておられる方が時々いらっし ゃいますが、実際にはそうしたシステムも、保守やメンテナンスのた めに一部社員しか知らないところでインターネットとつながっている ケースが多いのです。また、仮にインターネットにつながっていなく ても、USB メモリーを差し込む、ドローン(無人航空機)などを使 って無線で電磁波を送り込む、などの方法でセキュリティを破ること は可能です。さらに、最大のセキュリティホールは人間であるといわ れるように、人間の脆弱性はなくすことができないので 100%安全は ないことに留意すべきです。 (2)信認(トラスト)を守る 我々の社会活動・ビジネス活動は、すべて情報が真正であることを 前提として成り立っています。そうした中で、自社が取り扱い、ある いは発信する情報について、あるいはその情報で制御される装置の動 作やサービス内容について、外部からの改ざんを許してその真偽を定 かにできない状況に陥ると、顧客や取引先はもちろんのこと、社会、 規制当局、株主などすべてのステークホルダーからの信認を失うこと になります。 サイバーセキュリティの本質は、自らが取り扱い、また発信する情 132 経営としてのサイバーセキュリティ 報、運営する機械装置・サービスへの信認、ひいては自社のビジネス そのものへの信認を守ることにほかなりません。だからこそ、サイバ ーセキュリティは経営課題と捉えるべきといえるのです。 (3)デジタルイノベーションを生かす ここまでは「守り」に重点を置いてサイバーセキュリティが経営課 題である理由を書いてきましたが、サイバーセキュリティは「攻め」 にも必須です。ビッグデータ、AI、ロボティックス、フィンテック、 バイオメトリクス、あらゆる分野でイノベーションが進みつつありま す。そしてこれらのイノベーションはほぼすべてデジタル技術を基盤 としています。 マ ッ キ ン ゼ ー・ ア ン ド・ カ ン パ ニ ー 社 が 2013 年 に 発 表 し た 「Disruptive Technologies1」によれば、こうしたデジタルイノベーシ ョンによって世界では 2025 年までに 14 兆ないし 33 兆ドルの経済 価値が生み出される可能性があります。個々の企業にとっては、勃興 しつつあるデジタルイノベーションを社内に取り込み活用できるか否 かが、付加価値を生み出し成長を続けられるかどうかの分水嶺となり ます。そこでの成功は新たな飛躍を約束し、失敗は世界の経済成長か ら取り残される運命を意味するのです。 デジタルイノベーションを生かすには、企業自身がデジタルセキュ アであることが必要となります。いわば、デジタルセキュアであるこ とが企業としての付加価値創造力や成長力を左右する、サイバーセキ ュリティが企業競争力の源泉となる時代が到来しつつあるのです。 サイバーセキュリティへの取り組みは、これをデジタルエコノミー 時代の成長の必須要件と位置づけると、業種、規模、国籍を問わず、 すべての企業にとって必要です。従前は、サイバーセキュリティを経 133 営課題として取り組むべきは重要インフラ企業や、多大なアセット を持つ大手企業が主でした。しかしながら現在は、中小企業であって も、重要インフラ企業でなくても、成長を指向する企業すべてにとっ て必要な取り組みとなっています。 なお、内閣サイバーセキュリティセンター(NISC)が 2016 年 8 2 月に発表した「企業経営のためのサイバーセキュリティの考え方」 もこうした考えを示しています。 2 取り組みは、自助、共助、公助の順で では、経営者は何にどう取り組めばよいのでしょうか。経済産業省 と情報処理推進機構(IPA)が、2015 年 12 月に「3 原則」と「重要 10 項目」、現場担当者向けのチェックシートや具体的な対策方法をま とめた「付録」から構成される「サイバーセキュリティ経営ガイドラ イン」3 を発表しています。また、様々な書籍やセミナーなどの形で ハウツーが提示・提供されています。 大切なことは、ハウツーだけでなく、取り組みに当たっての経営者 のスタンスです。このため本稿では、経営者が持つべきスタンスとし て「自助、共助、公助の順番であること」を提起させていただきま す。 サイバー攻撃を仕掛けてくる相手が、時には外国政府やその支援を 受けた集団とも推定されること、攻撃技術も防御技術も日進月歩であ ること、国際的なルール作りなど外交努力も必要、などの理由から、 「サイバーセキュリティには政府の支援が不可欠」という論調が生ま れがちです。とりわけ「公・官」の影響力が「私・民」に対して大き い日本社会では、そうした傾向が強いようです。 134 経営としてのサイバーセキュリティ 政府の支援が不可欠という点には筆者も全く同意するのですが、そ れが「官頼み」や「官からの要請があるから対応する」といった受身 な態勢につながってはなりません。サイバー攻撃を仕掛けてくるのが 単なる愉快犯であれ、国際的な経済犯罪グループであれ、はたまた国 家機構であれ、攻撃を受けて損害をこうむるのは企業自身であり、被 害防止、最小化の主体は、当該資産・システムのオーナーでありオペ レータである企業にしかなりえないのです。 「第一に取り組むのは企 業が自らを助ける取り組み。次に企業が共に助け合うこと。公的支援 を期待するのは最後」であることを強調したいのです。 さきの経済産業省・IPA の「サイバーセキュリティ経営ガイドライ ン」の「3 原則」を読むと気付かされるのは、企業経営者の自主的リ ーダーシップへの要請が根底に流れていることです。我が国のサイバ ーセキュリティ政策の根幹となる「サイバーセキュリティ基本法」で も第 7 条で「(事業者は)その事業活動に関し、自主的かつ積極的に サイバーセキュリティの確保に努める」と明記されています。 (1)「自助」は経営プロセスの一環として 日本的風土の中で「リスク」という言葉は「良くないもの、できる 限り避けるもの」と捉えることが多く、その結果「リスクマネジメン ト」と言いながら実は「リスクアボイダンス」に陥りがちです。その ことを論じるのは本稿の主旨ではありませんが、サイバーリスクにつ いてもいたずらに避けるのではなく、ビジネス上のリスクの一つとし て位置付け、ビジネスリスクに翻訳をして、自社のリスク選好度に照 らした許容を経営判断として行うことになります。 具体的な第一歩は、サイバーリスクをビジネスリスクに翻訳するた め、守っているのは何か(それはデータだけではないはず)を事業運 135 営の観点から洗い出すことにあります。そして、洗い出した内容につ いて、その優先度合いをランク付けします。これによってセキュリテ ィをビジネスバリューの観点から評価し、経営リスクの一部としてど こまでのリスクなら許容するかを判断する基礎資料とします。 こうした、サイバーセキュリティを経営プロセスに組み込む活動 は、世界的にも新しい領域であり、海外でも試行錯誤・模索状態にあ ります。以下に、筆者が見聞きした中からいくつかのヒントを提示し ます。 あるワークショップで同席した米国飲料メーカーのセキュリティ担 当役員は、経営会議でセキュリティへの投資判断を行うための資料を パソコンの画面で見せてくれましたが、数値化した評価は行っておら ず、高・中・低で評価していました。数値の精度を追求するのではな く、経営判断として「この投資を行うか」を決めてもらうにはそれで 充分という発想です。 「完全防御は不可能とは分かるが、では、どこまでやれば合格なのか 分からない」も良く聞く声です。これに対しては、万一防御できなか った場合、検知・対応・復旧をどこまで迅速に出来れば成功とするか の目標を設定、事業ストップの判断者を決める、対外公表の基準を定 める、などが具体策と考えられます。 ま た、 企 業 の 取 締 役 を 会 員 と し た 米 国 の 非 営 利 団 体 で あ る National Association of Corporate Directors(NACD) では、 Director’s Handbook on Cyber-Risk Oversight4 を 編 集 し て い ま す。 その中では、取締役会への定期報告を求める、経営陣に対して予算や 人員の裏づけのある企業横断の体制を作ることを求める、など「取締 役が問うべき正しい質問」の例を示しています。 136 経営としてのサイバーセキュリティ (2)「共助」は業界を越えて 自助に続くのは企業が共に助け合う「共助」ですが、サイバーセキ ュリティをビジネスリスクとして捉えた場合に、業界ごとにビジネス の特質・慣習、守るべき資産の優先度合いなどが異なるため、まずは 同じ業界で情報共有や人材育成などで「共助」するのが基本となりま す。 こ の う ち 情 報 共 有 に 関 し て は、 欧 米 で は ISAC(Information Sharing and Analysis Center)と言われる団体を業界ごとに設立し ています。米国を例にとると、自動車、航空、通信、防衛産業、天然 ガス供給、電力、金融などの ISAC が設立されています。実はこれら ISAC は同じ ISAC の名を冠しているものの、出自も歴史も異なり、 活動内容も一様でなくその成熟度合いも様々です。経験が豊富で歴史 的にも長く運営している、そして他業界 ISAC へのアドバイスをよく 行っているのは金融と通信と言われています。 ビジネスニーズが似ている業界内での「共助」を基本としつつも、 すべてがつながる時代を迎えつつある今、業界を越えた協力が必要で あることはいうまでもありません。2020 年の東京オリンピック・パ ラリンピックを想定しても業界別の取り組みに加え、関係プレーヤー がお互いに協力する態勢が不可欠であることは容易に想像できます。 た と え ば 米 国 で は ISAC 横 断 の 連 絡 会 と し て NCI(National Council of ISACs) が 存 在 し、 本 稿 執 筆 の 2016 年 9 月 現 在、21 の ISAC がメンバーとして名を連ねています。筆者も NCI の会議にオブ ザーバーとして参加したことがありますが、情報共有自動化ツールの 紹介など、参加 ISAC による活発な議論が展開されていました。 137 こ う し た 業 界 を 越 え た 動 き と し て、 米 国 で は ISAC に 加 え、 Information Sharing and Analysis Organization(ISAO) を 作 ろ う という動きも進みつつあります。ISAO は ISAC よりも緩やかな概念 で、ISAC が業界別組織でどうしても大手企業中心になりがちなのに 対し、そこに入りにくいプレーヤー、例えば中小企業が地域で集まっ て加盟することなどを念頭に置いています。そして、ISAC も ISAO も両方を含めた情報共有のエコシステムを作っていこうというのが米 国政府の政策的な狙いです。 ISAO に対しては米国でも既存 ISAC から「屋下に屋を架す」こと を不安視し、批判的な意見があるなど、設立がうまく進むかどうかは 予断を許しません。しかしながら、ISAO 構築・運営のマニュアル的 ドキュメントは ISAC の運営経験豊富なメンバーの協力により 2016 年 9 月末に発表される予定で、その中身は日本で情報共有組織を作 っていくうえでも参考になるのではと思われます。 (3)「公助」は民が主体性を持って 官による支援については、日本における官民連携の特徴について触 れておきます。英語で Public-Private-Partnership (PPP) と呼ばれる 動きですが、日・米、双方の実際の動きを見ていると、同じ PPP で も質的に大きな違いがあると感じます。具体的には、米国では民が官 に対して積極的な対応をとり、意見もズケズケと述べる場面をよく見 かけます。官民連携と言ってもかなり民主導の色彩が強く、官側も民 間の意見を尊重、それに従う傾向があります。これに対し、日本では 民は官に対しておとなしく受身なことが多いようです。官民連携とい いながら、官に案の提示を期待し、官が案を提示すればそれを受け入 れる、そうしたパターンが多いように思われます。 政府と企業の役割は各国の政治風土、さらには歴史や文化などに依 138 経営としてのサイバーセキュリティ 存するので、民主導、官主導、いずれが望ましいかは一概に判断でき ません。しかし、サイバーセキュリティという課題に対応するのにど のようなアプローチが適しているかは大切なポイントです。この分野 は攻撃技術も防御技術も、日進月歩、実際には秒進分歩です。そのよ うな状況下で、政府が法令や行政指導で遵守すべき対応策・処方箋を 示しても、対処しきれないことを肝に銘じるべきです。規制だけでな く、政府の打出す公的支援策も、すぐに時代遅れになってしまうおそ れがあるのです。 最新の攻撃技術や攻撃パターンに関する知見、そしてそれに対処す る知恵は、情報システム・重要インフラを運営・守っている現場から 生まれるもので、現場にもっとも蓄積しています。そうした現場は企 業だけでなく官庁の中にも存在しているのですが、企業としてはこう した知恵、現場のニーズを積極的に発信して、必要なサポートを官に リクエストすることが「公助」を有効なものにするうえで不可欠で す。 ほとんどの企業が、セキュリティ人材の不足に悩んでいます。そ して政府の人材育成策に期待の声が高くなっています。しかしなが ら、セキュリティ人材と一言で言っても多種多様なスキルセットが 混然としているのが実態です。企業の現場で求められる人材プロファ イルはどのようなものか、企業から発信して行く必要があります。ま た、官と民の間の情報共有を進めるうえでは、民サイドでどのような 情報があるのか、そして有用なのか、を ISAC のような場で把握・明 確化したうえで、不足する情報(例えば海外での最新の攻撃手法な ど)を政府に対して求める、こうした民が主体性を持ったアプローチ が必要です。 139 結びに 2020 年 7 月下旬から約 7 週間にわたり、東京オリンピック・パラ リンピックが開催されます。サイバーセキュリティ面でも準備活動が 本格化していきます。そこには業種・業界を越えた企業・団体、各省 庁・政府機関など幅広い参加・協力が必要となります。一般市民の理 解・協力も求められます。本稿の主旨である企業経営者の主体的取り 組みも含め、準備を進めて行くことになりますが、結びに、この努力 は 7 週間のためだけでないことに言及したいと思います。真のゴー ルは、2020 年の先に続く、サイバーセキュアな日本社会を作り上げ ることにあります。これからの 4 年弱は、そのゴールに向けたウイ ンドウ・オブ・オポチュニティ(タイミングを逸すると閉じてしまう 「機会の窓」)です。機会を生かすべく、全員参加の精神で取り組ん でいくことを提起させていただきます。 1 2 3 4 McKinsey&Company, “Disruptive technologies: Advances that will transform life, business, and the global economy.” 2013. http://www.mckinsey.com/businessfunctions/business-technology/our-insights/disruptive-technologies 内閣サイバーセキュリティセンター「企業経営のためのサイバーセキュリティの考え 方の策定について」2016. http://www.nisc.go.jp/active/kihon/pdf/keiei.pdf 経済産業省「サイバーセキュリティ経営ガイドライン Ver 1.0」2015. http://www. meti.go.jp/press/2015/12/20151228002/20151228002-2.pdf National Association of Corporate Directors. “Cyber-Risk Oversight Handbook.” 2014. https://www.nacdonline.org/Resources/Article.cfm?ItemNumber=106 NTT ヘッド、サイバー・セキュリティ・インテグレーション 横浜 信一(よこはま しんいち) 東京大学工学部原子力工学科卒、ハーバード大学ケネディスクール行政大学院修 了。 140 経営としてのサイバーセキュリティ 通商産業省 ( 現経済産業省 )、マッキンゼー・アンド・カンパニー、NTT データを経て、現在 NTT 勤務。NTT グループを総括する立場でサイバーセキュ リティに関する国内外でのパブリック・アドボカシーや対外コミュニケーショ ン・情報発信をリードしている。 米国連邦政府下の民間委員会メンバー、ホワイトハウス主催のサイバーセキュリ ティ・サミットのパネラーを務めるほか、公益財団法人スペシャルオリンピック ス日本の理事、スペシャルオリンピックス・アジアパシフィック、リーダーシッ プ・カウンシルのメンバーとしても活躍している。 著作に『経営としてのサイバーセキュリティ』( 共著、日経 BP 社 )、『マッキンゼ ー IT の本質』 (共著、ダイヤモンド社)など。このほか日経ビジネスオンライン に「ビジネステクノロジー」をテーマに寄稿多数。 141 企業リスクの一部として の情報セキュリティ Sony グループ シニア・バイス・プレジデント兼 グローバル・チーフ・インフォメーション・ セキュリティ・オフィサー (CISO) ジョン・シモーネ 142 企業リスクの一部としての情報セキュリティ はじめに 現代のビジネスリーダーたちは、リスクマネジメントの実践に精力 的に取り組んでいます。企業経営者や役員レベルが対応しなければな らないリスクの件数は、技術革新、過剰な競争、グローバル化によ り、今世紀に入って以来、増加の一途をたどっています。サイバー攻 撃があらゆる種類・規模の企業に度重なる影響を与えていることか ら、情報セキュリティリスクの徹底管理の重要性は著しく高まってお り、こうしたことが、もともと煩雑であった当分野の状況を更に複雑 なものにしています。 情報セキュリティリスクの監督義務の効果的な遂行のために、ビジ ネスリーダーたちは当分野についての理解を深めることがますます求 められています。しかしその一方で、業界調査によれば、多くの企業 経営者や役員がこうした役割について理解不足や準備不足のままとな っています。情報セキュリティリスクを理解することは、常に変化し 続ける脅威の状態、サイバーリスクの複雑さと相関性、ビジネスリー ダーたちの多くに見られる技術的知識の全般的な不足、といった要因 により、しばしば困難を伴います。理由がどうであれ、情報セキュリ ティに対する責任の所在はビジネスリーダーたちにあり、従って彼ら はこの重大なリスク分野に精通し、その管理能力を確実に身につけな ければならないのです。 残念ながら、多くのビジネスリーダーたちが情報セキュリティリス クの基本的な枠組みを理解しておらず、当分野を管理するための最良 手段を完全に理解するのにかなり苦労しています。中には、CISO や 同様の役割を担う他の役員に対し、どんな質問をしたら良いのかさえ 分からない、という人もいます。しかし、ビジネスリーダーたちは、 この突如出現した分野を深く理解する必要はありません。当分野に関 連するリスクを効果的に監督するためには、深く理解するよりも、よ り従来的なビジネス・リスク・マネジメントの視点からそれらをシン 143 プルに検証すべきなのです。情報セキュリティリスクが引き起こす可 能性のある危機は、全く新しい前例のないものではないのです。確 かに、情報セキュリティは突如現れた複雑な分野です。しかし結局の ところ、その脅威が事業に与える影響は、既にビジネスリーダーたち がよく知っていて、何年もかけてそのマネジメントスキルを磨いてき た、法および規制、経営、ブランドの評判、事業の競争力、そして 製品事故リスクといった、従来からある危機という形をとって表れま す。このような身近な危機分野という視点で情報セキュリティリスク を見てみれば、ビジネスリーダーたちもより自信を持ってその理解と 管理を推進することができるでしょう。 法的および規制的リスク 情報セキュリティインシデントに起因する法的および規制的リスク は、その件数と重大性において増加傾向にあり、企業は、情報セキュ リティ分野へ投資するにあたり、法が求めるレベルとは一体どの程度 なのかを理解しきれないでいます。 「セキュリティ手段のベストプラ クティス」を構成する要素については、様々な基準の中で統一見解が 図られてきている一方で、その基準の多くがまだまだ理想の規範レベ ルに達しているとは言えない状況です。情報セキュリティ基準の多く が、一般的に自身のリスクを評価・判断し、セキュリティコントロー ルの適切なレベルを決定するための枠組み作りの必要性を説いたもの です。その結果、世界の多くの国では、訴訟を阻止する決め手となる 「対処基準」を満たす、公式に認められた基準や枠組みが存在しませ ん。こうした事実が多くの顧問弁護士を失望させ続けているのです。 こうしたことから、ビジネスリーダーたちは、情報セキュリティに関 連する法的および規制的リスクに対し、正確な判断を下すことに困難 を覚えるのです。 この分野はまだ新しいため、CISO および顧問弁護士が、インシデ 144 企業リスクの一部としての情報セキュリティ ント発生時だけでなく、発生の可能性に備えて、常に連携体制をとっ ておくことが重要です。またビジネスリーダーたちは、法的リスクと 情報セキュリティプログラム戦略との間の相互依存性について、あら ゆる角度から考察し、注意深く研究を進めるべきです。消費者による 訴訟がインシデント後の法的措置として最も一般的であることから、 しばしば議論の中心に置かれるでしょう。しかしその一方で、ビジネ スパートナーによる訴訟、株主によるデリバティブ関連の訴訟、増加 傾向にある厳しい規制措置等の可能性についても考慮し、計画を立て ておかなければなりません。法的リスクの全容に対する考察と理解が 進んで初めて、その効果的な管理が可能となり、そのためには CISO と顧問弁護士との間の固い協力関係が必要となることが多いのです。 質問事項 ・当社には、当社が保有する個人情報やその他の規制対象データ に関する管理台帳がありますか? ・大量の個人情報と規制対象データの保護はどのように行われて いますか? ・当社のセキュリティポリシーはどの業界基準に準拠しています か?その実施状況は当該基準をどの程度満たしていますか? ・法務部門は、情報セキュリティリスクの特定、評価、記録作成 の社内プロセスについて、レビューと承認を実施しています か? ・法務部門は、セキュリティプログラムのどの部分が不正侵入後 に最も訴訟につながりやすいかについて、CISO に助言をして いますか? 145 経営リスク 今日、IT 革命による恩恵を受けていない業界はありません。しか し、こうした技術の進歩は、甚大な量の新しいリスクを発生させるこ とになります。事業の成長は、経営上の重大要素である IT にますま す依存してきており、IT が突然崩壊したり、機能しなくなった時の 影響は、深刻なものとなることが予想されます。 過去に公表された情報セキュリティインシデントのほとんどは、デ ータ窃取のような情報の機密性に影響する侵害行為でした。その一方 でここ数年は、崩壊的または破壊的なサイバー攻撃が増加していると いう傾向が強く見られます。こうした攻撃の多くは、ひとつのウェブ サイトやアプリケーションを破壊するだけではなく、企業全体のネッ トワークも破壊し、オフライン化を引き起こします。 ビジネスリーダーたちは、IT のもろさをしっかりと認識し、それ に敏感であるべきです。IT に無数に存在するセキュリティホールに 対する攻撃は長年にわたって続いており、それに対する短期的な改善 の兆しも見られないからです。一般的な商用ソフトウェアやハード ウェアに加えて、空調システムやベルトコンベアのような非従来型 の IT システムも、 「スマート」機器としてネットワークに接続され、 「IoT」を形成しています。このような事情から、今や企業は、自社 の経営に関連する潜在的リスクシナリオの著しい増加に対処できるよ う、全力を尽くさなければなりません。サイバー攻撃によって電気系 統、空調システム、またはこれらに関連する施設支援システムが破壊 され、製造工場が簡単にオフラインへと追い込まれる、といったこと は、単なる一例に過ぎません。 もちろん企業も自社の生産性や生産高の最大化を図るために技術分 野に十分な投資を続けるべきです。しかしその際には、導入する情報 セキュリティの効果について考慮することも必要です。重要なビジネ スシステムやプロセスにサイバー上の欠陥が一つも存在しないことを 146 企業リスクの一部としての情報セキュリティ 慎重に確認しなければなりません。 質問事項: ・当社には、情報セキュリティ分野への投資やインシデントへの 対応準備の際に、最も重要なビジネス情報、システム、プロセ スのそれぞれについて相対的な優先度を確認することができる よう、それらを網羅した包括的な管理台帳がありますか? ・当社には、重要なビジネスプロセスにおけるサイバー上の欠陥 ポイントを特定し、これを軽減するために、現在実行している プロセスがありますか? ・非従来的な「スマート」機器のセキュリティ維持に関する組織 的責任は誰にありますか? そしてそれを実行するためのプロ グラムとプロセスにはどんなものがありますか? ブランド評判リスク 情報セキュリティインシデントの発生によるブランドダメージの度 合いは、その企業が属する業界によって大きく異なります。例えば、 サイバーセキュリティ企業は、自社でサイバー侵害インシデントが発 生し、それが公になった場合のブランドダメージについて、真剣に考 慮する必要があるでしょう。同様に、医療機器メーカーは、自社のセ キュリティポートフォリオにおいて、セキュリティ・ブランド・リス クを優先事項として考えなければならないでしょう。他方、製紙会社 は、インシデントが自社のブランドに与える影響についてはさほど懸 念を抱いておらず、その代わりに自社の経営や事業の競争力に対する リスクにはるかに大きな感心を持っていることでしょう。 全ての企業が、情報セキュリティインシデントにまつわるネガティ 147 ブな報道により同じようなダメージを被るわけではありません。しか し、どんな業界においても顧客の信頼と信用が基本資産であることに 変わりがないことから、ビジネスリーダーたちのほとんどがこれを第 一懸念事項として捉えています。これは、最も包括的かつ有益な製品 やサービスをセットで提供しようと、多くの企業が大量のセンシティ ブ情報および個人情報に依存しているため、ますます疑いようのない 事実となっているのです。 企業ブランドの評価は、インシデントが発生した事実と、ステーク ホルダーが受けた影響の度合いによって判断されるだけでなく、イン シデントに対する企業の対応方法によっても判断されるものだ、とい うことを認識することも大切です。ビジネスリーダーたちは、サイバ ー侵害を発見した際に、重要な意思決定を迅速かつ自信を持って下す ための準備をしておかなければなりません。これには、被害を受けた 方々への利益提供(例:クレジットモニタリング等)を率先的に行う かどうかという決定と同時に、公表が規定されていない場合でも率先 して公表に踏み切るかどうか、その場合はどのように行うべきかとい う意思決定も含まれます。実際の問題として、法的リスクとブランド の評判見通しという相反する公平性のバランスを考えた意思決定を下 さなければならない場合もあるということです。ブランドのダメージ を軽減するために行ったはずのパブリックコミュニケーションの多く は、不注意にもインシデント後の法的責任を増大させてしまうかもし れないのです。 質問事項: ・情報窃取にあった時に、メディアによる公表が避けられないも のには、今日ではどんな脆弱性、どんなプログラム成熟度の不 備がありますか? そして、これに対する適切な対処策として はどんなものがありますか? 148 企業リスクの一部としての情報セキュリティ ・当社の企業広報部門は、インシデント発生時のブランドダメー ジ軽減に備えるための共同計画策定において、CISO とどのよ うに協力し合っていますか? ・当社には、インシデント発生時に役立つと思われる、重要なセ キュリティ関連投資または実施されたプログラムの見本例はあ りますか? 事業競争力リスク おそらく、最も重大でありながらも過小評価されている情報セキュ リティリスクの分野は、重要な知的財産またはその他のセンシティブ な企業情報の窃取によって引き起こされる、事業競争力の低下に関す るものです。それが最新の製品デザインであれ、交渉初期の顧客獲得 計画書といったセンシティブな文書であれ、厄介な競合他社の手に渡 れば、この種の情報は企業の競争力を脅かす可能性があるのです。 多くの公的報告書が、サイバーハッキングが経済スパイの世界にお いて促進剤としての役割を果たした、と述べています。サイバー侵害 を通じてソースコード、製品デザイン、その他の知的財産を盗み、そ の情報を利用して競合他社や製品を作り出し、被害にあった企業の世 界市場シェアを奪っていく国が存在することは広く報告されていま す。アメリカ合衆国 FBI 長官のジェームス・コメイ氏はこれに関し て次のように語っています。 「合衆国の大企業は 2 種類に分けられま す。中国人によってハッキングされている企業と、中国人にハッキン グされていることを知らない企業です」 。 企業は、情報セキュリティの脆弱性を見つけ出し、知的財産を盗み 出そうという意図と能力の両方を持つ無数の敵と戦わなければなりま せん。残念ながら、このリスク分野はこれまでずっと過小評価されて きました。その主な理由は、情報セキュリティインシデント(検知さ 149 れたと仮定した場合)と、競合他社の能力向上または準最適事業取引 の増加との間の直接的な因果関係がほとんど分からないため、知的財 産の窃取の影響が全く認識されない場合があるからです。そして何年 か経過した後に侵入の事実が認識された場合でも、ほとんどの場合は 手遅れで、競合他社はインシデントで得た研究開発補助金を利用して より低価格の競合製品を市場に送り出し、自社製品を圧倒してしまっ ているのです。 質問事項: ・当社の、最も貴重な知的財産を適切に保護するための特別セキ ュリティプログラムには、どんなものがありますか? ・当社は、強力なサイバー・スパイ・プログラムを有していると される国家やそれらの支援を受けていると思われる企業との間 で、どのような対立や交渉の問題を抱えていますか? そうし た分野に関する情報を保護するための、特別なセキュリティプ ログラムはありますか? ・当社は、重要な知的財産を競合他社に奪われることによる損害 を最小限にとどめるために、あるいは国家の経済スパイプログ ラムによって形成された全く新しい競合他社と対決するため に、どのような準備をしていますか? 製品リスク これまであまり目立たなかったリスク分野であったにもかかわら ず、情報セキュリティの脆弱性やインシデントに起因する製品リスク は、企業の収支に甚大な影響を与える可能性があります。脆弱性やイ ンシデントに関連する製品リコールの事例は広く報道されてきません 150 企業リスクの一部としての情報セキュリティ でしたが、この静かな状態は永遠には続かないだろう、とは当然予測 できることです。 今日、多くの製品はネットワークに接続されています。これはつま り、世界のどこにあってもインターネットを通じて直接攻撃される可 能性がある、ということです。攻撃者は、御社の顧客が保有するあら ゆる製品ラインに自動的に攻撃を加えることができるのです。これ は、外部要因に関係なく発生する、物理的な設計や製造上の不備に起 因する製品リコール(例:電源コードやエアバッグの欠陥等)が主流 だった過去からのパラダイムシフトの可能性を予感させます。現代に おいて、ハッカーが御社の製品のセキュリティ上の欠陥を積極的に探 し、それを利用して製品にアクセスし、非道な行為に及ぶということ は、予測不能なことではありません。その中には顧客の安全を脅かす ものもあるかもしれません。ひとつの深刻なケースのシナリオとして は、ハッカーがコードを書き換えて、地球上の全ての自社製品をイン ターネットを通じて探し出し、自動的にその脆弱性を見つけ、機能不 全や故障を引き起こし、費用のかかる厄介な世界規模の製品リコール を誘発する、といったものがあります。 デジタル方式で操作またはコントロールできる製品を販売している 企業では、ビジネスリーダーたちは、そうした製品を守るための最善 策、製品自体が攻撃を受けた場合の対応策、続いて起こる派生的結果 への対抗策について真剣に考えなければなりません。 質問事項: ・当社の主要製品ラインナップをモデルにした脅威シナリオの中 で、発生の可能性が最も高いのはどのシナリオですか? ま た、どれが最も重大と言えますか? ・当社の製品の機能やデザインは、インターネットを通じた遠隔 操作により物理的に破壊されたり使用不能になったりします 151 か? ・当社の製品は、セキュリティパッチの配信が必要となった時 に、それを遠隔受信する能力を有していますか? またこれに 関連して当社は、遠隔更新能力が悪用されて、配備された製品 の全運転履歴がハッキングされないようにするために、更新プ ロセスの完全性と安全性をどのように確認していますか? ・ 当社のトップ製品ラインを全てリコールする場合の概算コス トはいくらですか? また、製品デザインの変更、物流の強 化、的を絞ったセキュリティ投資により、どの程度コストを軽 減することができますか? 結論 もちろん、情報セキュリティをより身近なカテゴリーに単純に落と し込んで検討することは、問題を過度に単純化してしまうリスクを伴 います。情報セキュリティインシデントが事業に及ぼす影響は、しば しば複数のリスク分野にまたがって表れます。ひとつの例として、消 費者の個人情報が盗まれるという事件が発生すると、ネットワークが 強制的にオフラインとなるため、即座に経営に影響が出始め、やがて それは訴訟や法的な罰金へと発展し、こうした一連の出来事がブラン ドに大きなダメージを与える、といったことが考えられます。更に、 特定の企業では、情報セキュリティインシデントがもたらす別の影響 の可能性についても検討しておく必要があるでしょう。例えば、自動 車メーカーや医療機器メーカーは、ドライバーや患者の安全に影響を 与える情報セキュリティリスクに最も高い関心を示すことになるでし ょう。ビジネスリーダーたちは、ますます複雑さを増すリスク環境を 考慮しつつ、この戦略的に相互依存し、潜在的に連鎖性を持つ、一連 のリスク分析についてよく理解し、それに取り組んでいくことに、一 152 企業リスクの一部としての情報セキュリティ 層の努力を払う義務があるのです。 結論として、情報セキュリティは極めて技術的かつ複雑なリスク分 野でありながら、経営者のガバナンスとリスクマネジメントを可能に するために、事業への影響をより取り組みやすい身近なタイプの事例 に置き換えて、同じような扱いをすることが可能であり、また、そう した扱いをするべきものと言えます。ビジネスリーダーたちは、情報 セキュリティプログラムの戦術策定に加わる必要はありません。彼ら が負っている義務は、ますますその重要性が高まっているこのリスク 分野が適切に管理されているということを保証するために、戦略的ガ バナンスと強い関与を提供することなのです。これは、自社に影響を 与える他のあらゆるリスク分野に対して彼らが遂行している義務と同 じものなのです。 Sony グループ シニア・バイス・プレジデント兼 グローバル・チーフ・インフォメーション・ セキュリティ・オフィサー (CISO) ジョン・シモーネ (John Scimone) Sony グループ シニア・バイス・プレジデント兼グローバル・チーフ・インフォ メーション・セキュリティ・オフィサー (CISO) として勤務し、Sony のグローバ ル情報セキュリティ・プライバシー戦略、ポリシー、経営部門を担当。Sony 入社 以前はアメリカ合衆国国防省(DoD)において国防長官のコミュニケーションオ フィスのセキュリティ運営トップとして、長官のサイバー・セキュリティプログ ラムおよびファシリティ・セキュリティ・プログラムを監督など様々な指導的地 位を務める。またアメリカ合衆国戦略軍のもとグローバル・ネットワーク・オペ レーションのためのジョイント・タスク・フォースのメンバーとして勤務、DoD の 200 万人を超える従業員の情報を保護する企業ネットワーク・セキュリティ・ プログラムの開発を指揮した。 ジョージア工科大学で情報セキュリティを専攻、コンピュータサイエンス学部で 理 学 士 号 を 取 得、 ま た Strategic Intelligence Studies from the Institute of World において対敵情報活動を専攻し、文学修士号を取得している。 153 ベストプラクティス設計 敵は何を狙っているのか 脅威にもとづくサイバーセキュリティ・リス ク・マネジメントのアプローチ インターコンチネンタル取引所および ニューヨーク証券取引所 CISO ジェリー・ペルロ 156 敵は何を狙っているのか 限りある資金、そして「次の大規模なハッキング」への絶え間ない 脅威を考えると、サイバーセキュリティについて好きなだけアイデア を出しあい議論をつくすような余裕のある対応はむずかしくなってい ます。ガバナンスを主導する側は、このむずかしいテーマとこのほか の無数の複雑なリスクとのバランスをとりつつ、 「どのような質問を 投げかけるのが適切なのか」を考えなくてはなりません。しかしなが ら、一般的なサイバーセキュリティのガイダンスは非常に多岐にわた っています。膨大な点検項目を設け、初動対応から対応完了までをあ まねくカバーしようとするセキュリティプログラムもあれば、新聞に 大きく報道されたサイバー侵害事件にその場限りの対応をしただけの セキュリティプログラムもあります。そうしたなかで、自社にとって 絶対に見過ごすことのできない最重要分野を選びだすには、はじめに 敵の最終目標を念頭におくこと、つまり「敵が何を狙っているのか」 を自問するところから始めるバランスのとれたアプローチが必要で す。 従来のガイダンスは、 「セキュリティプログラム構築」と、「対策基 準にもとづいた包括的フレームワーク(枠組み)の監査」を中心とす るものでした。どのような対策基準が好まれるかにはその時々の変動 がありますが、一般原則として、 「資産の特定」、「その資産をめぐる リスク・マネジメント・プログラムの確立」、「資産を守るための防 止・検知・是正的な管理策の確立」の 3 点が軸に据えられています。 戦術レベルでは、こうした方策には何も問題はありません。むしろ取 締役会は、こうした方策をベースにしたセキュリティプログラムを継 続的に運用することを想定すべきですし、第三者監査や顧客、ベンダ ー、監督官庁がこうした方策にもとづいてセキュリティ検査をおこ なうことを予期すべきです。ただし、こうした方策にも問題がありま す。それは、こうした方策では、策定したフレームワークに対応する よう管理策を要所に配備してそれらの管理策ではカバーできない「抜 け穴」や脆弱性を特定する必要があるので、対象を絞りこんだ 1 度 157 のガバナンス会議では消化しきれないほどに多数の最重要分野や管理 策が出てきてしまうという問題です。さらにこの方策は、「どんな方 法で当社がハッキングされる可能性があるか」という取締役会が抱え る最大の懸念には即答できません。 同様に、新聞に大きく報道されたサイバー侵害事件に反応し、全資 金を投じて報じられている技術や管理策を慌てて導入する、といった 方策にも問題があります。というのはそうした技術や管理策は、他社 の脆弱性には有効でも自社の抱える問題にはまったく当てはまらない かもしれないからです。単に「先週起きた事件が、自分の会社にも起 きるおそれがあるか」と自問するだけでは、せいぜい誤った自信を抱 くことになるか、自社には無関係な「抜け穴」に対処するために無駄 な労力を費やすことになるのが関の山です。セキュリティベンダーが この傾向につけこむのも無理はありません。その結果、最近新聞の見 出しを飾った問題に対処するため、次々と大量のソリューションが 提案されます。 「貴社には絶対に暗号化が必要です」「管理者の行動基 準を定めて異常なアクセス時間やアクセス場所を通報するため行動科 学にもとづいた対策を導入すべきです」 「すべてを守るのはあきらめ て重要資産だけに集中すべきです」 「より強固なパスワードが必要で す」。これらのソリューションにはもちろんそれぞれに役割がありま すが、それが自社の直面する脅威に対応したものでなければ、企業個 別の要件にもとづいた防御を提供するどころか、逆に大きな混乱を引 き起こしかねません。 こうした問題に対応し、ガバナンス会議で議論すべき有意義で妥当 な議題を見つけるには、脅威の対象を絞ったバランスのとれたアプロ ーチが必要です。このために、ここ 10 年間の大規模なサイバー攻撃 に関する報道を、大きくいくつかのカテゴリーに分けてみましょう。 脅威を何種類かのカテゴリーに分類すれば、各カテゴリーが自分の会 社にとってどう影響するかをモデル化し、その脅威が発生する可能性 や影響を評価できます。こうした現実的な脅威像があれば、取締役会 158 敵は何を狙っているのか は、自社に最大の価値をもたらす具体的な質問がなんであるかを見出 すことに集中できます。もちろん、サイバーセキュリティ計画では以 下の脅威カテゴリーのすべてにある程度は対処すべきですが、自社に 一番大きく関連するカテゴリーで優先順位づけすれば、限られた時間 で探求すべき最重要分野が明らかになるでしょう。さらに、自社を特 定の脅威にさらす業務慣行を発見すれば、これまでの評価に含まれな かった新たなコストを踏まえ、その業務慣行を見直す機会になるかも しれません。加えて、サイバーセキュリティリスクをカテゴリー別に 分解することで、新聞のサイバー侵害事件見出しに今後も自社を掲載 させないためにとるべき戦略や、特定データをアウトソースするかど うかの戦略が変わってくるかもしれません。 脅威カテゴリー 1:データの窃取 自社は簡単に換金できる資産を管理していますか。大量のクレジッ トカード番号や社会保障番号(日本であればマイナンバーや年金番号 など)は、報道される多くのサイバー侵害の誘因となります。犯罪者 は盗品売買ルートを確立しており、数百万件のカード番号やなりす まし犯罪を可能にする個人識別情報(PII)を入手するためなら、膨 大なリスクや労力もいといません。とはいえ、それが 100 件や 1000 件では魅力に欠けます。自社には、大量のクレジットカードデータや PII データがあるでしょうか。カード決済代行会社や小売店、医療機 関はこの種の侵害の明らかな標的です。自社がこの業種に該当するな ら、昨今の大規模な侵害がケーススタディとして役立ちます。これら の分野で学んだ教訓から、次のような質問を重点的に投げかける必要 があります。 ・機密データがある場所をすべて把握しているか、データの置き場所 をシステムのうち極力狭い範囲に制限しているか(隔離)。 159 ・そのデータを保管するシステムへのアクセスは資産ベースの管理策 を含めて厳しく管理され、監査や警戒の対象になっているか。 ・そのデータは大規模な侵害で使用された具体的戦術のいくつかを阻 止するような形で暗号化されているか。 容易に換金できるデータがなければ、そもそも上記の質問から始め る必要はないかもしれません。だからといって、換金できるデータを もたない組織はデータの窃取を容認できるといっているわけではあり ません。容易に換金できるデータがなくても、機密メール、知的財 産、顧客のログイン認証情報、企業秘密など、ほかにも保護すべきデ ータはあるからです。とはいえ、多くのばあい、綿密に検討すれば、 隔離や資産重視型のコントロール、暗号化など、近年多発するカード 番号・PII 情報への侵害から生まれた集中的対策が、標的にされにく い一般的なデータへの対策としては不適切なことがあります。もちろ ん、保護するデータが攻撃者以上に自社にとって貴重なら、全社的な アクセス管理、許可設定の見直し、ID 管理などの、従来の管理策に 重点を置くのがおそらく適切でしょう。つまり、自社がこうした業種 に該当しないなら、幻の脅威を阻止するよりも従来の管理策を重視す べきです。 脅威カテゴリー 2:アクティビズム(積極行動主義) 自社は、頻繁に抗議やアクティビズム(社会的、政治的変化をもた らすための意図的な行動をする主義)の対象になっていますか。気候 変動や労使関係など、おそらく対象となってしまう理由はさまざまで す。反資本主義、反製薬会社、反畜産運動に巻きこまれることもあれ ば、単に会社の知名度が高いだけということもあるでしょう。自社の 評判を傷つける思想的な動機をもつ団体が存在するかどうかが分から ないこともあります。サイバー空間の誕生によって、アクティビズム 160 敵は何を狙っているのか をほぼ匿名で行うことを可能にするまったく新しい手段が生まれてい ます。このカテゴリーに属する攻撃からこうむる影響は、世間を騒が せようとする行動に起因するものが多いでしょう。その行動とは通 常、DoS(サービス妨害)または改ざんのいずれかを指します。前者 は、企業がビジネスとして提供するサービスなどの一部を顧客や一般 市民が利用できない状態にすることで、その会社の無力さを証明しよ うとするものです。実際には顧客アクセスや社内システムを攻撃した 方が大きな被害を与えられるかもしれませんが、アクティビストの目 標はそもそも最低限の労力と露出だけで世間を騒がせることにありま す。この目的のため、たいていは企業の公式 web サイトが攻撃され ます。改ざんについても、同じく企業 web サイト(加えてソーシャ ルメディアアカウント)がもっとも一般的な標的です。企業のサービ スを停止させる以上にアクティビストに大きな満足を与える唯一の手 段は、web サイトを辛辣なメッセージで改ざんすることです。この カテゴリーの大規模な攻撃には、大手銀行(とくに欧米諸国を連想さ せる名称の銀行)へのほぼ絶え間ない DDoS 攻撃(分散型サービス 妨害攻撃)が含まれます。改ざんのターゲットには、企業や政府機関 の Twitter や facebook のプロフィールも含まれます。自社がこのた ぐいの脅威の対象となる可能性が高いのであれば、次のような質問を 投げかけるとよいでしょう。 ・自社は最近世間で確認された規模の DDoS 攻撃に耐えられるか。 ・自社に DDoS 緩和計画があるばあい攻撃時にその計画を始動させ るのにどれほどの時間がかかるか。その間の機能停止は容認できる かそれとも世間的にはセキュリティ対策上の失策とみなされるか。 ・会社の主要な web サイトを継続的に検査し不正な改ざんを可能に する既知の脆弱性の有無を確認しているか。 ・企業 web サイトが改ざんされたばあい、どれくらいで復旧できる か。 161 ・会社の公式ソーシャル・メディア・アカウントの認証情報は、マー ケティング以外のセキュリティ意識が高い部門によって厳しく管理 されているか。 このカテゴリーの脅威が自社に該当しないばあい、こうした攻撃の 緩和を管理策やレビューの最重要分野とするのは、資金配分方法とし て最善ではないかもしれません。 脅威カテゴリー 3:妨害工作 自社は、重要インフラを提供する企業ですか。自身を含めた主な役 員は、政治色の強い声明を公表していますか。自社の事業が中断すれ ば、過激派の目標達成に一歩近づくでしょうか。これらの脅威を実現 させるには、高度な戦術と多くの時間が必要ですが、こうした脅威に はえてして非常に強い動機を持ち連携のとれた行為者が関与している ものです。妨害工作カテゴリーにおける敵の目標はふつう web サイ ト攻撃を上回るものです。物理的な制御システム、データの完全性、 社員のパソコンの機能でさえも攻撃対象になる可能性があります。こ の種の脅威には攻撃手法が多く、複数の手法を組み合わせて使用され ることもしばしばですが、このところは個々の社員を標的にするケー スが急激に増えています。ソーシャルエンジニアリングやフィッシン グでは、習慣や思いこみにつけこんで、パスワードを開示させ、悪意 のある web サイトへのリンクをクリックさせ、添付ファイルを開か せようとします。このような攻撃は防御がもっとも難しい攻撃のひと つですが、攻撃者にとっては持続的なアクセスが必要で最終目標達成 までには長い時間がかかることから、防御側にとっては検知・是正的 な管理策の重要性が高くなる一方、完全な防御を目標とすることへの 要求は低減します。加えて、関与する行為者の性質と国益に影響を及 ぼす可能性から、自社が検知に重点を置き適切なコネクションを持っ 162 敵は何を狙っているのか ていれば、リスク緩和策への支援を受けられるでしょう。このカテゴ リーの攻撃リスクがあるばあい、次の質問を投げかけるとよいでしょ う(ここでいう社員には、請負業者とベンダーを含みます)。 ・社員一人ひとりが組織防御における自分の役割の重要性や攻撃がど んな形をとりうるかを理解しているか。 ・社員は日常的に疑わしい活動を報告しているか。 ・社員がサイバー空間で責任ある行動をとるための教育や動機づけを 与えられているか。 ・外部の人間の制御下での認証を示唆する社員の疑わしい行動をシス テムで検知しているか。 ・インシデント対応企業や法執行当局と連絡をとっているか、セキュ リティ侵害が検知されたばあい彼らをすみやかに動員できるか。 脅威カテゴリー 4:不正行為 自社で、支払または決済処理を行うシステムを運用していますか。 すべての有料サービスは、ただ乗りをもくろむ人の標的となる可能性 がありますが、現金ほど世知に長けた犯罪分子をひきつけるものはあ りません。自社がお金を動かす機能を提供しているなら、そこを重点 的に警戒する必要があります。むろん不正行為自体は目新しい脅威で はありませんが、インターネット接続によって間違いなく新たな次元 の脅威に成長しています。とはいっても、この不正行為のカテゴリー が自社に当てはまるのであれば、サイバーリスク懸念が加わるずっと 以前から対処してきたことでしょう。ですので、従来の不正行為防止 策に沿う形でサイバーセキュリティへの取り組みを確実に行うには、 次の質問を投げかけるとよいでしょう。 ・顧客がユーザー名やパスワードだけでは認証を受けられないよう 163 テキストメッセージや携帯アプリ、セキュリティトークンなどの 2 要素認証を配備し実施しているか。 ・従来的な認証に加え、疑わしい場所、アクセス時間、トランザクシ ョンパターンを特定するためにアダプティブ認証(リスクベース認 証、ふるまい認証)を使用しているか。 ・不正行為の発信源、頻度、損失額を追跡し、その傾向を把握してい るか。 ・類似組織や競合他社と緊密に協力して脅威インテリジェンス(脅威 情報)を共有し、検知または防御すべき共通のパターンを特定して いるか。 脅威カテゴリー 5:コモディティ化されたハッキング 個々の脅威はそれぞれ特有の標的を伴うものの、どんな組織も、コ モディティ化(商品化)された脅威というもっとも一般的なカテゴリ ーのリスクにさらされています。こうした脅威は日和見的に攻撃の機 会を窺っており、最先端の脅威への管理策とはまたべつの管理策が求 められます。少なくとも自動攻撃についていえば、企業 IT 環境への アクセスを確保し、確保したコンピュータ資源をべつのより凶悪な犯 罪の使用にあっせんするという目的で行われるものです。ですから、 自社が重要インフラ企業ではなく、かつ容易に換金できるデータを保 有していなかったとしても、コモディティ化された脅威がそうした企 業のコンピュータを侵害し、そのコンピュータ資源をさらに高度な攻 撃の手段として利用する可能性はあります。マルウェアは、企業のコ ンピュータやストレージ、帯域幅を使って、犯罪者からのジャンクメ ール送信や海賊版メディア保存、DoS 攻撃を行います。このカテゴ リーの攻撃者は、攻撃相手のコンピュータが金融機関、メーカー、大 学、家庭用ネットワーク、病院などのいずれに属するものかなど気に かけません(あるいは多くのばあい、帰属先を知りません)。自社を 164 敵は何を狙っているのか こうした一般的な攻撃から守るには、他の標的よりも露出を減らすこ とが必要です。そこで次の質問を投げかけましょう。 ・組織内でサイバーセキュリティに責任をもつ役職を明確にしている か。 ・絶対に必要なサービスのみをインターネット上に公開しているか。 ・パソコンとメールサーバーは一般的なウイルスやマルウェアから自 動的に保護されているか。 ・企業メールにはもっとも一般的なウイルスやスパムを除去する管理 策を採用しているか。 ・企業のネットアクセスには悪質な web サイトへのアクセスを阻止 する管理策が組みこまれているか。 日和見的攻撃のなかでも特殊なものとしてランサムウェアがあげら れます。ランサムウェアは感染したコンピュータの情報を暗号化し、 身代金が支払われるまでデータを利用できないようにします。この種 の攻撃は壊滅的な被害を与えるおそれがありますので、上記の予防的 管理策に加えて、次の質問を投げかける必要があります。 ・定期的にファイルサーバーのバックアップをとりテストしている か。最新データがすべて利用できなくなったばあい、すみやかに復 旧できるか。 ・方針や慣行を通じ、消耗品であるパソコンやラップトップ上のデー タを当てにせず、重要データの保管にはネットワークストレージを 使用するという原則が確立されているか。 結論 サイバーセキュリティは比較的新しい分野ではありますが、すでに 165 最重要インフラやデータの監視と管理策が必要な大きな分野に成長し ています。短期間でガバナンスへの関心が劇的に高まっており、専門 家のアドバイスを取捨選択するのにも苦労することでしょう。そのな かで、サイバーセキュリティをめぐる効果的なガバナンス方針を作成 するには、自社に特化した脅威の分析と「敵が本当はどんな資産を狙 っているのか」を特定することに時間をかけること、これが最初の重 要なステップとなります。 インターコンチネンタル取引所および ニューヨーク証券取引所最高情報セキュリティ責任者(CISO) ジェリー・ペルロ (Jerry Perullo) jerry.perullo@theice.com 2001 年以降、インターコンチネンタル取引所 (NYSE:ICE) の情報セキュリティ プログラムを指揮する。最高情報セキュリティ責任者として、ニューヨーク証券 取引所を含む ICE 傘下の規制が非常に厳格である取引所・手形交換所のセキュリ ティを担当。金融サービスセクター連携協議会(FSSCC)、金融サービス情報共 有分析センター(FS-ISAC)に積極的に参加し、同センターの 手形交換所・取引 所フォーラム議長(CHEF)を務める。 国際取引所連合傘下の国際取引所サイバーセキュリティ(GLEX)作業部会の共同 設立者でもあり、サイバーセキュリティ業界の複数の業界・顧客向け諮問委員会 のメンバーを務める。現職以前は、Digital Consulting & Software Services 社 の主任コンサルタントとして、医療・エネルギー・データサービス業界に情報セ キュリティ検証およびコンサルティングサービスを提供。1990 年代半ばにインタ ーネット・サービス・プロバイダーを設立した。 クレムゾン大学でコンピュータエンジニアリングを学び、メリーランド大学で法 学学士号、ジョージア州立大学で MBA を取得。 166 敵は何を狙っているのか 現状を打破する : 侵害防止のための設計 パロアルトネットワークス サイバーセキュリティ戦略ディレクター デイビス・Y・ヘイク 168 現状を打破する : 侵害防止のための設計 こんにちの現実と脅威のコモディティ化 サイバー脅威がいかに高度化し成功を収めているか、その統計は暗 たんたる将来像をしめしています。新たなセキュリティ脅威の出現は 加速し、犯罪を目的としたハッカーの技術も洗練されつづけていま す。このためサイバー犯罪との戦いはいまや恒常的な課題といえま す。コンサルティング会社 CyberEdge の 2015 年の調査によれば、 調査対象のセキュリティ専門家の 71% が、担当するネットワークが 侵害された経験があると回答しており、その割合は前年(62%)から 大きく上昇しました。さらに、今後 12 カ月以内に自分のネットワー クへのサイバー攻撃が成功する可能性があると思うと答えた回答者 は、2013 年は 39% でしたが、2014 年は半数に及んでいます。 残念ながら昨今は毎週何かしら新たなデータ侵害のニュースを耳に します。ごく控えめにいっても攻撃側の技術進化と脅威の高度化につ いていくのは「困難」という表現では不十分でしょう。攻撃はネット ワーク境界からのばあいもあれば、デジタルインフラ利用者への直接 攻撃のばあいもあります。標的型攻撃の傾向が強まっているだけでな く、増えつづけるソフトウェアの脆弱性を攻撃メカニズムに悪用する ケースも多くなっています。脆弱性には攻撃者しか知らない「ゼロデ イ」と呼ばれるものや一般に知られているがソフトウェアベンダーが ち しつ まだ修正していないものがあり、攻撃者はこれらを知悉しています。 さらに、日を追うごとに洗練されていく新たな攻撃方法やマルウェ アが、ブラックマーケットで次々に共有されています。攻撃側と防御 側のいたちごっこはもはや競争ですらありません。攻撃側は先行して いるだけでなく防御側に大きく水をあけており、ほとんどのセキュリ ティ担当チームは「攻撃防止が可能」という考えに見切りをつけ、防 止でなく迅速な攻撃検知とインシデント対応計画の策定に投資を集約 しています。なぜなら、従来型セキュリティ製品はほとんどなんの一 貫性もない技術の寄せ集めでしかなく、ネットワークやエンドポイン 169 トに到達した攻撃しか検知できないからです。 従来型アーキテクチャの運用人員を増やし、一貫性のない寄せ集め 技術の隙間を人力で埋めようとしてもこの問題は解決できません。む しろ、次世代型技術の導入によりセキュリティを統合的に組み込み、 脅威を自動処理させることで攻撃者の最終目標達成を阻止すべきで す。脅威の質と量を考えれば、セキュリティ担当者を介在させず、自 動化による検知と防止の両方をスピードアップすることが重要なので す。 というのもサイバーセキュリティ上の課題が山積しているからとい ってデジタルインフラの運用をやめるわけにはいかないからです。顧 客は取引や商用サービス利用のためにインターネットや企業の社内ネ ットワークにますます依存するようになっています。顧客がこうした システムを利用するのは、そのシステムを信頼しているからです。こ の信頼こそが、顧客がオンラインで行うすべての行為を支え、ひいて は組織のブランドや市場における地位を支えています。検知と修復だ けに重きを置いた、あるいは一貫性のないツールの寄せ集めに頼った 従来型のセキュリティ対策はこの信頼を裏切るようなもので、そもそ もいかにしてサイバー攻撃を防止するかを考えていないがために重大 なリスクを生じさせるおそれがあります。 現代のサイバー攻撃を防止するには新しいセキュリティ対策が求め られます。つまり、こんにちの攻撃形態の多様さと絶えず変化し続け る高度な攻撃技術という現実に対応できるセキュリティ対策が求めら れているのです。というのは、攻撃技術が高度化するにつれ侵害リス クも高まり、組織の中で最も脆弱な侵入口のセキュリティ強度がすな わち組織全体のセキュリティ強度となるからです。したがって効果的 な戦略では以下の複数のポイントで攻撃を遮断するようはたらきかけ る必要があります。 ▪「ゼロトラスト」のセキュリティ態勢を構築し、不正なユーザーや 170 現状を打破する : 侵害防止のための設計 ソフトをすべてブロックしようとするのではなく、正規のユーザー とアプリケーションのみを許可する ▪攻撃者が検知をかいくぐり、C&C(コマンド・アンド・コントロ ール)チャネルを確立するために用いる各種の手法をブロックする ▪未知のものやポリモーフィック型も含めたマルウェアのインストー ルを防止する ▪攻撃者がソフトウェアの脆弱性を利用するためにとる各種の手法を ブロックする ▪正規 ID が乗っ取られたばあいの「Lateral Movement(横展開 : 攻 撃者がセキュリティ侵害後ネットワーク内を移動し侵入拡大を図る 行為) 」を防ぐため組織内のデータトラフィックを厳重に監視、制 御する サイバー攻撃のライフサイクル セキュリティ侵害のニュースは後を絶ちませんが、サイバー攻撃は 必ず成功するものでも、魔法が引き起こすものでもありません。多く のばあい、攻撃者が検知されずにネットワークに忍び込めるのは、そ こに開けっぱなしの「窓」や修繕されていない「穴」があるからで す。ネットワークに侵入した攻撃者は標的への到達が可能と確信する まで次の動きの計画を練りながら辛抱強く待ちます。まるでチェスの ゲームのように、長い一連の論理的なステップをへてようやく行動を 起こすのです。こうしたサイバー攻撃の戦術を知ることで、研究され た既知の攻撃だけでなく非常に高度な新しい攻撃も遮断し、防止する ことができます。 攻撃者が用いるツールや戦術、手順は様々ですが、ほとんどのサイ バー攻撃に共通する高度なテンプレート的攻撃ライフサイクルが存在 します。従来のセキュリティ対策は、このライフサイクルの中のどこ か一点のみを遮断するしくみを配置することが中心になっています。 171 このような対策をとる理由は IT セキュリティチーム内の各部署の目 的がそれぞれ異なっていたからです。たとえばネットワーク管理者は 接続状態とファイアウォールに気を配り、情報セキュリティアナリス トは分析を担当するだけで、チーム全体が調整を図りながら協力する 必要は滅多にありませんでした。部門間で協力しなくても対策に一貫 性がなくても「外国の王族の名をかたってアメリカへの 100 万ドル の送金を依頼してくる詐欺メール」のような日和見的に標的を決める 低レベルの脅威の阻止であれば有効に機能していたからです。 しかしながらいまは、高度なツールが拡散し、効果的な攻撃戦略が 開発され、犯罪者や敵対的国家の間で共有され、攻撃がはるかに洗 練されてきています。高度なツールを利用し、特定の組織を標的に して、侵入できるまで持続的に攻撃を繰り返すこうした攻撃は APT (advanced persistent threats:高度で持続的な脅威)とも呼ばれま す。この種の攻撃は執拗なうえ気づかれにくく、短時間でいっきに終 わらせることを避け、価値の高い情報を長期にわたって手に入れよう とします。 APT といえばかつては国家スパイ行為の領域でしたが、いまは規 模の大小を問わず様々な組織を対象としてこうした高レベルの脅威 が仕掛けられています。その目的も社外秘の知的財産や財務情報の 窃取、デジタルシステムの妨害、あるいは単に恥をかかせることなど 様々です。従来の単一目的型の対策では、このように高度かつ執拗、 持続的な敵対者には対抗できません。ただし、攻撃側の戦術の各ステ ップに標的を絞ることで、攻撃が目標に達する前に阻止する確率を 高めたソリューションを構築することは可能です。少なくともライフ サイクル全体を考慮して防止策を導入すれば、攻撃側のコストが上が り、もっと攻撃しやすい別の目標に標的を移す見込みはあります。 それでは、攻撃者がネットワークに侵入してから出ていくまでにた どる段階を見ていくことにしましょう。 172 現状を打破する : 侵害防止のための設計 サイバー攻撃ライフサイクルの各段階 偵察: 強盗や泥棒と同じように、高度な攻撃者も周到に攻撃計画を 練ります。たいていはフィッシング戦術を使い、またオンライン上に ある従業員紹介情報や企業 web サイトからの公開情報を集めて、標 的を調査、特定、選択します。ネットワークの脆弱性や、悪用できそ うなサービスやアプリケーションも探し出します。 ▪求人サイトは情報の宝庫になりえます。たとえば、ある企業が特定 セキュリティ製品に精通したエンジニアを採用しようとしていれ ば、攻撃者はそこからその企業がネットワーク保護に使用する製品 とセキュリティ上の不具合を予測できます。 ▪偵察活動を完全に阻止することは無理でも攻撃者が偵察しやすくな るようなことは絶対に避けなければなりません。セキュリティの確 保には技術と同様に人員とプロセスも重要です。適切な研修を行 い、強固なセキュリティ慣行を実践することで、偵察を制約し、組 織のセキュリティ態勢を強化できます。敵対者が企業 web サイト からどんな情報を得られるかを認識し、高いレベルのアクセス権限 を持つ要員にはセキュリティ意識向上のための研修を必ず受講させ ます。 ▪自社のセキュリティ態勢の弱点を特定するため、先進的な「レッド チーム」と呼ばれる演習サービスの利用を検討します。演習後は、 高度な攻撃者に狙われていることを示唆する異常な活動があれば警 告してくれる「トリップワイヤ」ポリシーを導入することを検討し ます。 兵器化と展開:サイバー攻撃ライフサイクルがこの段階に進むと、高 度な脅威を防止するうえで技術がさらに重要になってきます。ハッ カーは、ネットワークにアクセスする手段を選択しなければなりませ ん。このアクセスはデジタルな手段によるばあいも、物理的なばあい もありますが、その主な目的は、攻撃者が目的を達するための足がか 173 りを確保し、攻撃を計画することです。 スピアフィッシング 攻撃者は偵察で得た情報を使って標的ネットワークへの侵入方法を決 めなければなりません。多くのばあい、PDF 文書や電子メールのよ うな一見無害のファイルの中に侵入コードを埋め込む方法を選びま す。また、ある個人の特定の利益を狙ってきわめて狭い範囲を標的と した攻撃を仕掛けるばあいもあります。 ▪スピアフィッシングは簡単でしかも効果が高いので非常によく使わ れます。攻撃者は偵察段階で集めた情報を利用し、機密性の高い認 証情報そのほかの情報へのアクセス権を持つと予測した特定のユー ザー宛に悪意のあるファイルを添付した電子メールを送ります。 ▪多くの組織ではこうしたフィッシング攻撃を検知するために従業員 研修を始めていて、フィッシングメールを開いた人を追跡できるテ ストメールを送信しています。この種の攻撃に引っかかりやすい部 署がわかってきたら、その部署を中心に研修を行います。 ▪自分に関係がありそうなメールを受信すれば、誰でも条件反射で内 容を読んで添付ファイルを開きたくなるものです。家族や友人、上 司からのメッセージに見えるように巧みに作られたスピア・フィッ シング・メールを受け取れば、たとえ十分な研修を受けたベテラン セキュリティ担当者でもだまされることがあります。そうしたメー ルを乗物にしてネットワークに入り込むマルウェアの影響を緩和す るには、従業員研修にくわえて技術的なセキュリティ対策の確保も 不可欠です。 水飲み場型攻撃 ▪アクセス確保の手法としてはこのほかに「水飲み場型攻撃」として 知られるものがあります。 「水飲み場型攻撃」で攻撃者は標的とな るユーザーや企業が関心を持つ情報を提供する web サイトを事前 に改ざんするなどし、閲覧すると悪意のあるコードがダウンロード されるようにします。そのうえで標的のユーザーに web サイトを 174 現状を打破する : 侵害防止のための設計 閲覧させるようにしむけ、ソフトウェア・エクスプロイト・キット を利用してそのユーザーのコンピュータにマルウェアをインストー ルします。攻撃者はマルウェアから折り返し報告を受けることで感 染対象を把握し、そのシステムにアクセスしてデータを盗み出そう とします。 ▪水飲み場型攻撃は独立した web サーバーを侵害する必要があるの で成功させるのは難しいですが、メールに添付される悪意のあるフ ァイルを警戒している組織にはきわめて有効です。従来型のセキュ リティ製品ではユーザーによる悪意のある web サイトの閲覧を防 げないばあいがあります。しかしながら高度な対策をとれば、既知 の不正なアドレスをフィルタリングすることにより、ユーザーが悪 意のあるファイルをしこまれた web サーバーから意図せずマルウ ェアをダウンロードしてしまういわゆる「ドライブバイダウンロー ド」の被害者になるのを防ぐことができます。 エクスプロイト:組織「内部」へのアクセスを確保した攻撃者は、標 的のコンピュータ( 「ホスト」とも言います)上で攻撃コードを作動 させ、最終的には完全にコントロールを掌握することができます。 ▪ホストのコントロールを完全に掌握するために、既存のソフトウェ アの特定脆弱性悪用に特化したプログラムを利用し、そのプログラ ム自体を正規ユーザーとしてインストールします。脆弱性は多くの ばあいコーディング初期に見つけられなかった古いバグです。未修 正つまり「パッチ」を適用されていない既知のバグもあれば、その 時点ではまだ攻撃者しか知らないバグもあります。このような未知 の脆弱性は、攻撃者に侵入されたと初めて気づく日まで被害者側に は知られていないことから「ゼロデイ」と呼ばれます。 ▪先に述べたようにゼロデイは最も悪質な脅威ですが同時に最もまれ な脅威でもあります。ただしひとたび悪用されればその脅威からは 誰も保護されません。誰もパッチを適用していないので、攻撃者が 迅速に動けば多数のシステム上の同じ脆弱性が悪用されることにな 175 ります。 ▪未知の脅威を見つけられなくても、攻撃者がその脆弱性を利用して 損害を与えないようにすることはできます。攻撃者の目的は重要な ファイルの窃取や破損などいずれ似たようなものなので、システム 侵入後、最終目的の達成までにたどる手法は限られています。高度 なセキュリティソフトウェアは、ネットワークアクセス取得後に攻 撃者が使用する一般的な手法を検索し阻止することで、ゼロデイを 悪用するマルウェアを探し出すことができます。 ▪広く一般に影響を与える脆弱性は毎日発見、修正されています。自 組織内のすべてのソフトウェアとハードウェアについて、定期的に 更新と修正を行うプロセスを導入すべきです。しかしながら新しい バージョンや更新版は既存のシステムの誤動作を引き起こすことが あるため、IT チームは新しい修正プログラムをテストできるまで システム更新を後回しにしがちです。この結果、更新が遅れれば誰 もが知っている脆弱性が残されたままになりかねません。できるか ぎりすみやかに修正・更新を行う方針で運用しつつ、同時に組織内 の業務リスク管理実施の観点からセキュリティと可用性のバランス をとるようにします。 インストール:高度な攻撃者はできるかぎり安全かつ隠密に標的ネッ トワーク全体に足場を確保することを最優先事項として行動します。 ▪攻撃者は、侵入しようとしているデジタルシステムの信頼を利用し て侵入してきます。多くのばあい、あるコンピュータの管理者にな り、ほかのユーザーに感染してデジタル認証情報を盗もうとしま す。そうしてアクセス権を持つ範囲を広げていき、標的システムに 対するコントロールの度合いを高めていきます。それと並行して標 的ネットワークへの接続を回復できるようにする「バックドア(裏 口)」を複数開きます。高度な攻撃者をネットワークから完全に排 除することがとくに困難なのは、たとえ最終的には見つかって締め 出すことができるとしても、こうしたバックドアがどこにいくつあ 176 現状を打破する : 侵害防止のための設計 るかわからないことが理由です。 ▪不思議に思われるかもしれませんが、攻撃者が使用するツールはオ ンラインで無料で入手できたりインターネット上で販売されていた りするものが少なくありません。こうしたツールは金づちや釘のよ うなもので、セキュリティ担当者がシステムテストやセキュリティ 強化に利用する一方で攻撃者が兵器として利用するのです。このよ うな「出来合い」のセキュリティツールはきわめて高機能ではあり ますが、たいていはアンチウイルスソフトなどの従来のセキュリテ ィ手法で検知できます。 ただしより高度な攻撃者になるとリモート・アクセス・ツール (RAT)などをカスタムツールとして独自開発することがあり、その ばあいアンチウイルスソフトでは検知できません。実際、こうした独 自ツールはインストール初期段階でアンチウイルスソフトを終了さ せてしまうこともあります。攻撃側は相応の投資をしてこうしたツー ルを開発し、見かけ上は正当なユーザーとしてネットワーク上の足場 を築こうとします。この足場が固まると、攻撃者は従業員になりすま し、ファイル共有ソフトや社内メールなどの承認済みアプリケーショ ンを利用して悪さをすることができるわけです。 C&C(コマンド・アンド・コントロール):ネットワーク内で足場を 築いても、攻撃をコントロールできなければ、攻撃者にとっては何の 役にも立ちません。 ▪高度な攻撃者は侵入がいずれ露見することを念頭において、セキュ リティチームやセキュリティソフトウェアの目を逃れて急場をしの ぐための準備をします。このために攻撃者はインターネット経由で 自身の管理する特定サーバーへの C&C チャネルを確立し、感染し たデバイスと当該サーバー間でデータ送受信ができるようにしま す。 ▪攻撃者が攻撃ツールとの通信に使用するチャネルで最も一般的なの 177 は、通常のインターネットトラフィック(つまり HTTP プロトコ ル)を経由する方法です。こうした通信は正規ユーザーからの大量 のトラフィックの中に紛れ込んで、従来型のセキュリティツールの 防御をくぐり抜けてしまうばあいが多いのです。 ▪攻撃者のツールは定期的に攻撃側と通信し、次の一連のコマンドを 取得します。この通信は一般に「ビーコン」と呼ばれます。ビーコ ンには感染ホストからの偵察情報、たとえばオペレーティングシス テム構成、ソフトウェアバージョン、ネットワークにログオンした ユーザーの認証情報などが含まれることもあります。非常に複雑な ネットワークのばあい、この種の情報のおかげで攻撃者はより深く 密かに潜入することができます。巧妙なマルウェアであれば、単純 な C & C リクエストだけでなく、人間をまねて電子メールを送っ たり、SNS アプリを利用して攻撃者のコマンドを受信することも あります。 ▪すでに侵害されている可能性を想定し、ネットワークを「ゼロトラ スト」の方針で扱うことにより、攻撃者が通信やネットワーク内移 動に利用する不要な経路を封鎖することができます。またネットワ ークをセグメント化し、アプリケーションへの内部制御を構築する ことにより、攻撃者によるネットワークのほかの部分への侵入拡大 を防ぐことができます。これは類焼を防ぐために除草した防火地帯 をもうけることに似ています。 標的上での行為:攻撃者がネットワークを侵害する動機は様々で、常 に金銭目的とはかぎりません。データの持ち出しや web サイト上の 資産の汚損、あるいは重要なインフラの破壊が目的のばあいもありま す。 ▪最もよくある目的は検知されずに標的データを見つけて持ち出すこ とです。この終盤段階の作業は、ネットワーク上のツールに攻撃者 本人がコマンドを送ることで実行されるのが普通です。攻撃者は目 標を定め、目標に到達するための複雑な過程を記したシナリオを用 178 現状を打破する : 侵害防止のための設計 意し、そのシナリオにしたがって何日も、何週間も、あるいは何カ 月もかけてネットワーク内のバックドアから重要なデータをすべて 引き出します。 ▪このステップでは、攻撃者本人が防御側のセキュリティ対応活動に 合わせて臨機応変に動くことができるため、阻止するのがとくに難 しくなります。直感に反するかもしれませんが、こうした侵入者の 阻止を試みるときは慎重な対応が重要です。高度な攻撃者が見つか ったときによくとる戦術のひとつは、ショーウィンドーを叩き割っ て金品をひったくる強盗のように、乱暴に防御を破って目当てのも のを奪い取る戦術です。つまり、姿を隠すのをあきらめ、手段を選 ばず目的を達しようとするのです。そうなると、動作中のシステム が損傷を受けるおそれがあります。あるいは、システム内にさらに 深くもぐり込んで潜伏し、防御側が脆弱性をすべて修正したと思い 込んだタイミングを見はからって再びバックドアで侵入しようとす るばあいもあります。以上の理由から、事前に対応計画を準備する ことで、敵対者に防御側のパニックの兆候を気取られないようにし ておくことが重要です。それにより、こちらが気づいているという ことを相手に気づかせずに攻撃ツールを除去しつつ、侵入に使われ た出入口を閉鎖することができます。 ▪しっかりした対応計画があれば必要な緩和策を事前に準備するのに も役立ちます。たとえばセキュリティ事故発生がおおやけになった ときに重要となる対外対応手順をそこで決めておくことができま す。またアクセスまたは窃取されたデータによっては規制上法律上 の報告義務が生じることがあるのでその対応にそなえる必要もあり ます。たとえ攻撃者が実際にはデータ窃取に成功していなくても、 窃取や開示に成功したのかあるいは未遂だったのかが後から判断で きないことも多いので、これらの報告義務はやはり有効なばあいが あります。 179 高度な敵対者をこのライフサイクルのどこかひとつの時点だけで阻 止しようとするのは無益です。ネットワークに脆弱性や弱点があるの と同じで攻撃者にも弱点はあります。攻撃者は同じ戦術や手法や手順 を複数の標的に繰り返し用いるため、そうした戦術や手法のパターン が確立されれば、防御側でそれを認識し、調査し、利用することがで きます。しかし、この優位性を手にするには、セキュリティへの新し い対策が必要です。 なぜ従来型対策ではうまくいかないのか こんにちのセキュリティアーキテクチャはそのほとんどがたがいに 関連性を持たない独立した組織やプロセス、技術インフラの寄せ集め です。いわば製造業の生産ラインのように、個々の単体製品が並ぶコ ンベアベルトの上をセキュリティ事象が次々と流れてきて、スタッフ がそれぞれ個別に自分の職務だけを果たしている状況です。これが従 来型のセキュリティ対策で、かつてはこの方法でも低レベルの脅威を 回避できていました。ところが、攻撃者がこの独立構造の「穴」をか いくぐる方法を編み出すようになると、この種のアーキテクチャは弱 点を露呈しはじめました。現在では、従来型システムは阻止すべき攻 撃を防ぐことができないうえに組織に不必要な出費を強いるという二 重の意味で非常にロスの大きいものになっています。 従来型セキュリティアーキテクチャにおける主な戦略上の欠陥のひ とつとして事後対応的な対策があげられます。セキュリティ担当チー ムは組立ラインモデルにしたがって、ネットワーク上で過去に起きた 事象をデータログから読み取ることになります。こうしたチームの大 部分はたがいに独立して運営されているため、ログファイルの検証は ほかの重要なチームとの連携なしで行われ、攻撃を迅速に検知・防止 するために本来であれば利用すべき重要な背景情報を把握することが できません。人力に頼ったネットワーク防御では対応が遅すぎ、高度 180 現状を打破する : 侵害防止のための設計 な自動化ハッキングツールや創意工夫の才のある攻撃者には効果的に 対抗できないのです。 もうひとつの戦略上の欠陥は、 「事前対応的な防止」への意識が欠 けていることです。多くの組織では「攻撃対象領域」を減らすための 対策が不十分で、業務に不要な特定の種類のアプリケーションを許可 していたり、使用ポートにもとづいて可否を判断するポートベースの ネットワークポリシーが採用されているなど、ネットワーク上に「開 けっぱなしのドア」が残っていることがあります。この結果、マルウ ェアを送り込んでも防御側に気づかれにくいような基本的なアプリケ ーションを通じ、攻撃者が知的財産を盗む余地ができるのです。この ように高度な攻撃を阻止する効果がないことを幾度となく露呈してい る従来型セキュリティ対策からは是が非でも脱却しなければなりませ ん。 とくにここ何年か、攻撃者自身と使用される手法の両方に劇的な進 化が起きています。各種の推定ではサイバー犯罪はいまや 5000 億ド ル規模の産業とされており、ほかの産業同様、この好況がさらなる投 資と革新を呼び込んでいます。となれば、この産業を自滅させる最善 の方法は潜在的な利益を取り除くことです。サイバー犯罪者が目的を 達するのがきわめて難しく、攻撃を成功させるにはさらにリソースを 投資し続けるしかない状況をつくり出し、最終的には採算が取れない ところまで持っていくことが必要なのです。 従来型セキュリティアーキテクチャの特性 可視性の低さ:見えないものを守ることはできません。従来型の検出 機能は、全トラフィックを点検して良いものだけを許可するかわり に、悪いとわかっているものだけを探し出そうとします。ですが、組 織のセキュリティアーキテクチャは、暗号化されているばあいも含 め、すべてのポートとプロトコル(ネットワークの「ドア」や「窓」 にあたる)のすべてのアプリケーション、ユーザー、コンテンツを可 181 視化し、盲点を排除しなければなりません。また、マルウェアやゼロ デイ脆弱性エクスプロイトなどの、先例のない脅威を利用した新しい 標的型攻撃を検知、阻止する機能も必要です。 相関関係の欠如:多次元的な攻撃に対しては、防御も多次元的でなけ ればなりません。こんにちの攻撃者はネットワーク内部への侵入途 上、従来型の防御として仕掛けられたわなを避けるために手法を次々 と変えていきます。攻撃者が残す手がかりを見つけるため、防御側の アーキテクチャは、攻撃を特定したうえで個々の技術が連携して防止 に向けてはたらく System of Systems(SoS:複雑な統合システム) として機能しなければなりません。検出機能と保護機能を相関させれ ばシステム内の各要素がよりスマートになります。たとえば、ある泥 棒が同じ手口で複数の家を襲ったとすれば、自宅の盗難警報装置をそ の手口に合わせて手動で調整する必要があるでしょう。一方サイバー 空間では、この相関プロセスを自動化することで検知と防止のスピー ドを上げられます。 手作業による対応:攻撃が急速に進化している現状においては、「手 作業の介入」をなくすことが不可欠です。検知に焦点を絞ったシステ ムでは、低レベルの脅威に関する警告メッセージが山のように出てき て、それだけで IT セキュリティチームが手いっぱいになってしまう ことがあります。高度なセキュリティアーキテクチャでは、手作業に よる介入なく、新しい防御手段を絶えず学習して適用する自動化シス テムを採用する必要があります。全体の 99% を占める低レベル脅威 をシステムで処理して過密状態を自動的に解消し、セキュリティチー ムが残り 1% の優先度の高いインシデントに注力できるようにするこ とです。 こんにちの高度な脅威を阻止する秘策は、私たち自身の経済感覚を 逆転させ、サイバー攻撃ライフサイクルの各段階の複数個所で脅威を 防止することにあります。そのためには、ネットワーク内外のいたる 182 現状を打破する : 侵害防止のための設計 ところで攻撃を検知し、 「穴」があればふさぎ、攻撃を首尾よく仕掛 けること自体を防止できるアーキテクチャを構築することが求められ ます。 防止のためのアーキテクチャ サイバー攻撃をまぬがれられる組織は存在しません。サイバー犯罪 者は世界中で活動を活発化させ、新たな手法を利用して従来型セキュ リティ対策をかいくぐっています。効果的なセキュリティアーキテク チャは、脅威がネットワークに侵入して損害を与えるのを防ぐだけで なく、ほかのセキュリティコミュニティにとっての既知の脅威に関す る知識を最大限に活用すべきです。しかしながら、従来型のソリュー ションは組織内の特定範囲に存在する単一の脅威ベクター(脅威の侵 入経路や方法)のみを対象とするのが普通で、この可視性の欠如によ り攻撃を受けやすい領域が多数残ってしまいます。さらに、こうした 従来型ソリューションは単一製品の「寄せ集め」で構成されているた め、各デバイス間で連携をはかり、情報を共有するのは非常に難しく なります。 いくさ その結果、防止など負け戦も同じ、という前提で、セキュリティチ ームは検知・修復の作業に投入する時間と予算を増やす必要にせまら れます。この作業には、様々なデバイスから証拠をかき集め、それら を総合して未知の脅威を発見し、それから防御策を手作業で構築して 配備するという時間のかかるプロセスが伴います。攻撃者が最終目的 を達するのに要する時間はせいぜい数分か数時間なので、防御策の配 備が終わる頃(たいていは何日も、あるいは何週間も後)にはとうに 手遅れです。このような応急処置的な対策では、最近の脅威の現状に つながっている根本的問題を解決できません。 すべての攻撃を阻止する方策はありませんが、防止の意識を持って セキュリティアーキテクチャを設計することにより、サイバーセキュ 183 リティをビジネス成功の要因に転換できます。ネットワークへの損 害や機密情報の窃取を予防すれば、重要な IT リソースや要員、時間 に、基幹業務に注力する余裕ができます。 「検知と修復」の姿勢から 「攻撃の防止」に移行するには、企業の上層部が次の三つのサイバー セキュリティの必須要件を検討する必要があります。 1 プロセス:整理統合によって攻撃対象領域を減らす ▪現代のネットワークは合併買収や従来型アーキテクチャの結果、 様々なシステムやユーザーが無秩序に入り混じった状態になってい ることがあります。このような無秩序なネットワークには気づかれ ずに侵入できる入口が数多く残っていて、そこから潜り込んだ攻撃 者はネットワーク内に何カ月も時には何年も潜伏できます。高度な サイバー攻撃を防ぐには自社ネットワークに攻撃者よりも精通して いなければなりません。そのためにはアーキテクチャを簡素化し、 制御・監視・防御が可能な扱いやすい要素の集まりにしておくこ とが必要です。攻撃対象領域を減らすには、ネットワークを通過す るアプリケーション、ユーザー、コンテンツを把握する技術を利用 し、業務遂行に必要な良いネットワークトラフィックのみを許可す ることが重要です。未知のトラフィックに悪意のある活動が隠され るばあいがあるのは常識ですし、実際、組織内のトラフィックをよ く調べてみるとネットワーク上で実行されているとはまったく知ら なかった高リスクのアプリケーションが見つかることが少なくあり ません。従来型のシステムは多くのばあい、良いものだけを許可す るのではなく、悪いものだけを阻止する対策をとっているのです。 「良い通信だけを許可する」対策は「ホワイトリスト化」とも呼ば れます。ホワイトリスト化により、マルウェアがネットワークに入 り込む機会を排除し、セキュリティ上の問題となる範囲をただちに せばめることができます。 ▪攻撃対象領域を減らすためにもうひとつ重要なのが、データセンタ 184 現状を打破する : 侵害防止のための設計 ーなどのネットワーク上重要な構成要素をセグメント化することで す。前述のように、高度な攻撃者はネットワーク内の防御の弱い部 分から侵入し、重要な領域へと侵入を拡大していこうとする傾向が あります。ネットワーク上の最重要部分を電子メールシステムや顧 客との接点となるシステムから分離して防火帯を構築することで、 侵害拡大を防ぐことができます。 ▪エンドポイントと個別ユーザーのセキュリティ確保も忘れてはいけ ません。ここがいわば最終決戦場です。旧来のアンチウイルスソフ トは悪意のあるソフトウェアを特定するためのシグネチャと呼ばれ る情報にもとづいて検知対象を把握し、既知の脅威による重大な感 染を見つけていました。しかしながら、先に述べたとおりこんにち の攻撃にはアンチウイルスソフトではどうしても見つけられない未 知のマルウェアやエクスプロイトが含まれていることもあります。 従来型アンチウイルス製品の有効性が大きく低下しているなか、エ ンドポイント保護についての新しい考えかたが生まれてきていま す。見えないものを探そうとするのではなく、エクスプロイトやマ ルウェアがとりうる特定の動作を防ぐことで、エンドポイントの攻 撃対象領域を減らすという考えかたです。隠れて密かに行われる攻 撃をむやみに探し回るよりも、攻撃時に見られる特定の不正な活動 を阻止するほうがはるかに効果的なのです。 ▪最後にもうひとつ、ごく単純なことですが、攻撃対象領域を減らす ためにネットワーク再構築に投資するのであれば、すべての投資を 最大限活用しなければなりません。次世代技術を購入しても実際に 製品を動かしてきちんと構成しなければ使いものにならないからで す。セキュリティ投資で遅れをとらないようにするには、投資プロ セスじたいを習慣として確立することが最も重要です。 2 技術:コントロールの統合と自動化によってサイバー攻撃のラ イフサイクルに打撃を与える 185 ▪現在や将来のセキュリティ課題に対応するのに過去の技術を使って はいけません。前述のとおり、従来型のセキュリティ対策は個々の 製品をつぎはぎした単機能ソリューションの集まりで、新しい攻撃 手法では破られる「穴」が残り、組織がリスクにさらされます。し かしながら組織全体を保護する統合型のサイバーセキュリティプラ ットフォームを採用すれば、すべての防御機能が連携して動作する ので、攻撃者に利用されうる穴を特定してふさぐことができます。 強力な防御の鍵となるのは情報共有です。それぞれの製品が把握し ている情報を共有することで初めて高度な攻撃の防止に役立つ手が かりを探し出せます。 ▪次の手順は防止処理を自動化することです。人間がセキュリティに おける最大の弱点であることは過去何度も証明されてきました。高 度な攻撃者はそのスピードも執拗さもステルス能力も手作業での対 応能力を上回ります。ログファイルやセキュリティ警告をひとつ見 落としただけで組織全体が破綻するおそれがあるのです。しかしな がら防御機能全体を可視化する統合型プラットフォームがあれば、 悪意のある要素を阻止し、未知の要素を調査することにより新しい 脅威に自動的に対応できます。 ▪統合によって組織にスピードとイノベーションをもたらせます。い まや会社を出れば仕事も終わりという時代ではなく、社員はノート パソコンを自宅に持ち帰り、外出時にモバイルデバイスから会社の クラウドにアクセスする時代です。このような時代に業務を止める ことはできません。データが動くことで社員は仕事ができるのです からセキュリティもそれに呼応する必要があります。モバイル、ク ラウド、ネットワーク仮想化などの最新技術に対応したプラットフ ォームを選びましょう。 3 人員:サイバー脅威情報を共有するコミュニティに参加する ▪エンドユーザーが不正な URL やフィッシング攻撃をすべて見ぬく 186 現状を打破する : 侵害防止のための設計 ことを当てにしてはいけません。もちろん各自がサイバー攻撃阻止 のためにできることについて従業員を教育することは重要ですが、 高度化したサイバー脅威から組織を守るためには教育だけでは不十 分です。グローバルなセキュリティコミュニティを活用しましょ う。そうしたグローバルコミュニティは脅威の全容解明をめざし、 多様な情報源から得られた脅威インテリジェンスを統合していま す。グローバルな脅威インテリジェンスをリアルタイムで得られる ようになれば、セキュリティチームは脅威に対して遅れをとるこ となく、新たなセキュリティ事象を容易に特定できるようになりま す。 ▪攻撃者は標的から標的へと移動しながら、その攻撃者に特有の「デ ジタル指紋」を自身の戦術、手法、手続きなどに残していくもので す。この種の証拠分析結果をほかの組織と脅威インテリジェンスと して共有すれば、組織や産業を縦断して標的とする攻撃者の新たな 攻撃を迅速に防止できます。また脅威インテリジェンスにもとづい て自動的に対応できる統合型プラットフォームを組み合わせること で、警告情報がただちに配信され、攻撃者は同じ攻撃を繰り返せな くなります。とくに顧客ベースの大きい製品ベンダーが構築したセ キュリティエコシステムによるネットワーク効果は絶大で、新たな 脅威に有機的に対応できます。 ▪産業ごとに集まって脅威情報を共有しようとする動きも出てきてい ます。たとえばアメリカ政府がさきに発表した「AIS(Automated Indicator Sharing 自動指標共有) 」とそれを支える関連政策 1 のお かげで、企業どうしで連携してサイバー脅威情報を共有したり、高 度なサイバー攻撃者の特定と阻止に向けて協業したりが容易になり ました。 ネットワーク上のすべての隙間を埋め、高度な標的型脅威から本当 の意味で組織を守るために最も重要な手段は、統合型セキュリティプ 187 ラットフォームを導入し、最も対応が困難な未知の脅威を含む攻撃ラ イフサイクルをその全体にわたって防止することです。そのための IT アーキテクチャは、ビジネス上のニーズに柔軟に対応し、日々の 業務遂行に必要なアプリケーションを動作させつつ、セキュリティも 確保できなければなりません。どんなに高度な攻撃でも阻止は可能で すが、そのための第一歩は「防止は可能」という理念を持つことなの です。 結論:サイバーセキュリティはビジネスを成功させ る立役者 これまでほとんどの組織で IT セキュリティは何の収益ももたらさ ないのに費用ばかりがかかるコストセンターとみなされてきました。 このために IT セキュリティに向けられる注目や投資は、せいぜい規 制上の要件や取得が義務付けられた認証のための必要最低限のもので しかありません。中核業務を支援する部署から引きぬかれ、ネットワ ークセキュリティという「日陰」の仕事をするために集められた IT セキュリティの担当者を待っているものといえば、膨大な誤報を逐一 調べ、古いソフトウェアを更新し、遅かれ早かれ起こる組織体質に起 因したサイバーインシデントのせいで一方的に非難の的になるという 気の滅入る日々です。この悲しい話は驚くほど多くの組織において現 実に起こっていることです。こんな対策では失敗が目に見えています し、強力なセキュリティ態勢を持つことでもたらされるイノベーショ ンの機会も失われてしまいます。 そうでなく、防止の理念を採用すべきなのです。防止の理念にもと づいてセキュリティ向上戦略を立て、組織の活動とリソースの価値を 最大限に高めるべきなのです。防止指向のアーキテクチャを採用する ことで、その高い信頼でのみ初めてもたらされる新たなビジネスチャ ンスを切り拓き、チャンスをビジネス上の価値に還元し、適切なリソ 188 現状を打破する : 侵害防止のための設計 ース配分を推進することによって、コストセンターでしかなかったサ イバーセキュリティをビジネス成功の立役者に変えることができるの です。 IT セキュリティチームの例を考えてみましょう。たとえばサイバ ーインシデントが起きてしまったので組織がセキュリティをもっと真 剣に考えることに決めたとします。ここでまずやってしまいがちなの が、とにかく IT セキュリティ部門の人数だけを増やすことです。熟 練のセキュリティ専門家はもちろんどの組織にとっても財産ですが、 採用するアーキテクチャによっては予算の無駄になりかねません。せ っかくの専門家が膨大な警告ログというデジタルの干草の山からサイ バーの針を探し、脆弱性を修復するといった処理を手作業でえんえん と繰り返さざるをえないからです。統合型プラットフォームを利用 して保護機能を自動化し、脅威インテリジェンスを共有する防止指向 のアーキテクチャを採用すれば、セキュリティチームははるかに効率 的に仕事ができます。セキュリティチームの労働時間は組織の資産で す。業務活動の継続を可能にしてくれる中核 IT 部門に勤務する社員 の労働時間が、旧弊なセキュリティ慣行のために無駄遣いされないよ うにすることは必要不可欠なのです。 強力なサイバーセキュリティによって組織の柔軟性と弾力性が高ま れば、新たな機会が開かれる可能性もあります。現代の労働者は、家 庭でも、外出中も、仕事中も常にインターネットに接続しています。 ユーザーはアプリケーションやデバイスの間をシームレスに移動し、 異なる環境でも同じ作業ができることを期待しています。しかし、従 来はそうではありませんでした。サードパーティのアプリケーション やセキュリティで保護されていないクラウド環境、ウイルスに感染し た個人のモバイルデバイスなどは、従来型のセキュリティ製品では、 そもそも使わせないようにブロックするか、保護を放棄するかのどち らかしかありませんでした。このような古いビジネスのやりかたは、 かつてない俊敏性とモバイル性を求められているこんにちの労働者の 189 現実には即していません。こうした様々なデバイスやサードパーティ サービスを既存のセキュリティプラットフォームに包含できるネット ワークを構築すれば、社員が顧客との会議に出かけ、オフィス外で業 務にあたるときもデータのセキュリティを確保することができます。 問題の難しさが増すなかソリューションをなかなか見いだせず、セ キュリティ分野は行き詰まりを迎えています。ここで組織がサイバー セキュリティへの投資を従来型の技術を拡張して解決すべきコストセ ンターとみなし続ければ、その必然の結果に悩まされ続けることにな るでしょう。つまり最も価値のあるデータとインフラの最重要部分が サイバー犯罪者の手に落ち、組織のシステムを利用する顧客との間に 築いてきた信頼が低下の一途をたどるという暗たんたる将来像です。 そうした事態が度重なれば、やがては日常生活におけるデジタルシス テムの使いかたを変え、その範囲を限定することを余儀なくされる でしょう。そんな将来像が、インターネットから想像もできないほど の恩恵を受けているコミュニティ全体の現実となることを許してはい けません。現状を打破し、重要な業務活動を可能にしてくれるシステ ムへのコントロールと信頼を取り戻すには、防止の理念を採用すべ きなのです。防災計画立案は非常に重要です。ですがその計画に災害 「後」の復旧のみを規定してはいけないのです。そのような計画は、 災害が実際に発生した「後」にしか役に立たないのですから。 サイバーセキュリティ用語集 APT(advanced persistent threat 高 度 で 持 続 的 な 脅 威 ): 洗 練 さ れたレベルの専門知識とかなりのリソースを有し、複数の攻撃手法 (サイバー攻撃、物理攻撃、詐欺行為など)を使って目的を達する機 会を創出できる敵対者。 攻撃対象領域(attack surface) :情報システムの特性や特徴。その 特性によって、敵対者が情報システムを調査、攻撃し、システム内に 存在しつづけることが可能になる。 190 現状を打破する : 侵害防止のための設計 アンチウイルスソフト(antivirus software) :主な種類の悪意のあ るコードを検知または特定し、ばあいによってはそのコードを除去ま たは無効化することによってマルウェアインシデントを防止または抑 制する目的で、コンピュータやネットワークを監視するプログラム。 C&C チ ャ ネ ル(Command-and-control channel) :攻撃者が被害 者のシステムにインストールした悪意のあるソフトウェアと通信する ためのデータ送受信経路。 データ持ち出し(data exfiltration) :攻撃者が標的となる重要なデ ータを発見した後、そのデータをパッケージ化し、被害者のシステム から密かに取り出そうとする行為。 エンドポイント(endpoint) :ワークステーションやモバイルデバイ スなど、ユーザーが直接操作する IT インフラの特定部分。 エクスプロイト(exploit):セキュリティポリシーに違反してネット ワークや情報システムのセキュリティを侵害する手法のひとつ。 ハ イ パ ー テ キ ス ト 転 送 プ ロ ト コ ル(hypertext transfer protocol [HTTP] ) :インターネット上でのデータ転送の技術的な取り決め。 web ブラウザは HTTP プロトコルのほか、ユーザーが安全に web サ イトと直接通信できるように暗号化された HTTPS プロトコルを使用 する。 マルウェア(malware):不正な機能やプロセスを実行することによ り、システムの動作を損なうソフトウェア。 ネットワーク(network) :エンドポイントやほかのネットワークと の間でデータの転送とルーティングを行う IT インフラの諸要素が接 続された総体。 ポリモーフィック型マルウェア(polymorphic malware):絶えず 様態が変化するように設計され、アンチウイルスソフトなどの従来型 セキュリティ検知技術をすり抜けることができる悪意のあるソフトウ ェア。 ポ ー ト ベ ー ス の セ キ ュ リ テ ィ(port-based security): ス テ ー ト フ 191 ルインスペクション型ファイアウォールは、ポートと呼ばれる特定の 通信ライン上でネットワークを出入りするインターネットトラフィッ クをブロックする。しかし、最近のアプリケーションは複数の異なる ポートを使用しており、悪意のあるソフトウェアは使用するポートを 変更できる。 リ モ ー ト・ ア ク セ ス・ ツ ー ル(remote access tools[RAT]): 攻 撃者が物理的にその場にいなくてもシステムをコントロールできるよ うにする悪意のあるソフトウェア。IT システム内には、サポート機 能などの正規の用途向けのこの種の機能も存在する。 ゼロデイ(zero-day):攻撃者がネットワークやシステムへのアクセ スとコントロールの確保に利用する、一般には知られていないソフト ウェアの脆弱性。 1 https://www.us-cert.gov/ais パロアルトネットワークス サイバーセキュリティ戦略ディレクター デイビス・Y・ヘイク(Davis Y. Hake) サイバーネットワーク戦略ディレクターとして、パロアルトネットワークスのサ イバーセキュリティ・ソート・リーダーシップのための戦略の構築と共有や、サ イバー脅威と現在のセキュリティ情勢に関連するあらゆる問題についての貴重な 情報、インサイト、教育ツールの発信を担当する。2015 年のパロアルトネットワ ークス入社以前は、米国政府のサイバーセキュリティ分野のリーダーとしてホワ イトハウスや米国国土安全保障省の上層部に勤務したほか、連邦議会の政策専門 家としても活躍。米国初の包括的なサイバーセキュリティ関連法案を起草し、IT コミュニティにおけるリーダーシップを認められ Federal 100 Award を受賞し た。カリフォルニア大学デイビス校で国際関係論と経済学を学び、国防総合大学 で戦略安全保障研究の修士号を取得。 192 現状を打破する : 侵害防止のための設計 情報セキュリティ対策は 環境適応の一環で考えよ う 株式会社ラック取締役 専務執行役員 CTO 兼 CISO 西本 逸郎 194 情報セキュリティ対策は環境適応の一環で考えよう 「企業は環境適応業である」 。2011 年に他界した弊社創業者の三柴元 がいつも口にしていた言葉です。もちろん、彼のオリジナルの言葉で はありません。古今東西普遍の、経営における常識でしょう。強いも のが必ずしも生き残るわけではないと言われる鉄則でもあります。 ところで、ビジネス社会でいまだによく耳にする言葉があります。 「IT(情報技術)は情報システム部門の仕事」「IT を自ら使うトップ は経営者として不適格」などです。どういう方針で IT 活用に取り組 むかはそれぞれの企業の生き方とも絡むことですから、それに対して とやかく言うつもりはありません。ただ、企業における IT 利用は、 決定した方針や方向性に沿ったものでなければならないことは言うま でもありません。 しかし現実には、決定した範囲を超えて現場で「勝手に」IT を使 用しているケースが多々あります。経営層としては IT を経営や事業 の基盤とするつもりがないにもかかわらずこうした事態が広まるの は、個人の方が企業よりも IT を使いこなす力をいち早く身に付ける からです。現在、生じている環境変化は個人の側からもたらされたも のであり、企業側で起こしたものではありません。IT による新しい 生活や対話、活動の方法を先進的企業(破壊者)が提案するとき、そ の働き掛けは主に個人に向けてなされます。そうした提案に個人の側 も賛同し、積極的に取り入れてきました。そのため、腰の重い企業よ り個人のほうが先に IT を使いこなすようになるのです。こうした傾 向は、数年前から急速に普及したスマートフォン(スマホ)が万能な 道具として定着したことが特に影響していると考えられます。 こうした環境の変化を踏まえると、IT で経営を行うつもりがない 企業でも、IT に関する方針を経営レベルで明確にしておくことが必 須となっていることがわかるでしょう。意識している・していないに 195 かかわらず、企業内の個人やチームで勝手に IT を利用する事態は予 想以上に現場に蔓延しています。こうした事態を意識的に制御できな いと、これまでには考えられなかった事象が突然発生し、企業関係者 にとって大きな衝撃となる危険性(リスク)が増大します。今はそう いう時代だと改めて認識する必要があります。 IT でなくても、自分たちが知らない間に症状(事態)が蔓延(拡 大)し、ふとしたきっかけで突然大きな変化や衝撃をもたらす現象 を、私たちは知っています。 例えば、「ゆでガエル現象」と言われるものです。カエルはいきな り熱い湯の中に入れられるとびっくりして飛び上がりますが、やけど を負うことはあっても命まで取られることはないかもしれません。し かし、水の中に入れられたままじわじわと温度を上げられると、カエ ルは温度変化に気づかず、気が付いた時にはゆであがってしまってい ます。つまり、ゆでガエル現象とは環境変化に鈍感だと生き残れない というたとえ話であり、戒めであると私は理解しています。 また「過冷却現象」からも多くのことを具体的に学ぶことができま す。過冷却とは、水の温度をじわじわと下げていくと零度を下回って も凍らない状態を指します。文字通り「冷え過ぎ」の状態にある水 に振動などの刺激を与えると、いきなり凍り付きます。つまり、「液 体」から「固体」への相転移と呼ばれる変化が一瞬にして発生するの です。霧氷もこの現象のなせる業のようです。ある意味、「過冷却現 象」は「逆ゆでガエル現象」と言い表せるかもしれません。 ここで私たちの周辺に目を向けてみると、似たような現象を見付け ることができます。有名な話に交通渋滞があります。首都圏の大動 脈、首都高速道路の車の流れを例に取ると分かりやすいでしょう。一 196 情報セキュリティ対策は環境適応の一環で考えよう 見、車は順調に走っているようでも、車間距離があまり取られていな い状態は過冷却と同様だと言えます。そういう状態である車がふら ついたりすると、 「順調な走行(液体) 」はあっという間に「渋滞(固 体) 」に相転移してしまうのです。 同じように、順調そうに見えるさまざまな産業や会社でも、ちょっ とした環境変化などで相転移が発生したことは過去にあったでしょう し、これからも発生するでしょう。そうなると、すでに過冷却現象を 起こしていたり今にも陥りそうな産業を見つけることが、私たちにと ってはビジネスチャンスと言えるかもしれません。 視点を企業での IT 活用に戻します。経営層が意識しておくべき過 冷却現象、つまり環境変化は二つあります。一つは社会レベルでの変 化、もう一つは目先の変化です。社会レベルでの過冷却現象は、経営 者の感性や先読みの範疇になるためここでは取り上げません。本稿で は目先のこと、つまり企業での IT 活用やシステムの運用周りで起き る過冷却現象について話をします。目先で起こりうる過冷却現象発生 について意識できていないと、それは「運任せ」の経営をしていると いうことにほかなりません。以下を参考に、目先で過冷却現象が起き ていないか、発生を意識できているか、自組織の状況を是非、点検し ていただきたく思います。 目先で発生する意識すべき環境変化にもいろいろありますが、大き く「社会の変化」 「自分の変化」 「脅威の変化」の三つを切り口にして 説明します。 「社会の変化」 この1年ほどで社会常識は大きく変化しました。契機になったのは 197 やはり 2015 年6月に公表された日本年金機構での個人情報流出事件 です。同年1月にサイバーセキュリティ基本法が施行され、国として もセキュリティ強化に取り組もうとした矢先にこの事件が明らかにな りました。この事件を引き起こしたと考えられる攻撃者は、日本年金 機構だけでなく地方公共団体や学校なども攻撃の対象としており、そ れらの被害も芋づる式に発見されて報道されました。 これら一連の事件を契機に、政府において二つの大きな動きがあり ました。一つは総務省、もう一つは経済産業省によるものです。 まず、総務省が地方公共団体のセキュリティ対策強化のための検討 を始めました。当時はマイナンバーの導入が間近に迫っており、地方 公共団体のセキュリティ強化は待ったなしの状態でした。そこで総務 省が取った具体策は、十分なセキュリティ対策を施していない団体で は、「マイナンバーなど厳格な管理が必要な情報を取り扱う端末機器 (重要端末)は、インターネット閲覧ができない領域に隔離せよ」と いう大変厳しいものでした。もし、インターネットを継続して利用す る場合は、情報セキュリティの責任者(CISO)やセキュリティ事故 対応チーム(CSIRT:シーサート)を配置して重要端末の管理強化を 実施し、十分なセキュリティを備えたクラウドサービスなどを活用す ることとしました。その上で、インターネット利用を制御しつつも順 次開放していくこととしたのです。地方公共団体ではすでにネットや IT の活用が過冷却になっていることを前提として、まずは「冷え過 ぎ」の解消を図ったものだと理解しています。総務省が示した方法は 今後、地方公共団体だけでなく、個別での対策が難しいと言われる中 小企業などでの対策の道標になるのではないかと推測しています。 もう一つの大きな動きは、同年 12 月に経済産業省が公開した「サ イバーセキュリティ経営ガイドライン Ver 1.0」です。このガイドラ インは法的拘束力を持つものではなく、必ず守らなければならない性 198 情報セキュリティ対策は環境適応の一環で考えよう 格のものではありませんが、企業のセキュリティ対策に経営層の強い 関与を求める指針が公開されたという事実こそ、社会常識の変化と言 っていいでしょう。これを受け、各組織で少なくともどのように対応 すべきか、最低限の検討くらいはしなければなりません。なぜなら、 何らかのセキュリティ事件が発生した時に、ガイドラインで言われて いる内容を経営層が理解できていなければ信用などを含めて大きな打 撃を被ることになるからです。 ガイドラインではポイントが「経営者が意識すべき3原則」と「経 営者が指示すべき重要 10 項目」として明示されています。3原則に ついての私の理解は以下の通りです。 1. リーダーシップを発揮せよ 事業部門は収益向上に全力を挙げています。そのため、コストが かかると見なされる情報セキュリティなどは、放っておくと誰もや ろうとしません。セキュリティに取り組ませるには仕掛けが必要に なってきます。例えば、事業部門、情報システム部門、CISO それ ぞれの権限と責任を明確にし、三者の役割がよどまないような仕掛 けが有効です。そうした仕掛けを作るため、経営者にはリーダーシ ップを発揮して手を打つことが求められています。 2. 委託先など含め管理、制御せよ 情報セキュリティを含めて委託先などに丸投げしてはいけませ ん。委託先の監査等、本当に実施しているかを確認することは必須 です。 3. いざという時に備えよ 情報セキュリティを強化してもそれで安心してしまっては愚の骨 頂です。経営者として、事故は必ず起きるものと覚悟した上で、例 199 えば、いざという時に備えて自組織を救ってくれる関係者との対話 の道を自ら開拓しておくか、担当者に開拓する等を指示してくださ い。経営者には「安心」というものはあり得ないと心得てくださ い。 CISO についてはガイドラインで明確に設置が求められています。 また、CSIRT についても、ガイドラインの内容から判断して設置す る方向で検討せざるを得ないでしょう。適任かどうかは別にして、取 締役の誰か、もしくは取締役配下に CISO を任命し、ガイドラインを 読んでもらうことが取り組みの第一歩となるでしょう。 「うちはたいして IT を利用してないから」 「うちにはたいした情報は ないから」などの勝手な判断は危険です。少なくとも現状では、ここ まで述べた二つの環境変化(社会レベルの変化、目先の変化)は押さ えておかないと、世間の常識とのかい離が生じてしまいます。さら に、10 年前は存在していなかったスマホや SNS も今や一般的なツー ルとなりました。さらに最近では、位置情報やカメラを使用するゲー ムが爆発的に普及し、さまざまな観点から話題にもなっています。 「自分の変化」 自分自身も変化しています。特に、システムはどんどんつながって います。工場などの制御や生産などを支える事業系システム、企業の 根幹を支える基幹系システム、日々の業務改善を行ったり新規分野の 開拓を支えたりする情報系システム。これらが相互につながり、企業 や顧客など関係者に新しい価値を提供しています。また、新技術の導 入も順次図られます。こうした環境の変化に伴い、従業員の就労意欲 や動機、興味も変化していきます。企業を支える経営資産も変化して います。 200 情報セキュリティ対策は環境適応の一環で考えよう 情報セキュリティに早くから取り組んでいた組織で特に陥りがちな ことがあります。約 10 年前に個人情報保護法が全面施行され、多く の組織が対応を迫られました。その時に対応したからうちは大丈夫な はず、と高をくくっている組織は今や「ゆでガエル」になっているか もしれません。実際、事件が起きた組織の多くで「ルールはあったが 守られていなかった」という言葉が聞かれます。いわゆる「割れ窓」 (ルール違反)の放置です。前述の環境変化に伴って自社従業員や顧 客の意識も著しく変化しています。ルールなどが形骸化していない か、自社のセキュリティ対策は現状に即しているかなど、日々点検し なければならないことは山ほどあるはずです。 「脅威の変化」 組織が直面する脅威もどんどん変化しています。私は脅威を大きく 三つに分類しています。一つ目は「金銭目的」で二つ目が「主義主 張」、最後が「権益拡大」です。三つの脅威はそれぞれ独立したもの ではなく、三つの輪がオリンピックのマークのように重なっていると 想像してみてください。一般的には、 「金銭目的」で活動するのは犯 罪集団で、 「主義主張」はアノニマスによる示威、「権益拡大」は国家 レベルの攻撃者によるものと認識されています。しかし、ある国家は 自国産業の競争力強化のために産業スパイを行っている、あるいは軍 事力強化などのために金融犯罪を行っているなどと言われています。 つまり、 「目的」と「行為者」の関係はさまざまであることを理解し てください。そのため、政府機関や日本を代表する会社でなくとも、 今や国家レベルで行われる攻撃の対象となる恐れがあります。 そもそも、政府機関や日本を代表するようなレベルの組織は近年セ キュリティ対策を強化しており、直接侵入することが難しくなってい 201 ます。そこで攻撃者はサプライチェーンに目を付け始めました。サプ ライチェーンの中の、セキュリティ対策に無関心な組織を狙う方向に シフトしているとみられています。 攻撃者グループには、情報収集と攻撃のための基盤整備が任務の組 織と、作戦を立案し実行する組織の2種類が存在すると推測されま す。前者に属するメンバーは通常の勤め人のように毎日普通に出社 し、粛々と任務をこなします。彼らの任務は、攻撃対象とする業界ご と、あるいは、対象は特に定めず自分たちの持っている「道具」で入 り込める先に侵入して踏み台を増やすことです。そうやって集めた情 報や築いた基盤は、ミッション(例えば、外交的な情報を手に入れた いなど)に基づいて作戦が実行される際に利用されます。踏み台にな った組織では、侵入されても致命的な問題はすぐに発生しないことの 方が多いようです。侵入を許したとしても、踏み台として実際に他へ の攻撃に悪用されて信用を失う前に、何らかの対応が出来ればよいと いうことになります。 攻撃方法も変化しています。現実世界の犯罪も、バールで玄関をこ じ開けて直接侵入を試みる従来の手口から、鍵をあらかじめ壊したり 盗んでおいたりする、あるいは、電気や水道の点検と偽って堂々と玄 関から「訪問」するなど、より巧みになってきています。これらの手 口をサイバー犯罪でたとえると、バールを用いる攻撃はウェブサイト の脆弱性(欠陥)を突いて直接侵入する手法、 「鍵」はシステム管理 者のパスワードを盗み出して侵入に利用する手法と言えます。電気や 水道などの点検をかたる手口はいわゆる標的型攻撃と言われるもの で、狙い定めた攻撃対象に業務関連と見間違う内容のメールを送り付 けたり、不正なインターネットサイトに誘導したりしてウイルスに感 染させる手法で、侵入に成功した後に外部から遠隔操作して情報の盗 み出しなどを行います。 202 情報セキュリティ対策は環境適応の一環で考えよう こうした攻撃方法の変化を知り、セキュリティシステムも見直す必 要があります。変化に対応し、少なくとも同業他社には遅れを取らな いようにしなければなりません。なぜなら、攻撃者は「入れるとこ ろ」から入るからです。こうした特徴を考慮すると、玄関に監視カメ ラや複数の鍵を設置するように、企業ネットワークの門番であるファ イアウォールを従来の製品から新時代に適合したものに切り替え、そ の後も絶えず見直しを続けることなどは当然のことと言えます。 ~最後に~ あや 「彼を知り己を知れば百戦殆うからず」と申します。敵に勝っても生 き残れないのでは意味がありません。恐らく、この「彼」には見えな い敵である「環境」も含まれると理解しています。また「己」にも 「環境」が含まれます。その環境変化に適応すること、つまりは「過 冷却現象」を見逃したために「ゆでガエル」になってしまうことのな いよう、細心の注意を払い適切に手を打つことが求められています。 特に経営者のITの理解は必須です。ITのことは分からないとして も、組織としてITを制御しなければならない時代であることを十分 にご理解いただき、事業継続を図っていただければと思います。 株式会社ラック取締役 専務執行役員 CTO 兼 CISO 西本 逸郎(にしもと いつろう) 1986 年 株式会社ラック入社。北九州市出身。 2000 年セキュリティ事業に転じ、日本最大級のセキュリティセンター JSOC の 構築と立ち上げを行う。さらなる IT 利活用を図る上での新たな脅威への研究や対 策に邁進中。情報セキュリティ対策をテーマに講演、新聞・雑誌などへの寄稿な ど多数。 203 代表的な社外活動は、日本スマートフォンセキュリティ協会 事務局長、セキュリ ティキャンプ実施協議会 事務局長など。 著書『国・企業・メディアが決して語らないサイバー戦争の真実』(中経出版)。 2009 年度情報化月間 総務省 情報通信国際戦略局長表彰、2013 年情報セキュリ ティ文化賞受賞など。 204 情報セキュリティ対策は環境適応の一環で考えよう 未来にむけて: プロフィットセンターとしてのサイバーセキ ュリティ パロアルトネットワークス株式会社 副会長 齋藤 ウィリアム 浩幸 206 未来に向けて 先ごろ各国の CIO や CSO とプライスウォーターハウスクーパーズ が、127 か国の 1 万人を超える経営者層に対して行った IT セキュリ ティに関する調査『グローバル情報セキュリティ調査 2016: サイバ ーセキュリティの転換と変革』1 を公開しました。その結果は多様な ものですが、セキュリティ侵害事件が 2014 年を 38% 上回ったにも かかわらず、その対策費用はほんの 24% しか上昇していない、とい う結果は注目に値します。 この調査結果は、企業が悪意を持った従業員やハッカーから自社を 守るために行っている対策に関する心理を反映しています。本調査報 告書ではセキュリティ侵害の経路に関する内容に多くの紙面がさかれ ていますが、実は、ハッキングそのほかのセキュリティインシデント が増大しつづけているなか、経営層がセキュリティリスクを十分真剣 に受け止めていないといえるデータが示されたことが非常に重要とい えます。たとえばこの調査からは役員会メンバーの 45% しか全社的 なセキュリティ戦略に参画していないということがわかるのです。 新幹線のブレーキ この調査結果は「サイバーセキュリティはコストセンターであって リソースの無駄使いだ」という一般的な企業心理を反映しています。 たとえば米国 Cisco Systems 社による 1000 人を超える経営層を対象 とした調査でも、米国の回答者の 74% が「サイバーセキュリティの 主目的は成長を可能にすることではなく、リスクを軽減すること」 と回答しています。サイバーセキュリティは「コストがかかるうえに 複雑で非効率な生産性への足かせ」と表現されることも多いですし、 「サイバーセキュリティなんて実際のところ役立たずでリスク軽減な どできない」と信じている人も少なくありません。ところが実際には 因果関係が逆なのです。多くの企業ではまず最初にサイバーセキュリ ティをコストセンターとして考えてしまっているため、それが包括的 207 なポリシーを策定することなく申し訳程度の管理策を実装してしまう ことにつながり、その結果として「コストがかかるわりにまとまりの ないその場しのぎのセキュリティ施策」に行き着いてしまうのです。 IT 購買の意思決定要因としてコストに重点を置いた企業はこうし た状況に陥りやすいといえます。コストに重点を置くと最低限度の対 策導入で済ませようとしてしまうからです。そのあげく、従業員から 見た使いやすさだけでなく、ビジネスの生産性まで犠牲にした管理策 が導入されてしまうケースが多々あります。ところがこうしたケース では、使いにくいセキュリティツールやテクノロジーを押し付けられ た従業員が、私物のパソコンやスマートフォンを IT 部門の許可を得 ずに使ってしまう、いわゆる「シャドー IT」化に手を貸すことにな りがちです。たとえば、IT 部門が公式に承認した安いけれど使いに くいサービスのかわりに、承認されていないけれど使いやすいクラウ ドベースのファイル共有サービスを使ってしまうことなどがその一例 です。 こうした心理が防御の心構えを危うくし、増大しつづけるサイバー 脅威への対処として不十分であることは言うまでもありません。実は そればかりではなく、ビジネス成長の芽まで摘んでしまっていること にも気づかなければなりません。適切なサイバーセキュリティ対策は ビジネスを行ううえでの前提条件なので、それが全社に影響を及ぼす 最重要事項であることを十分に認識したうえで実装すべきであるのは もちろんです。しかしながら、ここでもう一歩踏み込み、サイバーセ キュリティを受動的・防御的側面からだけとらえようとする心理とは 手を切らなければなりません。逆に、サイバーセキュリティを能動的 側面からとらえ、「サイバーセキュリティとは効率と生産性改善にむ け、よりよく情報通信技術(ICT)を使うための道具だ」と考えるべ きなのです。この考え方が有効なのは、その対象が国家であろうと企 業であろうと同じです。 私はよくサイバーセキュリティを新幹線のブレーキに喩えて説明し 208 未来に向けて ます。新幹線のブレーキはなんのためについているのでしょうか。も ちろん新幹線の性能を妨げるためではありません。それは、新幹線が 従来の列車よりずっと高速に運行していても、安全に制御できるよう にするために存在しているのです。本当に速く走らせたいからこそ、 新幹線には優れたブレーキが導入されているのです。 サイバーセキュリティも、疾走する ICT の未来のための「優れた ブレーキ」でなければいけません。 その場しのぎで対応しない それでは、サイバーセキュリティをビジネスの成長要因に変えたい 場合、とくに購買意思決定段階において、企業は何をすればよいので しょうか。答えはふたつのシンプルなものです。ひとつめは、脅威へ の「その場しのぎ」の対応をやめ、現在のセキュリティ管理策を俯瞰 的にじっくり見直すことです。たとえば単体のセキュリティ製品が多 層的に導入された環境であれば、それらの組み合わせで本当に最新の 脅威を防ぐことができているか検証します。その環境で未知のマルウ ェアが頻繁に検出されずにネットワーク内部に入り込んでいるといっ た状況が確認できるなら、どのような管理策であればそうした脅威を 早期に取り除き、その実行をふせぐことができるかという観点で管理 策全体を見直さなければなりません。 そしてふたつめは、そうして見直した結果にもとづき、セキュリテ ィ管理策を統合的に、知的に、かつ効率的に実装する、ということで す。いいかえるなら、設計段階からセキュリティに配慮し、セキュリ ティのプラットフォームとして稼働することができ、人手を必要とせ ず自動処理を行えるセキュリティ管理策を導入することで、ネットワ ーク上を行き来する全部門の全データを統合的に保護するのです。こ のように、セキュリティをプラットフォームとしてとらえるアプロー チであれば、コストを削減し、ビジネス効率を改善し、システムを堅 209 牢にしつつも使いやすくし、レジリエンス(回復力)を確保しなが ら、同時に全体のセキュリティ向上をもたらしてくれるのです。ICT に依存する現代社会においては、このような「プラットフォームとし てのセキュリティ」のアプローチが ICT 製品とサービスを使いやす くし、会社の総所有コストを削減し、他社との差別化をはかることの できる機能や特長まで生み出してくれる、ということをぜひ知ってお かねばなりません。またこうした「プラットフォームとしてのセキュ リティ」による知的な自動化を活用することで、つねに侵害を恐れて ICT を警戒するかわりに、ICT を安心して活用するという基本に立ち 返ることができることも知っておかなければなりません。 プロフィットセンターとしてのサイバーセキュリティ 私は本章のタイトルで「サイバーセキュリティはプロフィットセン ターである」と言いました。その意味を最後に考えてみましょう。こ れまで見てきた例からもわかるとおり、サイバーセキュリティは今や IT 部門だけの問題ではありません。それはあらゆる組織を股にかけ て発生する新たな経営リスクのひとつです。それと同時に、サイバー セキュリティは役員会メンバーの問題であり、株主と経営層にとって 避けて通れない最優先事項でもあります。投資家は企業に対し、その 企業のサイバーセキュリティポリシーは企業防衛においてどのように 位置付けられ、どのような侵害対応手順が準備され、レジリエンスや ガバナンスや事業継続性といった諸々の観点からどういう対策を導入 しているのかを問いかけ続けるべきでしょう。さらにまた、企業がサ イバーセキュリティを、レジリエンスの強化や、生産性・効率性向上 の機会として活用しているか、どのようなセキュリティ関連製品やサ ービスを全社展開しているか、という点も問い続けるべきでしょう。 ですから問われる側の経営陣は、サイバーセキュリティをビジネス 上の様々なリスクのひとつとしてだけでなく、潜在的ビジネス戦略と 210 未来に向けて して経営会議の議題に組み込み、対処しなければならないのです。な ぜならサイバーセキュリティは ICT の一部であり、ICT は競争市場 におけるゲームチェンジャーだからです。 「優秀なブレーキ」たるべ きサイバーセキュリティインフラの構築に関し、もはや「あれはコス トセンターだ」と言い訳できる時代は終わったのです。 1 http://www.pwc.com/jp/ja/japan-knowledge/archive/assets/pdf/informationsecurity-survey2016.pdf パロアルトネットワークス株式会社 副会長 齋藤 ウィリアム 浩幸 (William H. Saito) 1971 年カリフォルニア生まれの日系二世。16 歳でカリフォルニア大学リバーサ イド校に合格。同大学ロサンゼルス校(UCLA)医学部を卒業。10 代で商用ソフ トウェアのプログラミングを始め、その大学在学中に I/O ソフトウェアを設立。 1998 年に 27 歳で「アントレプレナー・オブ・ザ・イヤー」(アーンスト・アン ド・ヤング、ナスダックおよび USA トゥデイ主催)を受賞。暗号、生体認証、 サイバーセキュリティに関する第一人者でもある。 BAPI という生体認証システム技術を開発し、マイクロソフト社を含む 160 社以 上の企業とライセンス契約を結ぶ。BAPI は事実上の世界標準規格となり、2004 年に自社をマイクロソフト社に売却した。 2005 年に拠点を東京に移し、株式会社インテカーを設立。コンサルタント会社 として、企業がグローバルに認められ、革新的な技術がビジネスとして成功する ための助言を行いながら、時としてベンチャー企業に資金援助も行う。アントレ プレナーの手助けに情熱を傾ける傍ら、日本の政府機関への協力や、大学の講 義、政策提言を行う。講演活動をはじめ、出版物やテレビなどメディアを通じて 情報発信している。 2012 年には、総理大臣直属の国家戦略会議で委員を拝命し、また日本の憲 政史上初めて国会に設置された、東京電力福島原子力発電所事故調査委員会 (NAIIC)では、IT などのインフラ設備構築で手腕を発揮した。また、2013 年 12 月より、内閣府本府参与に任命されている。2015 年 6 月パロアルトネットワ 211 ークス株式会社副会長に就任。 海外では、世界経済フォーラムから「ヤング・グローバル・リーダー」(2011 年)および「グローバル・アジェンダ・カウンシル」(2011 年)のメンバーとし て選出され、その後同フォーラムのボードメンバーにも任命されている。 各国の政府機関に対する支援活動を行うなか、日本では、経済産業省、総務省、 文部科学省、国土交通省、独立行政法人・産業技術総合研究所、情報処理振興事 業協会などの機関に対して支援協力の実績がある。 著書としては、2011 年に出版された自伝本『An Unprogrammed Life』(John Wiley & Sons, 2011)の他に、日本語本『ザ・チーム─日本の一番大きな問題 を解く─』(日経 BP 社、2012 年)、『その考え方は、「世界標準」ですか?』(大 和書房、2013 年)、『IoT は日本企業への警告である』(ダイヤモンド社、2015 年)『ザ・チェンジ・メイカー』(日本経済新聞出版社、2016 年)が出版された。 また 2012 年、日経ビジネス「次代を創る 100 人」に選抜されている。 212 未来に向けて インシデントレスポンス 213 サイバーインシデント後の コミュニケーション Sard Verbinnen & Co 社 プリンシパル スコット・リンドロウ ニ ュ ー ヨ ー ク 証 券 取 引 所(NYSE) が 毎 年 発 行 す る 調 査 報 告 書 1 「Law in the Boardroom(役員室における行動規範)」 によれば、デ ータセキュリティは企業幹部の安眠をさまたげている最大の問題だそ うです。データ侵害事件の急増と、それがもたらしうる大きな混乱を 考えれば、どんな経営者にとってもこの問題が悪夢に思えるのは当 然でしょう。昨今の株主代表訴訟や証券訴訟が示すように、企業役員 には自社のサイバー防御策の堅牢化を図る責任があるだけではありま せ ん。Target 社 や TJX Companies 社、Heartland Payment Systems 社などの幹部を相手取った訴訟からもわかるとおり、侵害の余波への 対応に備えておくことも必要なのです。侵害の余波による損害を抑制 するには、社内外の様々なオーディエンスに対する効果的なコミュニ ケーションが不可欠です。 世界のデータ侵害コストに関するデータをまとめている Ponemon Institute 社によれば、侵害によってもたらされる二大損害は会社の 評判に対する損害と顧客ロイヤリティの低下 2 です。これら侵害によ る世評低下と顧客離れ、およびそれに関連する損害を軽減するには、 複数のオーディエンスに明確に(かつ多くのばあいは同時に)コミュ ニケーションを行うことが重要になります。サイバーセキュリティに おけるコミュニケーション対策は、サイバー危機に直面してから五里 霧中で始めてもうまくいきません。事が起こるよりずっと前から備え ておくことが必要なのです。 役員の責務とサイバーセキュリティ関連のコミュニ ケーション 複数の学術研究から、データ侵害が起きると株価が大きく下がるこ とがあるとわかっています。174 件の侵害事象を調べた最近の研究に よれば、「侵害公表後の四半期における特別損益項目を含む純利益の 累積的変化は 22.54% 減であり、収益状況の悪化を示している」とさ 215 れています。3 しかし、ニューハンプシャー大学ピーター・T・ポール 経 営 経 済 大 学 院 の Kholekile L. Grebu、Jing Wang、Wenjuan Xie に よるこの研究結果は、必ずしも事実とは限りません。複数の顕著なデ ータ侵害事件を対象とした弊社の調査では、株式には多数の要因が影 響するため、株価影響は測定が難しいことがわかっています。それで も、企業は侵害後に収益と利益が打撃を受ける可能性を予想しておか なければなりません。侵害発生後のコミュニケーションは、この影響 をできる限り軽減することを主な目的とすべきです。 データ侵害は最終損益に大きな影響を与えかねないため、このよ うなインシデントに備え、対応することは、まさに企業役員の受託 者責任に当たります。本書の米国版に当たる Navigating the Digital Age 第 8 章『The risks to boards of directors and board member obligations』4 でも解説されていますが、役員は会社に対し、注意義 務、誠実義務、忠実義務など一定の義務を負います。サイバーセキュ リティインシデントの文脈では、これらの義務に基づいて、侵害発生 対応のための合理的な危機管理計画を会社として策定することが役員 に求められます。このため役員は、社内外のオーディエンスに対する コミュニケーション戦略や戦術の少なくとも高い次元での全容を把握 していなければなりません。 たとえば、米国のほぼすべての州には、侵害によって重要な個人情 報が危険にさらされたばあい、その旨を顧客に通知することを企業に 義務づける州法があります。こうした法律をもとに、企業のシステム が侵害されたことを消費者に通知するための合理的な手順をとらな かったとして、役員や企業が訴えられた事例が数多くあります。つま り、法律で義務づけられているばあい、侵害について顧客に通知する ことは基本的には法律の役割ではありますが、同時にコミュニケー ションの役割でもあるのです。また原告側は役員が通知を怠ったとし て、その責任をとらせようとします。同様に、株主につねに正確な情 報を伝えることは、規制上の要求事項であると同時に適切なコミュニ 216 サイバーインシデント後のコミュニケーション ケーションが行えているかどうかという問題でもあります。証券取引 委員会は各企業に対し、侵害による風評被害やサイバーインシデント に関する企業の開示義務についての通告を行ってきました。同委員会 の 2011 年版開示指針は、 「顧客や投資家の信頼に悪影響を及ぼす風 評被害」によって、被害企業は「相当なコストそのほかのネガティ ブな影響を被る」としています。Ponemon Institute 社の報告によれ ば、2014 年に被害企業が被った侵害関連の事業費損失は、正常範囲 を逸脱した顧客離れ、顧客獲得活動の増加、世評低下、信用低下も含 5 めて、インシデント 1 件あたりの平均で 372 万ドルに上っています。 企業はこの種の損失を、効果的なコミュニケーションによって軽減 できる可能性があります。これはもちろん、消費者や投資家への通知 義務に関する法律に従うことを意味します。ただし、そこで終わって はいけません。サイバーインシデントに関して法律で義務づけられた 消費者や投資家への通知は、コミュニケーションの視点から言えば最 低限のことにすぎません。信用を守り、世評の低下を食い止めるに は、企業は法律遵守だけにとどまらず、監督と報告の責務を負う者の 観点から行動する必要があります。熟慮のうえのコミュニケーション を通じてリーダーシップ、誠意、責任感を示さなければなりません。 これを実現するには、以下の原則をサイバーインシデント関連のコミ ュニケーションの指針とすることです。 ▪消費者、顧客、提携先、規制当局、従業員、投資家、報道関係者、 評論家など、すべての関係者からの自社の信用性を守る。 ▪合意済みの具体的なメッセージを定め、会社全体として発言に一貫 性を持たせることにより、コミュニケーションプロセスの統制を維 持する。 ▪内部調査や法執行機関による捜査を妨げることなく、確認済みの関 連事実を提供する。 ▪ (1) 正確性を確保し、(2) 調査の妨害や法的リスクの拡大を避け、(3) 217 弁護士 ‐ 依頼者間の秘匿特権を守るため、法的助言に基づいてすべ てのコミュニケーション活動を調整する。 ▪法的側面、財務面、顧客に関して考えられるネガティブなシナリオ に備える。 サイバーインシデント対応コミュニケーションにおいては、以下の ことを戦術的な目標とします。 ▪問題を抑制し、是正するための措置をとっていることを伝え、すべ ての関係者を安心させる。 ▪ニュースやソーシャルメディアにおける当該侵害事象の描かれかた を管理する。可能であれば、自社を悪役ではなく被害者と位置づけ る。 ▪公的な発言を既知の情報に限定し、憶測に基づいた発言をしない。 ▪メディアの報道が不必要に長引かないようにする。 ▪規制当局の関心を高めるような言動をしない。 ▪原告側の弁護士に材料を与えない。 ▪消費者、顧客、投資家の目から見た損害を最小限にする。 ▪株価を保護する。 企業は以上のようなコミュニケーションの原則と目標を、侵害が起 きる前に、統一性のあるインシデント対応計画に盛り込まなければな 4 4 りません。効果的な計画があれば、データ侵害やそのほかのセキュリ ティインシデントが起きたときに、被害企業は迅速かつ効果的にコミ ュニケーションがとれます。重要な意思決定をリアルタイムで行うこ とが必要になりますが、サイバーインシデント対応計画に定めた手段 や指針を用いれば、適切な要員をただちに関与させ、効果的なコミュ ニケーション対応の決定に必要な情報を入手・確認するプロセスを正 確に実行し、従業員と外部オーディエンスに情報を伝えるのに適した 218 サイバーインシデント後のコミュニケーション 手順をすべて調整できるはずです。 企業のインシデント対応計画には、法務、IT、広報部門など複数の サブチームのメンバーを指定しておくことが必要です。広報関連の意 思決定や社内外向け情報の発信に直接関わる要員は全員、この対応計 画を読んで理解しておかなくてはなりません。プレスリリース、キー となるメッセージ、質疑応答文書、連絡先リスト、投資家や従業員な どの利害関係者宛ての書状は事前に作成し、事実がわかった時点で記 入できるような空欄を指定しておきます。また、専用 web サイトの 開設や、既存の企業ブログやソーシャルメディアの公式アカウントを 侵害発生後のコミュニケーション手段として使えるかどうかについ ても、計画時点で検討するとよいでしょう。コミュニケーション計画 と、特にその連絡先リストは、随時更新文書として取り扱います。つ ねに最新の状態にし、定期的に見直しと検査を行いましょう。 役員は経営側に対し、いかなるサイバーインシデントにも迅速に対 応し、自社の立場を発信するための準備ができていることを期待す る、という姿勢を明確に示さなければなりません。この一環として、 取締役会で自社のセキュリティ・リスク・マネジメントの予算を見直 し、外部の法律事務所、IT や科学捜査の専門家、復旧支援サービス、 コミュニケーションコンサルタントと契約するのに必要な資金源を確 保することが必要です。 侵害対応において考慮すべきオーディエンス 侵害に対応しようとする企業は、多数のオーディエンスとコミュニ ケーションをとらなければなりません。投資家向けのメッセージはニ ュース記事になる可能性があること、ニュース記事は投資家の認識に 影響すること、企業のあらゆる発言は Twitter に投稿される可能性が あることを認識しつつ、各オーディエンスに伝達するメッセージの整 合を図る必要があります。 219 消費者、顧客、提携先:法律で義務づけられる通知に加えて、インシ デントを抑制するためにどんな策を講じているかを伝えること、該当 するばあいは顧客情報の安全性と将来的に詐欺行為にあったばあいの 償還を保証すること、現場の顧客サービス担当者に顧客への情報の伝 えかたを指示すること、顧客からの問い合わせに対応する専用のコー ルセンターや web サイトを設置すること、適切なばあいは第三者に よるクレジットモニタリングを実施することなどに備えておかなけれ ばなりません。 報道関係者、ソーシャルメディア利用者:企業側の都合のよいとき に、用意した公式声明を発表するだけでは不十分で、報道機関から殺 到する問い合わせへの対応に備え、また情報漏洩にも備えておかなけ ればなりません。地方紙、全国紙、サイバーセキュリティ担当記者も 含めた報道関係者に積極的に対応することが必要なばあいもありま す。そのためには、メディア対応コミュニケーション担当者の任命、 主要役員に報道機関による直接取材を受けさせるための準備、不正確 な報道の訂正、従来型メディアとソーシャルメディアの継続的なモニ タリングなどを含めた報道機関対応のプロセスを策定する必要があり ます。また、ソーシャルメディアを利用してメッセージを配信するた めの準備も必要です。 投資家、評論家:侵害を受けた企業は、そのインシデントが財務見通 しに及ぼす影響や、対応やセキュリティ向上策にかかるコストについ ての質問に答える準備をしなければなりません。インシデント後の最 初の収支報告のさいに、またそれ以降にも、この種の質問を受けるこ とが予想されます。株主がインシデントの影響を重大とみなしそうな ばあいは、Form 8-K(日本の適時開示情報に相当し、米国の株式公 開企業が、財務状況に影響を与える重要な事象が起こったばあいに米 国証券取引委員会への提出を義務づけられている報告書式)提出が必 要になることがあります。 220 サイバーインシデント後のコミュニケーション 社内オーディエンス:従業員には、何が起きたのか、セキュリティ関 連のポリシーや手続きに今後どのような変更があるのかを会社側から 知らせる必要があります。また、将来の攻撃に警戒させ、インシデン トについて公に発言するのを控えてもらうことも必要です。人事部門 は、インシデントの発生やそれを検知できなかったことに従業員が関 わっていた可能性があるばあいの対応に備えておく必要があります。 上記のオーディエンスに加えて、被害企業は二次的なオーディエン スのことも念頭において、一つ一つの発言を慎重に検討し、調整しな ければなりません。原告側の弁護士は周囲をかぎまわり、被害を受け たとされる顧客や株主の代理人としてすぐにでも訴訟を起こそうとす るでしょう。不正取引で損失が出た銀行やクレジットカード会社は、 十分な補償を期待するでしょう。被害企業がサイバーインシデント保 険やそのほかの関連保険に加入していて、保険金請求に動こうとして いれば、保険会社も公の発言を注視しているはずです。 役員に対する訴訟: コミュニケーションの問題 データ侵害を恐れて安眠できない企業幹部たちには、それだけでは 不足だとでもいうように、別の特別な懸念があります。それは、イ ンシデント発生後の株主代表訴訟や証券訴訟です。Target 社や TJX Companies 社、Heartland Payment Systems 社などの役員はいずれ も、侵害事件の後にこうした訴訟を起こされています。通常、この種 の訴訟には二つの主な論拠が含まれます。一つは役員が侵害の防止を 怠ったという主張、もう一つは役員が侵害の事実を隠蔽した、あるい は投資家と消費者への通知を怠ったという主張です。後者の論拠は事 実上、コミュニケーションの不手際を主張するものです。Target 社 や Heartland Payment Systems 社に対する訴訟は、原告側がどのよ うに代表訴訟や証券訴訟を利用して、コミュニケーションあるいはそ 221 の欠如に関する役員らの罪を糾弾しているかを示しています。 Target 社 の 事 例:2013 年 12 月 18 日、 ブ ロ グ「Krebs on Security」 が、小売大手の Target 社で重大なデータ侵害があったとのニュー ス 6 を伝えました。Target 社はその翌日、同社店舗で買い物をした 4000 万人の顧客のクレジットカードやデビットカードの情報が盗ま れるセキュリティ侵害が発生し、詳細を調査中だと認めました。数週 間後、同社は、データ盗難は当初の発表よりはるかに大規模で、さら に何千万人もの顧客が影響を受けたと発表しました。 この件に関して、四つの株主グループが Target 社の役員を相手取 って代表訴訟を起こし、その後、これらの訴訟は一つの代表訴訟に統 合されました。原告は、役員らは「個人情報および財務情報の盗難に ついての顧客への速やかな通知、 [ならびに]データ侵害の範囲と実 体に関する顧客への正確な通知」を怠り、受託者責任(信任義務)に 違反したと主張しました。修正訴状には同社の一連の声明が時系列に 列挙され、その中で提示される情報が次々と変わっていました。メデ ィア対応の問題としては、このことが火に油を注ぎつづける作用をも たらし、会社側が被害顧客数を更新するたびに報道が急増する事態に なりました。 さらに原告側は、対応管理における役員らの行動は、経営判断の 原則に基づいた意思決定に当たらないと、先手を打って主張しまし た。もしこの原則に基づいた意思決定であったとすれば、この種の訴 訟から身を守ることができたはずです。修正訴状には、「取締役会は Target 社に、同社におけるデータ侵害の正確な性質および範囲など に関して虚偽の公的声明を発信させた」と記載されています(消費者 が起こした別の訴訟でも同様に、 「Target 社は、データ侵害を一般大 衆に向けて開示し、速やかかつ正確に通知することを怠った」と主張 しています) 。 Heartland Payment Systems 社 の 事 例:2007 年 12 月 26 日、 ハ 222 サイバーインシデント後のコミュニケーション ッカー集団が Heartland Payment Systems 社の企業内コンピュータ ネットワークに侵入し、1 億 3000 万件のクレジットカードやデビッ トカードの番号と関連カードデータを盗み出しました。この企業内ネ ットワークへの SQL インジェクション攻撃の結果、同社の支払処理 システムにマルウェアがインストールされました。 当時、米国史上最大のデータセキュリティ侵害と伝えられたこの事 件に関して、米国司法省が複数の容疑者を起訴したのを受けて、原告 団が Heartland Payment Systems 社を相手取って証券集団訴訟を起 こしました。最高経営責任者(CEO)兼取締役会会長のロバート・ O・カーと最高財務責任者(CFO)のロバート・H・B・ボールドウ ィンを、侵害を 1 年以上隠蔽していた、つまり「侵害の存在そのも のについて嘘をついた」として訴えたのです。さらに、両被告は米国 証券取引委員会(SEC)に提出する 10-K 年次報告書(日本の有価証 券報告書に相当)や、報道機関によるインタビュー、プレスリリー ス、およびそのほかの公の場での発表や演説において、侵害に関して 故意に虚偽の記載や発言を行ったとも主張しました。原告団は、カー とボールドウィンは事件を隠蔽したうえ、収支報告に関して一連の重 大な虚偽の記載や発言を行い、 「Heartland Payment Systems 社にお いてセキュリティ侵害が発生したこと自体を公然と否定した」と申し 立てました。投資家に及んだ損害は、 「被告らによる虚偽の表明と不 作為によって同社の真実の財務状況と将来的な事業展望が不明瞭にな り、同社普通株の株価を人為的に上昇させた」ことだというのが原告 側の主張でした。 結論 サイバーセキュリティが企業幹部の安眠をさまたげる最大の不安だ としても、しっかりと経営の責任を担い、危機が生じる前に最新かつ 有用な対応計画を策定させておけば、多少なりとも安心して眠ること 223 ができます。どんな企業でも、侵害対応計画において決定的に重要な のはコミュニケーションです。侵害を受けた企業には、守勢をとって 自らに都合のよいタイミングで事後対応的な声明を出すことは許され ません。その一方で、確信があることと、自らの利益や顧客と投資家 の利益を守るのに必要なこと以外を口にするのも避けるべきです。効 果的なコミュニケーション計画があれば、世評低下や顧客離れを軽減 し、訴訟を起こされないようにすることで、サイバーインシデント後 の組織を守ることができます。 あらゆる侵害事件は企業のコントロールの及ばない事象に始まるも のです。Target 社への攻撃事例からわかるように、その後の展開が 企業にさらなる打撃を与えることもありえます。それでも、慎重に練 り上げられたコミュニケーション計画があれば、企業は法的な通知義 務を守り、世評低下や顧客離れなど、サイバーインシデントの二次的 被害を抑制することができます。いざサイバー危機に見舞われたとき に、対応計画に定められたコミュニケーションプロセスをすぐに実行 できるようにしておくことは、企業幹部の責務なのです。 1 https://www.nyse.com/publicdocs/Law_in_the_Boardroom.pdf 2 https://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-of-databreach-global-analysis 2014 Cost of Data Breach より。2016 年度版の完全なレポー トはリンク先からユーザー登録するとダウンロード可能。 3 http://www.pacis-net.org/file/2014/1946.pdf Grebu, U. 2014. Understanding the cost associated with data security breaches. p7. 4 https://www.securityroundtable.org/wp-content/uploads/2015/10/ch089780996498203.pdf p.51 5 https://www.ponemon.org/blog/ponemon-institute-releases-2014-cost-of-databreach-global-analysis 2014 Cost of Data Breach より。 6 http://krebsonsecurity.com/2013/12/sources-target-investigating-data-breach/ 224 サイバーインシデント後のコミュニケーション Sard Verbinnen & Co 社 プリンシパル スコット・リンドロウ(Scott Lindlaw) slindlaw@sardverb.com クライアント企業のポジショニング全般と世評や市場価値に影響する特定の事象 の管理を支援する戦略コミュニケーション会社、Sard Verbinnen & Co 社のプ リンシパル。データ侵害に対する最適の準備と対応や、そのほか様々な特殊な状 況や取引に際しての効果的なコミュニケーション全般について、企業に助言を行 っている。現職以前は、サイバーセキュリティと知的財産の関連法を扱う弁護士 として弁護士事務所オリック・ヘリントン・アンド・サトクリフ LLP に勤務。裁 判にいたったものも含めて知的財産訴訟を担当したほか、データ侵害訴訟の展開 についての多数の著作がある。弁護士になる前は AP 通信の記者で、ジョージ・ W・ブッシュ大統領時代にホワイトハウス担当記者を 4 年間務めた。 225 サイバー ・リスク・ マネジ メントにおける投資判断 サイバーエクスポージャー 最小化のための投資最適 化 Axio Global 社 最高経営責任者(CEO) スコット・カンリー Axio Global 社 共同創業者兼最高知識責任者(CKO) デイビッド・W・ホワイト Axio Global 社 最高技術責任者(CTO) ジェイソン・クリストファー 228 サイバーエクスポージャー最小化のための投資最適化 私たちはセキュリティの暗黒時代に暮らしています。 時代遅れの世界観にしがみつき、過去のツールや戦術を当てにし ていながら、自分たちがいかに混沌と暴力の時代に生きているの かに気づいて愕然とするのです。 RSA 社長 アミット・ヨラン 2015 年 RSA カンファレンス基調講演より サイバーエクスポージャー(会社の保護すべき情報資産が漏えいし たり不正使用されること)の最小化について語るのに、いきなりセキ ュリティ業界を批判してその成功を危ぶむような言葉の引用から始め てしまいました。そうしたのにはわけがあります。それはこの言葉 が現状、現状にいたる経緯、そして現状のかかえる本質的な課題を理 解すること、この三つがいかに重要であるかをよく表しているからで す。さらにいえばこの言葉からは、成功のためにはサイバーセキュリ ティに新しい視点が求められるということ、セキュリティリーダーが 成功という目標に到達するためには、そのよき基盤としてのプロセス や方法論を明確にしなければならないということも読みとれるからで す。 まずはこれまでの経緯を振り返ってみましょう。いまや「不可侵性 (impenetrability、侵害が不可能であること)」を実現可能と信じるセ キュリティリーダーはほぼ存在しません。誰もが「企業にはハッキン グされたことを知っている企業とまだ知らない企業の 2 種類しかな い」といったコメントや「可能な限り最善の防御策に投資してきたの にハッキングされた」と被害企業の役員が公の場で慨嘆するさまをこ れまで何度となく見聞きしていることでしょう。そうした状況でも、 不可侵性は実現可能だと長年にわたって広く信じられてきましたし、 こうしたいわば「城壁」時代には、投資判断はかなり安易に下されて いました。つまりネットワーク境界の防御を固めるため、技術的な対 策の調達に集中的に投資したのです。 ありがたいことにこの「城壁」時代は「多層防御」時代とでも呼ぶ 229 べき時代へと遷移しました。 「多層防御」の当初の考えかたはかなり 単純で、城壁、つまりネットワーク境界線を何重にもめぐらせ、その 複数の層をたがいに協調して働かせることによって、不可侵性、ある いはそれにできる限り近いものを作り出そうとするものでした。こ の考えはその後さらに発展し、 「悪者がすでに内部にいるものとして 運用せよ」という方針に基づいて、ネットワーク境界の管理だけでな く、行動監視、セグメント化、内部環境のシミュレーションなどに重 点を置いた管理上の対策をバランスよく配置する動きにつながりまし た。この傾向は確実に根を下ろしつつあります。セキュリティ予算の 大部分をネットワーク境界の管理対策にあてている企業はまだまだ多 いですが、内部管理や事後対応管理にも予算が割かれるようになって きています。 しかしながら、戦略は改善しても、この 1 年ほどの間に起きた出 来事と本章執筆以後に間違いなく起こるであろう出来事を考えれば、 「多層防御」時代が「城壁」時代とくらべてそう大きく成功している とも言いがたい状況です。ほぼ間違いなく状況は悪化しているのです が、その主な原因は攻撃者が使用するツールや手法が高度化し、産業 化が進んできていることにあります。この結果、セキュリティへのア プローチに再考が求められているだけでなく、現実的な問題としてセ キュリティリーダーの仕事がかつてなく困難なものになっています。 つまり、組織の防御に成功する確率が低下するにしたがい、職務の安 定性も急激に低下しているのです。 くわえて城壁時代と多層防御時代は、セキュリティリーダーの意思 決定を大きく左右しかねないべつの問題も生み出しました。つまり、 市場に出回るセキュリティ製品や技術があまりに多すぎてとても選び きれなくなったのです。RSA カンファレンスでほんの数分を過ごせ ば、これこそ究極のソリューションだ、セキュリティの決定打だと主 張するセキュリティベンターがごまんといるわけです。いったいどこ から始めたらいいのか。次の予算を何に使うべきなのか。この投資と 230 サイバーエクスポージャー最小化のための投資最適化 期待される見返りをどう説明すれば取締役会を納得させられるのか。 避けられない事象が起きたとき、仕事を失わずにすむにはどうしたら いいのか─こうした疑問が、現代のセキュリティリーダーたちを悩 ませているのです。 そこで提案したいのは、そろそろ「サイバーセキュリティ啓蒙時 代」へと発展すべきときだということです。すなわち、リスクの排 除ではなくリスク管理に重点が置かれ、サイバーセキュリティ戦略 が投資上の課題のひとつと認識される時代です。また、「サイバー事 象(大小様々なインシデントを含めサイバースペース上で発生する問 題) 」は避けられないため、その影響の最小化が重視され、最終的に 難局を切り抜けるための財務資源によって組織のレジリエンス(回復 力)が決まる時代でもあります。そこで保険業界が大きな役割を果た すことになります。保険業界が組織の財務安定性だけでなく、周到な サイバーセキュリティ投資を支援する見識やデータも提供してくれる からです。ここからは、以上の要素をそれぞれ説明したうえで、組織 のサイバーエクスポージャーとその影響を最小化する見込みが最も大 きいのはこのアプローチであることを論証していきます。 このアプローチの有効性は、サイバーリスクとサイバーセキュリテ ィ性能(サイバー事象を検知、防止、対応し、その影響から回復する 能力)との関係を表した次のグラフに如実に表れています(図 1) 。 最小限のサイバーセキュリティ性能しかもたない組織はきわめて大き なリスクに直面しています。このような組織では、基本的なサイバー セキュリティ性能向上にさらに投資をすることでリスク曲線が大きく 下向きに変化します。なお曲線の左端に位置する(最低限のサイバー セキュリティ性能しかない)組織は、保険業界からは厳しい扱いを受 けることでしょう。つまり、保険料が法外に高くなったり、保険によ る補償をまったく受けられないこともあります。そのこと自体が、そ のような組織は従来型のサイバーセキュリティ性能強化の必要がある ということを示唆しています。なお、リスク曲線はあるポイントで横 231 ばいになり、投資額 1 ドルあたりのリスクの相対低減率は以前より 低くなります。このポイントを過ぎたら今度は保険への投資を増やす ことが賢明と言えます。というのは、ここ以降は保険がリスク曲線に 及ぼす影響が非常に大きくなるからです。従来型のサイバーセキュリ ティ対策と異なり、保険は事後のコストを実際に減らす(または一切 なくす)ので、リスク曲線全体を下方向に押し下げてくれます。この アプローチを採用する組織は、より周到に防護され、避けられないサ イバー事象による影響に持ちこたえる能力が高いといえます。 それぞれの要素をさらに深く理解するため、リスクの計算方法を見 図 1 サイバーセキュリティ 性能の投資 サイバーセキュリティ性 能の維持と保険への投資 リスク サイバーセキュリティ 性能 保険はリスク影響曲線 全体を押し下げる 232 サイバーエクスポージャー最小化のための投資最適化 てみましょう。この計算は次の方程式で説明できます。 リスク = ビジネスへの影響 × 発生確率 サイバーセキュリティ性能 この方程式において「ビジネスへの影響」はサイバー事象から企業 が受ける影響の値、 「発生確率」はサイバー事象が実際に発生する確 率の予測値、 「サイバーセキュリティ性能」は組織がサイバー事象を 検知、防止、対応、回復する能力を指しています。 重要なのは、この方程式の分子には組織のコントロールがほとんど 及ばないと理解することです。分子の要素は、絶えず変化する脅威の 趨勢、攻撃を実行する敵対勢力の能力と執念深さに左右されるほか、 運用中のシステムの管理が複雑になりすぎて思いがけぬ故障が発生 し、その結果として損害につながるばあいも含まれるからです。たと えば、最近起きた貨物輸送機の墜落事故の原因がソフトウェア構成の不 具合にあったとする記事があちこちに掲載され、サイバー事象は悪意の あるものだけに限られないという現実が明らかになりました 1。また、 「ビジネスへの影響」と「発生確率」はいずれも、どんなにサイバー セキュリティ性能の高い組織においてもゼロではありえないと認識し ておくことも重要です。 これとは逆に分母には、効果的なサイバーセキュリティ計画を導 入、維持し、成熟させることによって、組織がコントロールを及ぼす ことができます。 「サイバーセキュリティ性能」は、サイバー資産の 保護とサイバー事象の検知を目的として組織が導入しているサイバー セキュリティ対策の内容から算出します。サイバーセキュリティ対策 の多くは技術上または運用管理上の対策ですが、人的対策も重要で見 過ごすことはできませんし、サードパーティベンダーや外注先、下請 業者に関連する手続きも同じく重要です。また、この分母は保険によ る好影響が及ぶ部分でもあります。事象に効果的に対応し、そこから 回復できるかどうかは、技術的な能力だけでなく、関連するコストや 233 損失をカバーできる財務能力にも依存するからです。 では、この方程式にどうやって実際の数値を入れるのでしょうか。 私たちが推奨するのは、その組織特有のサイバー損失シナリオの作成 と分析から始めることです。情報技術や運用管理のセキュリティ、安 全性、リスク管理、財務、法務などを担当し、組織のことをよく知る 主要部門から要員を集め、組織内の重要部門全体におけるサイバー事 象の発生確率と影響についてブレインストーミングを行いましょう。 損失範囲のできるだけ多くの部分を把握することが重要です。損失範 囲には第 1 当事者と第 3 当事者の財務損害、さらに第 1 当事者と第 3 当事者の有形損害が含まれ、後者はとくに重要インフラの分野で産 業用制御システムを利用する組織にとっては死活的に重要です。日本 では最近、産業用制御システムにおけるサイバー事象が壊滅的な影響 を及ぼす可能性が注目され始めました。起こりうる損失シナリオをす べて把握すれば、組織のサイバーリスクへの理解は必ず深まります。 経験上、この種の損失シナリオ演習は大変収穫が多く、有益な見識 は実は組織の内部に存在し、適切な関係者を議論の席に着かせるか どうかだけの問題であることがほとんどです。すでに多くのことがわ かっていて、後は計算式に埋め込むだけだと知って驚くばあいもあり ます。たとえば、私たちのクライアントだった電力・エネルギー会社 は、地震、火災、機械的故障などの従来的な危険に基づく損失エンジ ニアリング研究をすでに数多く委託しており、それぞれ十分な影響予 測が行われていました。このようなばあいに必要なのは、サイバー事 象でもそれと同じ結果が多数生じうることを業務運営面とサイバーセ キュリティのリーダーに確認してもらうことと、方程式の分子となる 十分なデータを効率的に集めるため、事象の発生確率についての技術 的な議論を行うことだけでした。 損失シナリオ活用のアプローチからは、分母の数値の参考になる情 報も提供されます。この議論の技術的な部分は、特定のシナリオから 組織を保護し、そのシナリオの兆候を検知し、効果的に対応するため 234 サイバーエクスポージャー最小化のための投資最適化 の組織の能力判定に役立つからです。たとえば、小売業者のクライア ントでクレジットカード情報の盗難に関するシナリオを扱うばあい、 その事象が発生したばあいの財務上の影響から始め、そこから時間を さかのぼって、情報がどこにあり、どのように処理されるか、さらに 最も重要な点として、各アクセスポイントが既知の脅威および考えら れる脅威からどのように保護されているか、あるいはどうすれば保護 できるかを議論します。ここでは、組織の現状の機能を適用される規 格や規制の枠組みに照らして検討すること、該当するリスク分野に関 する適切な脅威インテリジェンスが利用されているかを確認するこ と、組織自体の環境と全体としての環境における保護メカニズムのパ フォーマンスを継続的にモニターすることが有益です。たとえば、日 本の内閣サイバーセキュリティセンターは 2015 年 9 月に、モノのイ ンターネット、産業用制御システム、各企業にベストプラクティスや 各種業界の機能について理解を深めてもらうための情報共有などにつ いての議論を含めたサイバーセキュリティに関する諸施策を導入しま した 2。 ベンチマーキングも、組織のサイバーセキュリティ性能を高める重 要な要素のひとつとして強く推奨されます。ベンチマーキングのため にサイバーセキュリティ対策計画情報を提供することには、誰もが知 っている裏口への鍵を渡して余計な脆弱性を増やすようなものだとし て、多くのセキュリティリーダーが慎重になりがちなことも承知して います。しかしながら、完全に匿名化されたかたちでベンチマーキン グをしてもらえるなら、ほかの方法では得られない強力な比較考察を 得られる可能性があります。セキュリティリーダーの視点から見れば この情報は実は最も強力です。セキュリティ対策への追加投資を正当 化する根拠となるうえ、最悪のばあい侵害事象が発生しても有責性を 否定することができるからです。 ここからは、方程式の分母とリスク曲線の右半分について詳しく説 明し、考察することにしましょう。すなわち、保険の補償範囲の重要 235 性と、正しい知識に基づいたサイバーセキュリティ戦略を導入するう えでの保険業界の関連性です。保険業界が担いうる、また今後ますま す担っていくであろう役割のひとつは、保険引受と保険料設定のプロ セスを通じ、ベンチマーキングによるインテリジェンスの供給源とな ることです。率直に言って、この役割はまだ揺籃期にあります。それ にはいくつかの理由があります。補償範囲が絶えず進化しつづけてい ること、したがって引受に必要な情報の範囲は本当の意味で包括的で はないこと、競争上の梃子として非侵襲的(顧客のネットワークやハ ードウェア環境に直接影響を与えるような手段を用いない)アプロー チを進んで採用している保険会社が多いこと、保険請求や損失がまだ 発生していない領域では相関情報が不足していることなどです。ただ し、たとえ発展途上の役割であってもこうしたプロセスは企業にとっ て価値があります。たとえば、法外に高い保険料や補償の拒否に情報 としての価値があるからです。くわえて、サイバー補償が比較的成熟 している領域については、大手保険会社はほかの十分に確立された担 保リスク領域と同様の「リスクエンジニアリング」のメリットを提供 するのに十分なデータを持っていて、保険業界はこの面で提供できる 機能を拡大すべく進化を続けています。 保険業界がかかわるもうひとつの領域は(補償範囲の精査は必要で すが)その情報的価値とセキュリティへの投資判断との関連性という 意味で重要です。セキュリティリーダーは、自社の保険ポートフォリ オに加えて、保険の利用可能性と価格設定に関する業界動向にも精通 する必要があります。その対象は「サイバー」保険に限られません。 多くの保険業界関係者は公言しないでしょうが、今のところ包括的な オールリスク型サイバー保険契約のようなものは存在しないからで す。一般に知られている「サイバー」保険では、サイバー事象による 第 1 当事者の財務損失とその結果として生じる金融負債の多くが補 償されますが、物的損害や身体傷害などの有形損失は補償対象に含ま れません。したがって、企業は財産、災害、環境、テロなど、サイバ 236 サイバーエクスポージャー最小化のための投資最適化 ー事象によって生じる損失を補償しうるそのほかの種類の保険にも注 意する必要があります。 ここからどんな実用的な知見が得られるでしょうか。一方では、保 険業界が補償に前向きなサイバーエクスポージャーは何かがわかれ ば、それだけでセキュリティリーダーによる投資判断の参考になりえ ます。たとえば、営業秘密や研究開発などの知的財産の盗難に起因す る損失については、現状ではあまり補償が提供されていません。これ を知っていると、営業秘密の保護対策や手続きへの過度な投資につな がるばあいもありますが、補償を利用しやすいそのほかのリスク領域 への投資をよりバランスのとれたものにすることもできます。 進化しつづける保険業界のリスクエンジニアリング機能と、サイバ ーエクスポージャーに関する保険業界の動向全容を把握しておくこと で得られる知見のほかに、保険によって得られる最大のメリットは、 前述のようにリスク曲線を大きく引き下げられることです。単一の 「サイバー」保険を契約すると、そのパフォーマンスに落胆させられ かねないため、ここでも保険業界の動向全体を把握することが決定的 に重要です。とはいえ、保険業界を批判したいわけではありません。 サイバーエクスポージャーの大部分については補償を提供してくれ ているのですから。複雑なサイバー事象を包括的に補償するには、複 数種類の保険契約が必要になりうることを認識すべきだということで す。 最終的な目標は、評価プロセスとバランスのとれたアプローチによ って、とくにこれまで採用されてきた従来型戦略と比較して、サイバ ーリスクを最小限に抑える可能性を高めることです。少なくとも、補 完的な対策として保険を効果的に導入することで、より効果的にサイ バーリスクを最小化することができるでしょう。またこの評価プロセ ス全体によって、信頼できる知見を得られ、セキュリティリーダーが 投資を最適化しつつリスクを最小化する手段を創出していくことがで きるのも確かです。それがきっかけになり、サイバーセキュリティが 237 暗黒時代から抜け出せるかもしれません。 日本が 2020 年の東京オリンピック・パラリンピック競技大会の準 備を進め、国内外でサイバーセキュリティ政策を改善し続けるなか、 企業も同様に、サイバーリスクに関する活発で成熟した議論を行い、 サイバーセキュリティ啓蒙時代を迎える準備をしなければならないの です。 1 Vanian, Jonathan, Poorly configured software caused an Airbus plane to crash in 2 N a t i o n a l C e n t e r o f I n c i d e n t R e a d i n e s s a n d S t r a t e g y f o r C y b e r s e c u r i t y, May, Fortune Magazine, June 2, 2015. https://fortune.com/2015/06/02/poorlyconfigured-software-airbus-plane-crash/ Cybersecurity Strategy, August 2016.〔内閣サイバーセキュリティセンター「サイバ ーセキュリティ戦略」〕http://www.nisc.go.jp/ Axio Global 社 最高経営責任者 スコット・カンリー(Scott Kannry) Axio Global 社の最高経営責任者(CEO)。一貫してサイバー分野を中心とした 営利保険業界でキャリアを送り、Aon 社金融サービスグループに 10 年間勤務。 クライアントはあらゆる業界にわたるが、エネルギー、電気・ガス・水道、交 通、製造業など、サイバーリスクが進化しつつある業界を専門とする。Risk and Insurance 誌の「Power Broker」賞を受賞し、Business Insurance 誌の創設初 年度の「Top 40 Under 40」優秀ブローカーに、また Reactions 誌の 2014 年 度 Rising Star に選ばれた。ケースウェスタンリザーブ大学で理学士号と文学士 号、ノースウェスタン大学の法科大学院で法務博士号、ケロッグ経営大学院で経 営修士号(MBA)を取得。 Axio Global 社 共同創業者兼最高知識責任者 デイビッド・W・ホワイト(David W. White) Axio Global 社の創業者、最高知識責任者(CKO)。Axio Global 社は、サイバー セキュリティの技術・管理策とサイバーリスク移転を調和させるアプローチに基 238 サイバーエクスポージャー最小化のための投資最適化 づく包括的なサイバーリスク管理の導入を支援するサイバー・リスク・エンジニ アリング会社。ホワイト氏はクライアントに直接対応し、サイバーセキュリティ 計画の評価とベンチマーク設定、サイバー損失シナリオの作成と分析、保険プロ グラム分析、データアナリティクスなどの Axio Global 社のサービスの指針とな る枠組みと手法について責任を負っている。 Axio Global 社創業以前は、主としてアメリカ国防総省と国土安全保障省の資金 助成を受けたサイバーセキュリティ研究プログラムであるカーネギーメロン大学 ソフトウェア研究所の CERT プログラムに従事。その間、サイバーセキュリティ やレジリエンスの成熟度モデルと枠組みのポートフォリオと、関連する研究、診 断手法、トレーニングに関する技術リーダーシップと研究戦略を担当。 電 力 業 界 向 け サ イ バ ー セ キ ュ リ テ ィ 機 能 成 熟 度 モ デ ル(ES-C2M2) の 主 任 ア ー キ テ ク ト を 務 め、 石 油・ 天 然 ガ ス 版(ONG-C2M2) お よ び 業 界 非 依 存 版(C2M2)のレビューチームに参加。CERT レジリエンス管理モデル(CERTRMM)の共著者の一人であり、スマートグリッド成熟度モデル(SGMM)の主任 アーキテクトも務めた。 Axio Global 社 最高技術責任者 ジェイソン・クリストファー(Jason Christopher) Axio Global 社の最高技術責任者(CTO)。過去 10 年にわたって重要インフラの 運用、調査、調整に従事。サイバーセキュリティの指針や基準の策定と導入に関 する豊富な経験を CTO の職務に活かしている。Axio Global 社入社前は、米国電 力研究所でセキュリティ測定手法とリスク緩和のプロジェクトを主導。米国エネ ルギー省で業界内共通のサイバーインシデント対応・機能プログラムの管理に携 わったほか、連邦エネルギー規制委員会で大規模電力システムの技術的サイバー セキュリティ規制を主導。エネルギー、水道、交通、電気通信の各業界で各種の 産業用制御システムや従来型情報技術のプロジェクトに携わった経験がある。ビ ンガムトン大学でコンピュータ工学の理学士号、コーネル大学で工学修士号を取 得。 239 サイバーリスクと従業員 教育 サイバー教育は終わりのな い仕事 NYSE Governance Services 社 社長 アダム・ソドウィック 242 サイバー教育は終わりのない仕事 教育不足、ちょっとした出来心、そして悪意。いずれに起因する にせよ、ほとんどすべてのサイバー脆弱性にはつねになんらかの人 的要素が介在しています。そして、こんにちのデータ偏重社会におい ては、各企業が「責任の文化」を醸成し、あらゆる層の従業員が一致 団結して警戒を怠らないことでサイバーリスクを軽減する必要にせま られています。なぜなら、サイバー侵害を防ぐためにファイアウォー ル、セキュリティシステム、アルゴリズムなどに巨額の投資をして も、それら技術の組み合わせだけではサイバーセキュリティ問題のほ んの一部にしか対応できないからです。 概要 コンサルティング会社 PwC 社の経済犯罪実態調査 1 によれば、サ イバー犯罪は現在とくに発生頻度の高い経済犯罪のひとつです。損 害は増加の一途をたどり、2014 年の PwC 調査では、5000 社を超え る調査対象企業のうち 24% がサイバー犯罪の被害を受けたと報告し ています。また Verizon Enterprise Solutions 社による最近の調査で は、サイバー犯罪の 66% はすくなくとも 6 カ月以上検知されないま まになっているという深刻な問題を指摘しています。 サイバー攻撃に関連して発生した費用のグラフも右肩あがりです。 Ponemon Institute 社 の「Cost of Cybercrime 2014(2014 年 サ イ バ 2 ー犯罪コスト調査報告書) 」 によれば、サイバー攻撃に関連して発生 した費用は平均的な米国企業で 1270 万ドル以上にのぼりました。被 害額が 6100 万ドルを超えた企業もあったため、この平均は前年比で 9% 以上増加しています。 さて、問題に対処したければその原因を理解しなくてはなりませ ん。サイバー犯罪は、企業を狙った犯罪の中でもっとも報告件数が多 い上位 5 位に入っており、もはや単なる技術上の問題ではありませ ん。「それは戦略問題であり、人的問題であり、プロセスの問題であ 243 る 3」と PwC の報告書は述べています。Online Trust Alliance(OTA) の「2015 Data Protection & Breach Readiness Guide(2015 年 版 データ保護および侵害対策ガイド」 は、2014 年 1 ~ 6 月に発生した 4 データ侵害の 29% は従業員が引き起こしたと報告しており、内部的 な弱点があらゆる組織にとって脆弱性の重要な一領域であることが明 らかになりました。さらに、このガイドの報告によれば、従業員によ る文書の紛失、ソーシャルエンジニアリングや詐欺行為による情報ア クセスに起因するデータ漏えいは、内部統制の欠如が原因でした。し たがって、従業員を教育し、 「責任の文化」という理念に心から賛同 してもらうことが、サイバー侵害でこうむりうる損害の影響を緩和す るうえできわめて重要なのです。 内部関係者による脅威の種類 内部関係者による脅威の発生要因は、必ずしも悪意のあるものとは 限りません。しかしながら、悪意や政治的意図にもとづく行為であっ たばあいは大きなニュースになりやすいといえます。たとえば The Home Depot 社の元セキュリティ設計担当者が前職のコンピュータ ーネットワークを妨害した事件 5 や、2015 年 4 月に米国原子力規制 委員会の職員が外国政府への核機密の送信を企てたとして司法省に起 訴された事件 6 などは、メディアが見逃しませんでした。 これほどはっきりした悪意がないばあいでも、機密性や金銭的価値 の高いデータの保護を託された内部関係者が、特権を付与されている のをいいことに、自身への信頼を悪用して同様の不正をはたらくこと が あ り ま す。Verizon Enterprise Solutions 社 の「2015 Data Breach Investigation Report(2015 年データ侵害調査報告書)」によれば、 内部関係者インシデントを伴う事例のうち、55% は特権の悪用が主 たる動機で、金銭的利益を主たる動機とするものは 40% でした 7。 ボストンを拠点とするデータ保管・情報管理会社 Iron Mountain 244 サイバー教育は終わりのない仕事 社による世界各国の従業員を対象とした 2012 年の調査によれば、デ ータ収集業務に従事している職員はデータに個人的な所有意識を抱き やすいということがわかっています。たとえば、ヨーロッパでは事務 職員は転職のさいにデータを持ち出す傾向があります。ミレニアル世 代など特定のサブグループはとくに持ち出しの頻度が上の世代より高 いことがわかっています。さらに、実際に企業情報を盗んだ従業員の うち、51% は機密扱いの顧客データベース、46% はプレゼンテーシ ョン資料、21% は社内企画書、18% は戦略計画、同じく 18% が製品 やサービスの工程表を持ち出していました。いずれもきわめて機密性 や金銭価値の高い資産です。 しかしながら、実際には、従業員の過失、経験不足、無関心が原因 で起こる事例が非常に多く、そのままにしているとシステムの重大な 欠陥につながるおそれがあります。そこで、組織が行動を変えること で、従業員をサイバーリスクにたいする防御手段に変えていく必要が あるのです。 たとえば、コンピューターメーカーの Dell 社は「セキュリティの 文化」を誇っており、同社のホワイトペーパー「The Human Side of 8 IT Security(IT セキュリティの人的側面) 」 によれば、セキュリティ 意識教育、適切なアクセス管理、モバイルセキュリティ、組織内ネッ トワークのセキュリティ確保とモニタリングという 4 つの基本原則 に従うことでセキュリティの文化を醸成しています。 Dell SecureWorks 社のセキュリティおよびリスクコンサルティン グ担当エグゼクティブディレクターのケビン・ヘインズは、同社の情 報セキュリティ部門がほかの組織とどのように協力しながらサイバー セキュリティ問題に取り組んでいるかを次のように説明しています。 「悪質な行為者はいちばん脇が甘い経路を使うのがふつうで、多くの ばあいその経路は人です。このことを組織はつねに念頭に置くべきで しょう」。同社はサイバー意識の高い文化を醸成するため、上層部主 導で組織のあらゆる層と一貫したコミュニケーションをとり、多少不 245 便でも行動のあらゆる側面で警戒を怠らないことがなぜ重要なのかを 従業員に理解させる取り組みを行っています。 興味深いことに、従業員全員が脅威にたいして同じ見方をしている と は 限 り ま せ ん。Dell SecureWorks 社 と Ponemon Institute 社 が 実 施した 2015 年 6 月の世界規模の調査 9 では、調査対象の IT セキュ リティまたは IT 担当職員の 56% が「不注意な内部関係者」を深刻な 脅威とみなしている一方、調査対象の IT セキュリティまたは IT 担当 の企業幹部のうち、このような内部関係者を深刻な脅威とみなしたの は 37% にとどまりました。この差は「セキュリティの最前線でこう した脅威に対処している」担当者の声にもっと耳を傾ける必要性を示 唆するものだ、と調査報告書は指摘しています。 対策の実施 どのようにして内部関係者による脅威が引き起こされるのかについ て認識できたら、企業は実際にどんな対策をとればいいのでしょう か。OTA(Online Trust Alliance) の 最 近 の 報 告 に よ れ ば、2014 年 前半に起きたデータ侵害の 90% は、広く認められているデータ保護 のベストプラクティスをしっかり守っていれば容易に防ぐことができ たものでした 10。つまり、この面で立ち遅れている企業には、やるべ きことがたくさんあるということです。 厳格なベストプラクティスを導入し、従業員にその順守を求めるこ とに加えて、自己報告制度も重要な要素です。それぞれの企業が自社 の報告ガイドラインと、どんな事項や活動が疑わしいのかを明確に理 解しておく必要があります。 どの組織にも独自の経営体制や文化があるものです。しかしなが ら、他社でうまくいっている対策があるならその対策との比較から始 めるのがよいでしょう。他社でうまくいっている対策と比較すること で、自社の個々のサイバーセキュリティ防御策やサイバー侵害発生時 246 サイバー教育は終わりのない仕事 の緩和プログラムをベンチマーク評価し、成功度合いをチェックする ことができます。そこから改善案につなげることができるでしょう。 ケーススタディの視点 ケーススタディを見てみると、非現実的な理想が実際的な目標 として見えてくることがよくあります。データ分析サービス大手 Teradata 社の最高コンプライアンス責任者であるトッド・カーバー によれば、同社はサイバー意識を「じょうご」のようなものとみなし ており、新しい情報を絶えず上から入れ、その情報を継続的な教育を つうじて再循環させることで、従業員につねに最新動向を把握させて いるそうです。同社のプログラムは、取締役会から 43 カ国の従業員 1 万 1000 人までを網羅しています。データや資産の保護は Teradata 社の行動規範に定められる義務のひとつで、研修で具体的に取り上げ られないことがあったばあいや、従業員が自分なりの疑問を抱いたば あいのための倫理ヘルプラインも設けています。従業員はここに問い 合わせて質問をし、指導を求め、 「ミスをしたのですがどうすればい いですか?」と相談できる、とカーバーは説明しています。 Teradata 社で毎年実施される倫理・コンプライアンス教育では、 知的財産、プライバシー、フィッシング、モバイルデバイス意識とい ったサイバー関連項目も含めて、多くの問題が取り上げられます。ま た、コンピューターをクリーンに保つことや、パスワード慣行、電 子メールの使いかたなど、様々な問題に関するポリシーも定められ ています。加えて、同社では役割別研修を採用しています。カーバー は「従業員に本気で取り組んでもらうことが何より大事」だと言いま す。 「こういうルールがなぜあるのかを説明するのが重要なのです」。 カーバーによれば、様々な手続きの必要性を従業員によりよく理解し てもらうために、ハッキング未遂のシナリオを社内で共有しているそ うです。 247 しかしながら、このように従業員教育とサイバー問題にたいする意 識の維持に熱心に取り組んでいる Teradata 社であっても、この仕事 には終わりがないとカーバーは認めています。教訓や新しい見方を 絶えず学び、それをサイバー意識の「じょうご」にフィードバックし て、従業員教育プログラムを改善しつづけています。これほどの配慮 を講じていても、侵害を受けることはありうるとカーバーは考えてお り、そういう万一のばあいに備えているのです。また、自分がサイバ ー関連の過失を犯したと思ったときにどうすればよいかや、疑わしい 行動や間違った行動を目にしたときにどのように報告すればよいかを 従業員に理解させることも重要だと感じています。 堅実なサイバー意識プログラムを導入しようと取り組んでいるコン プライアンス責任者に、カーバーは 3 つの助言を贈っています。第 一に、全員を巻き込むことから始めること。 「確実なデータ保護を行 うことは全社員の役目です」とカーバーは言います。第二に、サイバ ー意識向上はあらゆる業界、あらゆる企業、あらゆる部門にとっての 最優先課題であると理解すること。第三に、組織を脆弱にするのは人 的側面であると肝に銘じること。 「技術面のあらゆる策を[適切に] 講じることはできますが、それでも脆弱性が残ることはあります。従 業員、外部業者、顧客、そして悪意を持った者など、人間がかかわる ことだからです」 Dell 社では、Dell SecureWorks 社のヘインズのチームが、自社に 加えて多くのクライアントのセキュリティ監視、コンサルティング、 脅威インテリジェンス収集を担当しています。ヘインズによれば、 Dell SecureWorks 社には「とんでもない数のマルウェアのサンプ ル」をテストできる実験室機能がありますが、ほとんどの企業は、フ ィッシングやビッシング(電話経由でハッキングを試みる行為)など によるリスクを緩和するための措置を独力でとることができると説明 しています。手続きを策定し、周知させ、監視することには、人的要 素による影響を抑える効果が大いにあるとヘインズは言います。 248 サイバー教育は終わりのない仕事 ヘインズは自らの経験から、この種の対策についての人々のメンタ リティには概して 2 通りあると言います。ひとつは、毎年の社内研 修を実施することでコンプライアンス対策を完了させたいと考えるタ イプ。もうひとつは、プログラムの変化によって従業員の行動を変え たいと考えるタイプです。前者の方がはるかに容易ですが、後者は目 に見える結果をもたらす可能性があります。サイバー意識の高い文化 を持った組織を作り出すには、継続的な取り組みが必要だとヘインズ は説明します。従業員研修を何年も続けた後でも、十分な賛同と理解 がなければ、その「対策済み」従業員の中からフィッシングメール上 のリンクをクリックしてしまう人が必ず出てくるからです。 サイバー意識の高い文化の醸成 Teradata 社や Dell SecureWorks 社のように事前対応策をとってい る企業は、効果的なサイバー意識教育によって、従業員をサイバー犯 罪との戦いにおける強力な戦力に変えることができることを理解して います。意識の高い文化があれば、侵害を予防し、データを安全に保 護し、企業の最終損益に好影響を与えられます。実際のところ、適切 な従業員文化への投資と支援以上に強力なサイバーリスク防御策はな いと言ってもいいでしょう。 NYSE Governance Services 社 と Society of Corporate Compliance and Ethics( 企 業 コ ン プ ラ イ ア ン ス 倫 理 協 会 ) が 発 行 し た「2014 Compliance and Ethics Program Environment Report(2014 年 コ ンプライアンス・倫理プログラム環境報告書)」 によれば、サイバー 11 分野は従業員教育の 3 大リスク領域のひとつに挙げられたにもかか わらず、サイバー問題に関する研修を全従業員対象に実施しているの は、意外にも調査対象企業の 29% にすぎませんでした。 全社的な教育とは多くのばあい経営陣の意識向上も意味します。 なにしろ、経営陣の大部分がこの分野は全体の把握が難しいと語っ 249 て い る か ら で す。2014 年 に RSA と EY が Corporate Board Member 誌との協力で実施した調査 12 では、企業役員の 83% が、IT リスク やサイバーリスクを監視するうえで大きな障害になるのは、こうし たリスクが絶えず変化しつづけていることだと答えました。NYSE Governance Services 社と Veracode 社が発表した 2015 年の調査報 13 告 書「Cybersecurity in the Boardroom」 は、 回 答 し た 役 員 の 81% が IT セキュリティ問題をほとんどまたはすべての会議で議論してい る と 指 摘 し て い ま す。NYSE Governance Services 社 が 経 営 コ ン サ ルティング会社 Spencer Stuart 社と実施した 2015 年の調査「What Directors Think Survey14 で は、 調 査 対 象 の 役 員 の 63% が、 自 社 の 取締役会がサイバーリスクを適切に監視していることにある程度しか 自信がないと答え、4 分の 1 近くの役員は取締役会による監視に自信 がないと答えています。つまり、最上層部においても改善の余地があ るということが明らかに示唆されているのです。 以上の調査結果は、従業員と経営陣がともに組織内のサイバー意識 プログラムに参加することにメリットがあるという強力な根拠とな っています。なぜなら、両者がプログラムに参加することで、より よい意思決定ができ、継続的にサイバーリスクを監視下に置くことが でき、上層部が適切な方向性を打ち出せるからです。全体のおよそ 3 分の 2 の企業は、この考え方に傾倒しているようです。Ethisphere Institute 社の 2015 年版「世界でもっとも倫理的な企業」のデータ15 によれば、回答企業の 66% で、過去 2 年以内に経営陣を対象とした 情報セキュリティやサイバーセキュリティに関する研修を実施してい ました。 結論 人的要素がつねに介在し、かつ非常に多岐にわたるサイバーセキュ リティリスクを考えるとき、健全な「責任の文化」、「セキュリティ意 250 サイバー教育は終わりのない仕事 識の文化」を醸成すること以上の対策はありません。結局のところ、 不満を抱いている従業員や十分な研修を受けていない従業員は企業の 最大の脅威になりかねないのにたいし、意欲があり十分な教育を受け た従業員は最大の防御になりうるのです。カリフォルニア州サニーベ ールのセキュリティサービス会社 Proofpoint 社は、サイバー犯罪者 は企業の従業員教育に絶えず適応しているため、このいたちごっこに 終わりはなく、つねに警戒を怠らないことが求められると警告してい ます。 ヒューマンエラーが起きる余地はけっしてなくなりはしませんが、 適切な意識教育とフォローアップを行うことにより、企業はその最大 の資産を活用して脆弱性を軽減し、サイバーセキュリティの抵抗力を 高めることができるのです。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 http://www.pwc.com/jp/ja/japan-knowledge/archive/assets/pdf/economic-crimesurvey2014-gx.pdf http://www.ponemon.org/blog/2014-global-report-on-the-cost-of-cyber-crime http://www.pwc.com/ca/en/media/release/2014-02-24-canadian-businesses-facelower-instances-economic-crime-fraudsters-keep-up.html https://otalliance.org/system/files/files/resource/documents/dpd_2015_guide.pdf p.5 http://nyti.ms/1Do2ZG8 https://www.justice.gov/opa/pr/former-us-nuclear-regulatory-commissionemployee-pleads-guilty-attempted-spear-phishing-cyber h t t p : / / w w w. v e r i z o n e n t e r p r i s e . c o m / r e s o u r c e s / r e p o r t s / r p _ d a t a - b r e a c h investigation-report_2015_en_xg.pdf p.46 http://i.dell.com/sites/doccontent/business/solutions/whitepapers/en/Documents/ human-side-of-it-security-position-paper.pdf https://www.secureworks.com/resources/wp-2015-global-study-on-it-securityspending-and-investments からダウンロード可能。 https://www.otalliance.org/news-events/press-releases/ota-determines-over-90data-breaches-2014-could-have-been-prevented http://m1.corpedia.com/resource_database/CEPEReport.pdf https://www.nyse.com/corporate-services/nysegs/CBM_1Q15_Special_Report https://www.nyse.com/publicdocs/VERACODE_Survey_Report.pdf p.3 https://www.nyse.com/WDT2015 251 15 http://worldsmostethicalcompanies.ethisphere.com/honorees/ NYSE Governance Services 社 社長 アダム・ソドウィック(Adam Sodowick) Adam.Sodowick@nyse.com NYSE Governance Service 社の最高執行責任者(COO)として製品・市場戦 略・マーケティングを担当した後、現在は社長。 現職以前は、単調でコストの高い法規制コンプライアンス研修という積年の問題 の解決を目指して True Office 社を設立。ストーリーや遊びを通じて学習すると いう人間の生来の傾向に着目し、企業のリスク特定、経費節減、複雑でリスク感 度の高いビジネス問題について楽しみながら学ぶ従業員教育を支援する、豊富な データを盛り込んだデスクトップとモバイル向けのコンプライアンスアプリケー ションを開発した。 創業以来、True Office 社は急成長を見せ、多くのフォーチュン 500 企業からコ ンプライアンス研修ソリューションとして採用された。GRC(ガバナンス・リ スク・コンプライアンス)や技術革新分野の多くの賞を受賞し、BBC、ウォール ストリートジャーナル、フォーブス誌、フォーチュン誌が毎年発行する Fortune 500 特集号など多数のメディアで大きく取り上げられている。 True Office 社は当初は Morgan Stanley Strategic Investments 社のパートナ ーシップ・フォー・ニューヨークシティ基金(The Partnership for New York City Fund)、Rho Ventures 社から支援を受けていたが、2014 年 10 月、ニュ ーヨーク証券取引所の親会社であるインターコンチネンタル取引所に買収された。 True Office 社創業前には 50 Lessons 社を共同創業して CEO を務め、この間、 受賞歴のある「50 Lessons Digital Business Library」の制作を主導した。こ んにち、50 Lessons ライブラリは世界のビジネスリーダーの知見を集めた世界 的に卓越したマルチメディア資料として広く認められている。各資料はデジタル ライブラリに収録され、様々な経路を通じて世界中の 350 以上の企業や学術機関 に販売されている。ソドウィック氏は、ハーバードビジネススクールプレスが出 版する 24 巻からなるベストセラーシリーズ「Lessons Learned: Straight Talk From The World’s Top Business Leaders」の出版プロジェクトを構想、主導 した。当初は BBC の支援を受けた 50 Lessons 社は、2011 年にスキルソフト 252 サイバー教育は終わりのない仕事 社に買収された。 253 サイバーセキュリティに対 応した取締役会の構築 Korn Ferry 社 シニア・クライアント・パートナー 兼グローバル・サイバーセキュリティ・プラクティス共同リーダー ジェイミー・カミングス 同社 取締役会 /CEO アドバイザリーサービス担当副会長兼共同代表者 ジョー・グリースディック 同社 シニア・クライアント・パートナー 兼グローバル・サイバーセキュリティ・プラクティス共同リーダー アイリーン・アレクサンダー 254 サイバーセキュリティに対応した取締役会の構築 大企業を根底から揺るがしうる可能性を秘めたサイバーセキュリテ ィ侵害が、規模・頻度ともに増大していることを踏まえると、サイバ ーセキュリティは全社的に重要な課題になっています。サイバーイン シデントは一般的な出来事になり、標的にされる企業は知的財産の侵 害や窃取、重要データや基幹インフラの滅失や毀損、重要業務の中 断、顧客、投資家、社員からの信用失墜などの被害を受ける可能性が あります。企業の価値や評判へのより長期的な損害ははかりしれませ ん。 驚くべき統計値 IT、セキュリティ、ビジネスエグゼクティブ 9700 人以上を対象 としてプライスウォーターハウスクーパーズ社(PwC)が実施し 1 た「2015 年グローバル情報セキュリティ調査」 によれば、回答者が 検知したセキュリティインシデント総数は、2013 年から 48% 増加 し 2014 年は 4280 万件に達したことが分かりました。1 日当たり 11 万 7339 件の攻撃を毎日受けていることになります。また米国 ITRC (The Identify Theft Resource Center、 な り す ま し 詐 欺 情 報 セ ン タ ー)は、米国のデータ侵害が前年比 27.5% 増の 783 件と史上最悪を 2 記録したことを報告しています。 読者の皆さんが外からの敵を寄せつけない現代の城濠を築くことを 考えているなら、PwC、CSO マガジン、カーネギーメロン大学ソフ トウェア工学研究所 CERT、米国シークレットサービスが共同で実施 した「2014 年米国サイバー犯罪調査」3 の結果を考えてみるとよいで しょう。この調査ではじつに回答者の約 3 分の 1 が部外者によるイ ンシデントよりも内部関係者の起こした犯罪のほうが損失・損害が大 きいと答えています。また、モノのインターネット(IoT)が次第に 増えつつあるバーチャルエコシステムでは、従来のファイヤウォール では保護を保証できませんし、社員は毎日、スマートフォンやコンピ 255 ュータなどネット接続されたデバイスを持ち歩いています。故意か否 かにかかわらず、これらのデバイスが企業の存続を脅かしかねない脅 威を招く可能性があるのです。 このようなサイバー攻撃対象領域の大幅な拡大とそれに伴う侵害 が、膨大な経済的損失をもたらします。戦略国際問題研究所の 2014 年 6 月の調査 4 によると、サイバー犯罪が世界経済に与える年間被害 額は、3750 ~ 5750 億ドルと推定されます。Gartner 社は、2015 年 には支出総額が 8.2% 増加し 769 億ドルに達すると見込んでいます。5 これほどはっきりした警鐘はほかにないでしょう。それではこの警 鐘による気付きをどうすればよいのでしょうか。それは気づきを行動 計画につなげることです。CEO や取締役会は、こうした事態やセキ ュリティ侵害が及ぼす長期的で壊滅的な影響に気を配ってはいます。 しかしながら、いざ不可避の事態が起きたさい、組織にとって最適 な防御態勢をとり、すみやかに効果的に対応するためにどのような慣 行が推奨されるのかについては、驚くほど知識が乏しいのです。率直 に言いましょう。セキュリティ侵害を防ぐ絶対確実な方法はありませ ん。しかしながら、実証済みで体系的な取り組みを行うことで、企業 の存続と消滅の明暗を分けることはできるのです。 経営トップの団結 サイバーセキュリティは知らぬ間に密かに進行する脅威です。もっ とも壊滅的なものを含め、セキュリティ侵害の多くは、すでに損害が 出てしまってから露見しています。最近セキュリティ侵害の 4 分の 3 近くは検知されないままであるという推測を発表したサイバーセキュ リティ企業もあります。これではどんな取締役会や経営陣も無関心で はいられません。ご自身の会社がまだ被害を受けていないばあい、そ れは会社が賢明であったからという可能性もありますが、単に幸運だ ったという可能性のほうが高いのです。侵害は時間の問題と考えるべ 256 サイバーセキュリティに対応した取締役会の構築 きですし、ひょっとすると検知されていないだけですでに侵害されて いる可能性すらあります。そうである以上、しかるべく計画を立てま しょう。 さて、サイバーセキュリティは比較的短期間のうちに「IT 部門内 に閉じて扱うことのできた問題」から「取締役会で日常的に議題にの ぼる問題」へと変化しました。同時に「重大な脅威」の定義は「トロ イの木馬を発見すること」や「ウイルス対策ソフトをアップグレード すること」から「企業の心臓部を攻撃し死に至らしめうるもの」に見 直されました。サイバーセキュリティにたいする見方やその重要性も 「取締役会の興味をほとんどひかなかったもの」から「取締役会のリ スク・マネジメント・フレームワークに含むべき優先度の高い課題」 へと変化しています。 つまり CEO と役員にとってサイバーセキュリティ問題への対応は 自身に課された新たな役割となります。従来の専門分野とはかけ離れ ているので、役員の多くがこの問題に対応する準備が十分できていな いように感じています。しかしながらすべての取締役会は、自社が相 応の態勢を整えて進化をつづけるサイバー問題に取り組んでいるとい う安心感を取締役会や経営陣だけでなく投資家にも与えなければなり ません。そのためには、サイバー脅威と戦うための検証済みの手順や 適切なリソースの力を借り、準備対応計画を実施しなければなりませ ん。 実際のところ、経営的な観点から、経営トップや取締役会にとって サイバーセキュリティは何を意味するのでしょう。どうすれば経営層 はサイバーセキュリティという倒しても倒しても蘇ってくる怪物の見 張りのような役割を務められるのでしょう。そのためにはまず、サイ バー脅威に関して取締役会のメンバー全員が同じ言葉を話さなければ なりません。役員はビジネス畑の人間ですからビジネスの言葉を共通 語にするべきです。 257 適切な質問を投げかける 民間部門のサイバーセキュリティ専門家で、ジョージ・W・ブッシ ュおよびバラク・オバマ両大統領の元サイバーセキュリティ補佐官を 務めたメリッサ・ハサウェイは「サイバーセキュリティが貸借対照表 の言葉に言い換えられるまで、取締役会の完全な支持を受けることは 決してないでしょう」6 と述べています。また、サイバーセキュリテ ィが重大リスクに認定されたら、ほかのリスクマネジメントと同じプ ロセス、同じ厳正さをもって管理し、鍵となる分かりやすい指標を用 いてつねに取締役会の経営ダッシュボードに表示しておくべきだとも 訴えています。「技術用語」や役員を混乱させる専門用語は、取締役 会に持ちこんではならないのです。 しかしながら実際の取締役会では、技術用語や専門用語をビジネス 用語に翻訳する過程でサイバーセキュリティが与える影響規模が埋没 してしまい、うまく伝わらないことが多いのです。このため、なだれ のように舞い込む情報の専門用語をかきわけて進まないかぎり、役員 にはリスクの大きさやそれを軽減するための手順が明確に見えてこな いかもしれません。くわえて、企業はインターネットが利用可能な状 態であることに依存していますが、インターネットはセキュリティや それにまつわる事項を念頭に置いて発明されたわけではありません。 こうした事情から、いざセキュリティ侵害が発生したばあいに取締役 会が付随するリスクとコストを算出できるようにするには、想定され るコストを技術用語や専門用語に埋没させず、資本や経営の用語で説 明する必要があります。 ハサウェイによれば、役員はチームとしての結束と、サイバーセキ ュリティの正確な認識を保証するため、普段から次のような質問を投 げかけるべきだといいます。 258 サイバーセキュリティに対応した取締役会の構築 ▪会社全体の計画策定プロセスに、サイバーリスクが含まれている か。取締役会は、サイバーリスクをより大きなリスクフレームワー クの一要素として盛りこみ、エクスポージャー(保護すべき組織の 情報がサイバー侵害により漏えいすること)を意識した対応計画を 策定することを保証しなければならない。 ▪セキュリティ評価および責任評価のプロセスは、どのようなもの か。取締役会は、実施する管理策の内容だけでなく、その評価手法 も知っておく必要がある。 ▪専門知識をもつ役員がいるか。取締役会に技術全般の知識は不要か もしれないが、IT と IT 関連リスクを理解するか、セキュリティ分 野の経験をもつ役員が 1 人以上いるとよいだろう。 ▪この課題にたいする役員の責任の所在を、明確にしているか。 CEO は、サイバーセキュリティのマネジメント方法とビジネスへ の実コストを確認できるような管理策を導入すべきである。この管 理策は、内部監査と外部監査の両方の対象に含める必要がある。 ▪侵害が起きたばあいに何をすべきかを理解しているか。問題が起き たばあい、社内外と効率よく情報を交換し、付随コストを処理する ためのプロセスを導入する必要がある。 サイバーリスクの監督 取締役会は徐々に、サイバーセキュリティ分野の経験をもち、広く はセキュリティの専門知識を備えた役員をメンバーに加えはじめてい ます。しかしながら、専門的な経歴をもつ役員を必ず選任すべきとい うわけではありません。各社の特性や事業展開業種に左右される部分 も大きいので、ケース・バイ・ケースの判断が求められます。取締役 会の経験不足はたいてい、必要に応じて助言を仰ぐため、適切な専門 家を確保することで補えます。したがって、取締役会ではこの特殊な 人材への需要が高まりはじめています。 259 前述のように、取締役会のもっとも重要な役割は適切な質問を投げ かけるかどうかであることが多いのです。適切な質問を投げかけるた めには、ビジネスの知恵や昔ながらの常識が必要ですが、そこには必 ずしもサイバーセキュリティの技術的知識は求められません。 CEO および企業の最高の監督役として、取締役会には企業のリス クポートフォリオを管理する責任があり、なかでもサイバーセキュリ ティが現在は重要な部分を占めています。適切に監督するには、現場 レベルのリスクマネジメント業務に関与するのではなく高次の監督機 関としての役割を維持します。そこで少数の重要分野に焦点を絞るこ とで、取締会は受託者義務を十分に果たすことができます。 CEO は、重要なポジションにもっとも有能な人材を配置すること を取締役会に保証しなければなりません。同じ保証はサイバーセキュ リティを管理するチームと指導者にたいしてもなされるべきです。サ イバーセキュリティをおろそかにすると失うものが大きすぎるからで す。 役員は、主なサイバーセキュリティリスクに加え、リスクに効果的 に対処するための復旧プロセスと期間をつねに把握しておく必要があ ります。たしかに誰も役員にコンピュータの専門家であることを求め てはいませんが、侵害を防ぐため自社が実施している予防措置につい てたずね、対応能力・復旧能力とともに十分な予防措置がとられてい るという満足のゆく回答を役員は経営陣から引き出すべきです。くわ えて、脅威にたいする意識啓発や侵害発生時に講じる段階別の対応計 画の実際を保証するため、全社員への教育に関する情報を入手すると よいでしょう。 中核をなす取締役会 サイバーセキュリティは IT の垣根をこえて企業トップレベルの懸 念として浮上してきました。その主な理由は株主価値、市場シェア、 260 サイバーセキュリティに対応した取締役会の構築 風評、長期的な企業存続に壊滅的な影響を及ぼす可能性があるからで す。サイバーセキュリティは、従業員や社風、リスクマネジメントを すべてひっくるめ、部門や階層のすべてにまたがる課題であると同時 に、セキュリティや技術、プライバシー、コンプライアンスのすべて にまたがる課題でもあります。このためにサイバーセキュリティは取 締役会の負う重大な責務のなかでもしかるべく高い位置を占めていま す。なぜなら、企業資産の保護責務、とくにデジタル資産の保護責務 が、組織全体のリスクポートフォリオの一環として取締役会の責任に 含まれるようになってきたからです。 実際、サイバー・リスク・マネジメントは従来のリスクマネジメン トとそう大きくはちがいません。ですから、従来と同じように管理 し、定期的に状況を追跡し、対処できるように、取締役会の経営ダッ シュボードに表示しておかなければなりません。 取締役会のメンバーにサイバーセキュリティの専門家がいないばあ い、そうした経験をもつ役員が必要と即断するのではなく、自社の状 況から想定されるニーズを真摯に判断すべきです。取締役会が(一般 にリスク監督業務を担う)監査委員会、サイバーセキュリティ特別小 委員会、またはサイバーセキュリティ専門委員会に、この種の専門人 材を求めるばあいもあります。一部の取締役会はこうした専門人材を 採用していますが、多くの取締役会はとくに採用は行わず、社内の技 術専門家や外部コンサルタントから参考情報を入手し、重要な意思決 定を行うために必要な知識を得ています。こうした解決方法は多岐に わたり、各社の状況に合わせて進化しつづけています。 CEO と取締役会役員は総じて優秀な人間のあつまりです。特定分 野の専門家でなくても、戦略策定、後継者育成計画、リスクマネジメ ントなど、自らが受託者責任を果たすべき重要分野を監督することは できます。サイバーセキュリティも数あるリスクのひとつですが、生 まれたばかりで、変化が激しく、ほとんどの役員にはなじみがないリ スクでもあります。取締役会全員にとってサイバー・リスク・マネジ 261 メントがなじみある分野になるのは何年も先のことでしょう。そのた め、役員がこの分野を補強する必要があるなら、いつでも外部の追加 的リソースを利用すればよいのです。 実際、役員は株主だけでなく自分自身にたいしても、サイバーセキ ュリティを監視し、先を見越して積極的な取り組みを策定するという 包括的なセキュリティ態勢整備に責任を負っています。というのは、 サイバーセキュリティが脚光を浴びる傾向が今後も続くことが予想さ れるなか、役員が個人的なリスクに直面するかもしれないからです。 つまり、役員が適切とみなされる措置を講じていないばあい、会社役 員賠償責任保険(D&O 保険)では不十分な可能性があるのです。今 後も優秀な役員を集めたければ、取締役会は包括的な企業リスクマネ ジメントへの取り組みの一環として、サイバー保険の追加を検討すべ きです。ハーバード・ロー・スクールのコーポレートガバナンスと金 融規制に関するフォーラムには先日、こんな記事が投稿されました。 「大規模なサイバー攻撃と、こうした侵害に付随する多額の費用とい うつねに存在する現実のリスクから身を守るため、米国のいかなる企 7 業もサイバー保険への加入を見合わせてはならない」 サイバーセキュリティの課題に対応するフレームワ ーク サイバーセキュリティの課題に適切に対応し、あらゆる侵害への準 備と迅速な対応を確保するうえで何より重要なことがあります。それ は、自社のニーズに合わせカスタマイズできるフレームワークが取締 役会に必要であると理解することです。フレームワークの個々の領域 を掘り下げることで新たな責務やスケジュールが見えてきますが、そ の大部分は経営陣の職務になるでしょう。 取締役がサイバーセキュリティの監督に関わるさいのベースライン には次の 6 つの要素を含めるべきです。 262 サイバーセキュリティに対応した取締役会の構築 1. セキュリティ戦略 取締役会は、先を見越して積極的に資産を守り、進化する脅威と変 化する規制要件に対応するための、戦略的ビジョンおよび戦術的ロ ードマップが社内で策定されることを保証する。 2. 方針・予算レビュー 取締役会は、企業のセキュリティ方針、関連するすべての指導者の 役割と責任を評価する。あわせて、十分な資金を調達するためデー タセキュリティ関連、プライバシー関連予算についても評価を行 う。 3. セキュリティ分野の指導者 取締役会は、サイバー・リスク・マネジメントに向けた全社的計画 を策定、伝達、実行するため、社内に信頼できる指導者および人材 を確保できていることを確認する。 4. インシデント対応計画 取締役会は総合的なインシデント対応計画の策定を監督しなければ ならない。またその対応計画は広く周知され、予行演習とストレス テストを十分に行ったものでなければならない。 5. 継続的な評価 取締役会は、社内の脆弱性と外的な脅威を対象として、自社の情報 セキュリティ能力の徹底的な評価を定期的に実施しなければならな い。 6. 社内教育 取締役会は、全社員がサイバーセキュリティにたいする責任を受け 入れる環境を作るため、会社が強固な広報・教育プログラムを実施 することを保証する。 263 サイバーセキュリティ戦略 企業にはサイバーセキュリティ戦略が必要です。そうでなければ、 包括的な作戦にしたがって行動できず、次々発生する脅威にもぐらた たきのように場当たり的な対応をするはめになります。もちろんサイ バー脅威やサイバー侵害を完全になくすことはできません。しかしな がら、周到な計画策定と迅速な対応のための手順があれば、被害を大 幅に軽減することは可能です。 ある意味で、効果的なサイバーセキュリティマネジメントとは経営 トップから始まるものです。取締役会は、今後必要になりそうな追加 リソースを含め、何をどのように管理するのかを把握していなければ なりません。ただし、サイバー脅威との戦争にたいする最終的な責任 を負うのが取締役会であっても、日々続くサイバー戦争の最前線にい る者として全社員が階層の上下を問わずおのれの役割を理解しておく 必要があります。なぜなら、脅威はどこから襲ってくるか分からない からです。 さらにいえば、米国証券取引委員会がサイバーセキュリティを重要 課題とし、規制環境をますます強めていることを踏まえると、取締役 会の承認・監視を受けた入念な計画にもとづいたベストプラクティス を遵守するほうが、社外から規制を課されるよりはるかに望ましいは ずです。こうした現在の方向性から、上場企業は近い将来、データ侵 害を含む自社のサイバーセキュリティの脆弱性について、一層多くの 情報開示を義務づけられるでしょう。 結局のところ、この比較的新しく、絶えず変化しつづけ、壊滅的な 被害をもたらすおそれがあるリスクから本当に自社を守りたければ、 取締役会は経営陣と協力し、サイバーセキュリティ意識の高い社風を 形成しなければならないのです。 264 サイバーセキュリティに対応した取締役会の構築 1 http://www.pwc.com/jp/ja/advisory/research-insights-report/information-security- 2 http://www.idtheftcenter.org/ITRC-Surveys-Studies/2014databreaches.html お よ び 3 4 5 6 7 survey2015.html『グローバル情報セキュリティ調査 ®2015』第 2 章「インシデント と財務的影響の増大は続く」 http://www.idtheftcenter.org/images/breach/DataBreachReports_2014.pdf か ら の 引用。 http://www.pwc.com/us/en/increasing-it-effectiveness/publications/2014-us-stateof-cybercrime.html 2014 US State of Cybercrime Survey p.9 http://www.mcafee.com/us/resources/reports/rp-economic-impact-cybercrime2. pdf https://www.csis.org/events/estimating-cost-cyber-crime-and-cyberespionage お よ び https://csis-prod.s3.amazonaws.com/s3fs-public/legacy_files/files/ publication/60396rpt_cybercrime-cost_0713_ph4.pdf http://www.gartner.com/newsroom/id/2828722 Hathaway, Melissa. “Translating Cyber-risks into Business Terms.” Chap. 1 in Korn Ferry Market Cap 100 2014: Adding Cybersecurity to the Board’s Risk Portfolio. Los Angeles, Calif.: Korn Ferry Institute, October 10, 2014. https://corpgov.law.harvard.edu/2014/11/13/cyber-security-cyber-governanceand-cyber-insurance/ Korn Ferry 社 シニア・クライアント・パートナー兼グローバル・サイバーセキ ュリティ・プラクティス共同リーダー ジェイミー・カミングス(Jamey Cummings) Jamey.cummings@kornferry.com Korn Ferry 社グローバル・テクノロジー・プラクティスのシニア・クライアン ト・パートナー。同社のグローバル・サイバーセキュリティ・プラクティスを共 同で指揮し、インフォメーション・オフィサーズ・プラクティスのメンバーでも ある。 取締役会を含めた全レベルの情報セキュリティ・リスク管理人材の採用・評価・ 育成・確保に関して、組織へのアドバイス提供の第一人者として定評がある。ク ライアントの業種は幅広く、大手グローバル企業から急成長中の新興企業まで多 岐にわたる。最高情報セキュリティ責任者やセキュリティ部門の主なリーダーに 加え、一流専門サービス企業のサイバーセキュリティコンサルタントおよび全般 的なセキュリティコンサルタント、サイバーセキュリティ技術企業やマネージ ド・セキュリティ・サービス・プロバイダーの経営トップの採用も行っている。 Korn Ferry 社のダラスオフィスに勤務。 265 現職以前は、別の一流エグゼクティブサーチ会社で製造業・サプライチェーン・ 運輸・物流分野のアソシエイト・プリンシパルを務め、官民企業にシニアエグゼ クティブ人材を紹介する業務を担当した。消費者・小売、テクノロジー、政府・ 国防、バイオテクノロジー、教育分野のクライアントにもサービスを提供した。 それ以前は、ダラスにある The Boston Consulting Group 社のコンサルタント として、航空宇宙・国防、消費者金融、電話通信、石油・ガス、製薬、医療、教 育業界のクライアントと幅広いプロジェクトに従事した。 キャリア初期には、米国海軍特殊部隊シールズの将校を 9 年間務め功績を残した。 米国海軍兵学校で航空工学学士号、スタンフォード大学で経営学博士号を取得。 Korn Ferry 社 取締役会 /CEO アドバイザリーサービス担当副会長兼共同代表者 ジョー・グリースディック(Joe Griesedieck) joe.griesedieck@kornferry.com Korn Ferry 社取締役会 /CEO アドバイザリーサービス担当副会長兼共同代表者。 主に多様な業界の取締役人材サーチに携わるほか、取締役会と連携して後継者育 成計画などの上級人材管理ソリューションに関わる。現職以前は、他の国際人材 紹介会社でグローバル CEO を 2 期務め、この会社の北米における戦略的リーダ ーシップ・サービス・プラクティスを共同で指揮した。エグゼクティブサーチ業 界に入る前は、Alexander & Baldwin 社のグループ副社長を務めた。ニューヨー ク証券取引所上場企業である Falstaff Brewing 社にも数年間勤務し、役員を経て 社長兼 COO として任期を全うした。全米取締役協会(NACD)から、取締役会 によるコーポレートガバナンスにもっとも大きな影響を与えた人物をリストアッ プした「ダイレクターシップ 100」に選出された。 ブラウン大学卒業。 Korn Ferry 社 シニア・クライアント・パートナー兼グローバル・サイバーセキ ュリティ・プラクティス共同リーダー アイリーン・アレクサンダー(Aileen Alexander) aileen.alexander@kornferry.com Korn Ferry 社のシニア・クライアント・パートナー兼グローバル・サイバーセキ ュリティ・プラクティス共同リーダー。同社ワシントンオフィスに勤務し、グロ 266 サイバーセキュリティに対応した取締役会の構築 ーバルテクノロジー・アンド・インフォメーション・オフィサーズ・プラクティ スのメンバーでもある。 リーダー人材アドバイザーとして定評があり、取締役会を含め全レベルの情報セ キュリティリスク管理人材の採用・評価・育成・確保に関し多様な顧客基盤と接 している。クライアントの業種は幅広く、大手グローバル企業から急成長中の新 興企業まで多岐にわたる。最高情報セキュリティ責任者やセキュリティ部門の主 なリーダーに加え、一流専門サービス企業のサイバーセキュリティコンサルタン ト、サイバーセキュリティ技術企業やマネージド・セキュリティ・サービス・プ ロバイダーの経営トップの採用も行っている。 人材管理業界に入る以前は国家安全保障分野の仕事に関わり、もっとも新しいと ころでは米国下院軍事委員会のプロフェッショナル・スタッフ・メンバーを務め た。この職務の一環として、米国議会メンバーによる国防省やエネルギー省の一 部機能に関連する監視活動についてコンサルティングを行った。専門分野は、ア ジア、アフリカ、南米の国際防衛問題および核不拡散、国家防衛関連のプログラ ムや活動など。軍事作戦を中心に世界各地を旅した経験があり、国防権限法を起 草した。 過去には米国防長官府大統領マネジメントフェロー、米国陸軍通信担当将校を務 めた。 ジョンズホプキンス大学で学士号、ハーバード大学ケネディ行政大学院で公共政 策博士号を取得。 サイバーセキュリティと 法的側面 情報セキュリティ マネジメントと 企業の責任 TMI 総合法律事務所 弁護士 大井 哲也 270 情報セキュリティマネジメントと企業の責任 1 大規模情報漏えい事件の衝撃 2013 年、大手通信教育関連会社が顧客情報約 2895 万件を流出さ せたという大規模情報漏えい事件が各メディアで大きく取り上げられ ました。流出させたのはこのデータベースの保守管理業務を委託して いた 100% 子会社に派遣されていた元システムエンジニアで、販売目 的で意図的にデータを持ち出し、名簿業者に売却していました。持ち だされたデータにはクレジットカード情報こそ含まれていなかったも のの、登録者と登録者の子供の氏名、性別、生年月日、続柄、住所、 電話番号、出産予定日、メールアドレスなどが含まれており、名簿を 購入した企業が登録者にダイレクトメールを送付したことから、同社 への問い合わせが相次ぎ、事件が発覚しました。 委託先派遣社員が引き起こしたこの事件は今も同社に深刻な影響を 与えています。事件後、同社の主力サービスである通信教育講座の 会員数は 28 万人減少し、2016 年 3 月期決算では純損失 82 億円を計 上しました。事件から 3 年が経過した現在も信頼回復は思うように 進まず、株主は当時の役員 6 名を相手取り顧客への補償費用を含む 260 億円の損害賠償を求める訴訟も起こしています。さらに 2016 年 5 月 11 日には引責のかたちで同社の会長兼社長が退任を発表しまし た。 それでは、企業が、そして企業幹部が、どのような場合に民事責 任、刑事責任を負わなくてはならない可能性があるのでしょうか。こ の事件の構造を一般化して考えてみることにしましょう。 2-1 情報漏えいインシデントが生じた際の情報システムユーザーに 生じる責任 情報システムのユーザーである A 社は顧客とのサービス契約およ びプライバシーポリシーに基づき、顧客から個人情報を入手してお り、この個人情報をデータ取り扱い・処理事業者の B 社にデータ処 271 顧客 サービス契約 攻撃者 ユーザーが収集 した個人情報 刑事責任 プライバシーポリシー 民事責任 データ処理業務委託 ユーザー データ取扱・処理事業者 役員 役員責任 会社 = 株主からの損害賠償請求のための代表訴訟 役員 民事上の損賠賠償責任 個人情報保護法上の責任 理業務委託をしています。そして、この B 社の取り扱う顧客情報が 未知の攻撃者により窃取されたとします。 この場合、見方によっては単なるサイバーアタックの被害者とも思 える A 社にはどのような責任が生じるでしょうか。 A 社は役員責任、個人情報保護法上の責任、また顧客に対し民事上 の損害賠償責任等を負います。 このうち「役員責任」が生じる根拠として最も問題となるものとし ては、会社法上の「内部統制構築義務」すなわち A 社の情報システ ムのユーザーとして情報システムの安全性を管理する義務が挙げられ ます。 以下では、この役員責任につきもう少し深く検討していきます。 2-2 役員の責任 (1)内部統制構築義務 先に述べたように、役員責任の法的根拠のうち最も問題となるのは 272 情報セキュリティマネジメントと企業の責任 内部統制構築義務と考えられます。内部統制構築義務とは、大規模な 会社の場合、業務の分掌化が進み、取締役が個々の業務を監視するこ とが困難であることから、株式会社の業務が法令・定款に適合するこ とを確保する体制を構築しなければならない取締役に課された会社法 上の義務のことをいいます。たとえば、企業不祥事が発生した場合、 直接の原因を作った従業員がいるはずですが、 「役員は個々の従業員 の活動を逐一チェックできないから、役員には責任がない」と役員が 責任逃れをしたら皆様はどう思われるでしょうか。この場合の役員の 責任とは、善管注意義務を意味します。取締役が個々の従業員の活動 を逐一チェックできないのであれば、あらかじめ法令・定款に適合し た活動ができるような体制(内部統制システム)を構築すべきであ り、それが取締役の善管注意義務の内容だ」という論理です。 それでは具体的にどのような場合に役員はかかる善管注意義務を負 うのでしょうか。 (2)善管注意義務違反が生じるケース 役員は会社から経営の委任を受けたものとして「善管注意義務」を 負います。善管注意義務の内容は、役員の職務、期待される役割によ って決定されます。たとえば、CISO のように、情報セキュリティ、 リスク管理に関する専門知識・能力を有する役員については、情報管 理システムの注意義務の程度も他の役員に比して高くなるといえま す。 役員が善管注意義務を負うケースとして、まずセキュリティ・リス クが存在するにもかかわらず、その認識をしていないケースが挙げら れます。具体的には、 セキュリティ・リスクのセルフチェック(自 己監査)の欠如、第三者チェック(他社監査)の欠如、同業態の事故 事例の分析の欠如、セキュリティの脅威に対する知見不足が見受けら れるケースです。次に、セキュリティ・リスクの存在を認識しつつも け たい それに対する適切なリスクコントロールを懈怠するケースが挙げられ 273 ます。具体的には、リスクに適合的な不足のない、かつ過度にわたら ないシステム構築の選択肢の欠如、セキュリティ対応策の知見不足が 見受けられるケースです。 このような 2 つの類型は、共に善管注意義務が、認められてしま う典型例といえるでしょう。 それでは、かかる善管注意義務違反となる事態をどのような手段を もって回避することができるでしょうか。 (3)善管注意義務違反を回避する手段 善管注意義務違反の有無の判断ポイントは結果発生の有無ではな く、経営判断に至るプロセスの正当性・合理性にあります。具体的に は「リスクを認識し、把握していたか否か」すなわち情報セキュリテ ィ体制の脆弱性についての法的側面、技術側面からの把握ができてい たか、また「認識したリスクをいかにコントロールできていたか」す なわちデータの暗号化、ファイアーウォールの設置のような技術的な 措置を導入するにとどまらず、社内規程や、組織体制等の運用面にお ける整備がなされていたか、という 2 つの要件について問われます。 ここでひとつの目安となるのが、サイバーセキュリティ経営ガイド ラインの履践状況です。法律ではないため法的拘束力はありません が、このガイドラインの履践状況が善管注意義務違反の判断の際には 重要な要素となってくるといえるでしょう。 2-3 情報システムユーザーの顧客に対する民事責任 それでは次に、A 社は顧客に対しどのような責任を負うことになる でしょうか。 A 社はサービス契約等の取引契約(黙示的な付随義務)の債務不履 行に基づく損害賠償責任を負うことになるでしょう。A 社は、顧客に 対して、サービスの提供をする義務のみならず、顧客から預かった個 人情報を安全に管理するという義務も付随的に負っています。 274 情報セキュリティマネジメントと企業の責任 情報漏えいインシデントが生じた際の漏えい元となる企業がユーザ ーに対して負う損害賠償額は年々高額化の傾向にあります。下記に、 実際に起きた事例における損害賠償額について示します。 判例・裁判例 結論 大洲市情報公開条例事件(高松高判平成 16 年 4 月 15 日) 一人当たり5 万円の損害賠償が認められる。 美容関連会社顧客情報流出事件(東京高 一人当たり最高慰謝料 3 万円、弁護士費 通信事業関連会社顧客情報流出事件(大 一人当たり慰謝料 5 千円、弁護士費用 1 社名 結果 判平成 19 年 8 月 28 日) 阪地判平成 18 年 5 月 19 日) 用 5 千円の損害賠償が認められる。 千円の損害賠償が認められる。 アーティストマネージメント会社 500 円のクオカードを給付 クレジットカード会社 1000 円の商品券を給付 大手証券会社 1 万円のギフト券を給付 (1)情報漏えいにつき企業に賠償を命じた判例・裁判例としては下 記の事例があります。 ・大洲市情報公開条例事件(高松高判平成 16 年 4 月 15 日) 公開した情報が、政治的信条にかかわるセンシティブ情報を含 んでいることから、一人当たり 5 万円の損害賠償が認められ る。 ・美容関連会社顧客情報流出事件(東京高判平成 19 年 8 月 28 日) アンケートデータや資料請求のために入力されたデータがおよ そ 5 万人分閲覧可能、二次被害も生じる。一人当たり最高慰 謝料 3 万円、弁護士費用 5 千円の損害賠償が認められる。 ・通信事業関連会社顧客情報流出事件(大阪地判平成 18 年 5 月 19 日) 275 顧客情報(住所、氏名、電話番号、メールアドレス、ID、申 込日)を、業務委託先から同社に派遣され、同社の顧客データ ベースのメンテナンス等を行う業務に従事していた者が外部に 転送。それが DVD-R や CD-R に記録され恐喝未遂犯の手に渡 った事案。一人当たり慰謝料 5 千円、弁護士費用 1 千円の損 害賠償が認められる。 (2)裁判によらず、任意に損害を賠償した過去の事例では、500 円 ~ 1000 円程度の金券・クオカードの給付が比較的多い状況に あります。 ・アーティストマネージメント会社 500 円のクオカードを給付。 通信販売サイトに対する不正アクセスにより、14 万 8680 人 の個人情報(メ―ルアドレス情報 11 万 6911 件、クレジット カード情報 3 万 4988 件、その他)が流出。 ・クレジットカード会社 1000 円の商品券を給付。 クレジットカード会員 7 万 9110 人分の個人情報(氏名、住 所、性別、生年月日、電話番号、住居形態、職業区分、年収区 分)がダイレクトメール会社に流出。外部委託先のサーバーか ら情報が漏れた疑いが濃厚。 ・大手証券会社 1 万円のギフト券を給付した事例。 同社システム部元社員が個人顧客 148 万 3351 人分の情報(氏 名、住所、生年月日、職業、年収区分、勤務先名、勤務先住 所、勤務先電話番号、勤務先部署名、役職、業種)を不正に持 ち出し、そのうち 4 万 9159 人分を名簿業者に売却、これによ り顧客に対して新規公開株や投資用マンションの勧誘等が頻繁 になされるようになった。 276 情報セキュリティマネジメントと企業の責任 (3)昨今の情報漏えい事件で被害者に支払われた損害賠償額を平均 すると、一人当たり 4 万 1192 円となります。そして、被害者 に対する損害賠償金額が算定されるにあたっては、主に下記3 つの基準をもって判断がなされると考えられます。 ①その個人情報の価値 センシティブ情報か否か、本人を特定し易いか否か。 ②情報漏えい元の社会的責任度 個人情報の適正な取り扱いを確保すべき個別分野の業種、公的 機関、知名度の高い大企業か否か。 ③事後対応の評価 特に、顧客の資産状況、財務内容などの秘匿性の高い情報か否 か。 2-4 最後に 情報セキュリティに対する内部統制システム構築のため、企業はど のようなアクションプランが必要となるでしょうか。 ①自己監査のためのマッピング 「誰が」 「どこに」 「どんな媒体で」 「いかなる情報を」「どのよ うな手段で」入手し、保管しているかを将来起こりうる情報漏 えいインシデントに備え、しかるべき体制構築をしておく必要 があります。 ②セキュリティリスクの洗い出しのための第三者監査(Due diligence) 「いかなる情報」が「どのような流出経路」で「どのくらいの ボリュームで」流出するのか、その場合の「経済的な損害」は どれくらいの規模であるのか、第三者に監査を依頼し、適切に 把握、かかるリスクへの対応とつなげる必要があります。 277 上記のように具体的なセキュリティ施策を講じていくことは、情報 漏えいインシデントに対する防止策という消極的アプローチだけでな く、いつサイバーアタックが起きてもおかしくない今日のインターネ ット社会において、企業がかかる状況に臆することなく積極的に経済 活動を進めていくことのできる契機となるといえるでしょう。 TMI 総合法律事務所 弁護士 大井 哲也(おおい てつや) 〒 106-6123 東京都港区六本木 6 - 10 - 1 六本木ヒルズ森タワー 23F 電話 : 03-6438-5554 メール : toi@tmi.gr.jp Web サイト : www.tmi.gr.jp 1972 年生まれ、中央大学大学院法学研究科博士前期課程修了、ウィリアム・リ チャードソン・スクール・オブ・ロー卒業。 ソフトバンク・ファイナンス、カールスミス・ボール法律事務所を経て現在 TMI 総合法律事務所パートナー弁護士。 主な取扱分野は M&A、IPO、企業間紛争 ・ 訴訟。 クラウドコンピューティング、インターネット ・ インフラ / コンテンツ、SNS、 アプリ ・ システム開発、情報セキュリティの各産業分野における実務に精通し、 情報セキュリティマネジメントシステム(ISMS)認証機関公平性委員会委員長、 社団法人クラウド利用促進機構(CUPA)法律アドバイザー、経済産業省の情報 セキュリティに関するタスクフォース委員を歴任する。 取扱分野一覧 IT・通信、アジア、労働審判・労働関係訴訟等への対応、M&A、IPO における労 務デュー・ディリジェンス、人事制度の構築・運用、消費者関連法、コーポレー トガバナンス、M&A、起業・株式公開支援、不正調査、反社会的勢力対応 278 情報セキュリティマネジメントと企業の責任 所属・登録一覧 東京弁護士会(2001) 経営法曹会議(2008) ISMS 認証機関公平性委員会委員(2008) 早稲田大学ビジネススクール講師(2010) 東京弁護士会 民事介入暴力対策特別委員会(2010) 経済産業省 商務情報政策局情報セキュリティ政策室有識者ワーキンググループ 委員(2012) プライスウォーターハウスクーパース株式会社 サイバーセキュリティセンター アドバイザリーボードメンバー(2013) 株式会社ジェイアイエヌ 監査役(2013) 株式会社マーケットエンタープライズ 監査役(2014) テックファームホールディングス株式会社 監査役(2015) 279 重要インフラとサイバー セキュリティ 重要インフラのサイバーセ キュリティ強化 一般社団法人日本経済団体連合会 サイバーセキュリティに関する懇談会 座長 梶浦 敏範(株式会社日立製作所 上席研究員) 282 重要インフラのサイバーセキュリティ強化 2015 年 12 月、ウクライナで大規模な停電があり 22 万人以上が影 響を受けたと報道されました。のちに、これが電力網を狙ったサイバ ー攻撃によるものだったことがわかり、関係者に衝撃を与えました。 2014 年 11 月の大手映画配給会社からの情報流出、2015 年 5 月の 日本年金機構からの情報流出なども、サイバー攻撃によるものだった ことがわかっています。ウクライナの事案は、サイバー攻撃が単に情 報流出に留まらず、社会の重要インフラを止めるところまで来たこと を表しています。 情報は個人にとっても企業にとっても非常に重要なもので、これが 流出するということは重大なことだと思います。しかし、電力という 社会を存続させるための基本的な資源を止められるというのは、一層 大きな脅威ではないでしょうか。電力の喪失は経済に大打撃を与える だけでなく、直接的に人命を奪うことにもつながるのです。 その脅威は電力・エネルギー分野に限りません。日本政府は、重要 インフラ分野として下記の 13 分野を特定しています。 情報通信、金融、航空、鉄道、電力、ガス、政府・行政サービス、 医療、水道、物流、化学、クレジット、石油 日本の重要インフラとこれを支える企業は、自然災害や事故に対し ては十分な経験とよく訓練された対応能力を持っています。しかし、 サイバー攻撃は新しい脅威であり、企業としての認識も対応策も十分 であるとは言えません。 そこで経団連では、2014 年 11 月に「サイバーセキュリティに関 する懇談会」を発足させ、課題の抽出と対応策を議論することにしま 283 した。集まっていただいたのは、意識の高い 29 社の皆さんです。ま ず警察庁や防衛省など政府機関、民間のセキュリティ専門企業、技術 や法律を専門とされる大学教授らを招き、全般的な共通認識を持つこ とに努めました。 次にメンバー企業のおおむね半数から、自社の取り組みや課題、政 府や学界に望むことなど、生々しいお話を伺いました。その結果とし て、2016 年 2 月「サイバーセキュリティ対策の強化に向けた提言」 を公表しました。 http://www.keidanren.or.jp/policy/2015/017_gaiyo.pdf ここでは、重要インフラ等に対するサイバーセキュリティ対策とし て、 ・情報共有の強化 ・演習の実施等 ・技術開発とシステム運用 ・人材育成の強化 ・国際連携の推進 ・重要インフラ分野の見直し ・インターネットの安全性の向上 ・政府の体制整備 を挙げると同時に、産業界自らに対しても「サイバーセキュリティ を経営上の重要課題として、経営層の意識改革や人材育成、業種間の 情報交流や意見交換を促進」することを求めています。 提言公表後「技術開発とシステム運用」の項目に対応するものとし 284 重要インフラのサイバーセキュリティ強化 て、文部科学省の第五期科学技術計画に戦略的イノベーション創造プ ログラム(SIP: Strategic Innovation promotion Program)のひとつ として「重要インフラにおけるサイバーセキュリティの確保」が加え られました。 また「政府の体制整備」の項目に対応するものとして、内閣サ イ バ ー セ キ ュ リ テ ィ セ ン タ ー(NISC: National center of Incident readiness and Strategy for Cybersecurity)の機能が強化され、中央 官庁だけでなく独立行政法人や特殊法人も担当することが決まりまし た。 日本政府はサイバーセキュリティ戦略を改定し、上記 NISC の機能 強化などを含めて、 ・自由、公正かつ安全なサイバー空間 ・経済社会の活力の向上及び持続的発展 ・国民が安全で安心して暮らせる社会の実現 ・国際社会の平和・安定及び我が国の安全保障 を目指すとしています。しかし、このような努力にもかかわらずサ イバー攻撃は新手を繰り出し、脅威は一層増してきました。 そこで経団連「サイバーセキュリティに関する懇談会」は再び議論 を重ね、2016 年 1 月「サイバーセキュリティ対策の強化に向けた第 二次提言」を公表しました。 http://www.keidanren.or.jp/policy/2016/006_gaiyo.pdf 以下その要旨をご紹介します。 285 (1)情報共有 インシデント情報やベストプラクティスは、どの関係者も必要とす るものです。A社にあった攻撃はB社にも、C機関にも起こりうるの です。事前にどのようなことがありそうかを知っておくことは重要で す。 しかし、自社の情報を出せる相手は限られています。顔が見え、信頼 できる仲間である必要があります。いくつかの業界・企業では、情報共 有・ 分 析 の 機 関(ISAC: Information Sharing and Analysis Center) やセキュリティ事案対処チーム(CSIRT: Computer Security Incident Response Team)を持っています。このようなスキームを、まだ導 入していない業界・企業に広めていくべきと考えています。 また、行政から一方的に「情報を出せ、出せ」と迫られるのでは、 企業側も困ります。情報の流通は、官民間でも双方向であるべきで す。 情報を提供する側にとっての心配は、その情報を提供したことによ って機密が漏れたり、ステークホルダー等からの非難や訴訟を受けた りすることです。情報共有を促進するために、機密情報を保全できる スキームが求められます。 (2)人材育成 サイバーセキュリティ人材が不足していることは確かです。しかし 教育機関に講座を増やす、カリキュラムを充実させる、教員を養成す るというだけでは、不足は解消されません。一般にサイバーセキュリ ティ対策業務は、若い世代のものと思われています。そのような人材 が、社会で長く働けるキャリア・パスや処遇体系が必要ではないでし 286 重要インフラのサイバーセキュリティ強化 ょうか。 何年か企業の現場で実践経験を積んだ技術者が、大学院に再入学し て最新の理論を学び、一回り大きくなって企業に戻ってくるようなこ とがごく普通にできるようにしたいものです。人材育成は、社会全体 のスキームにサイバーセキュリティ人材を適切に組み込むことではな いかと思います。そうであるなら、これは産官学そろって協力しなく ては完遂しません。 このたび民間企業 50 社ほどで構成される「産業横断人材育成検討 会」に、産業界が求めるサイバーセキュリティ人材像を示していただ きました。企業のサイバーセキュリティ対策業務を幅広く捉え、管理 職・セキュリティ担当職・担当職・監査等担当の各々が、どういう業 務と責任を担い、どういう知見を持つべきかを文書化したものです。 これを第一歩として、人材育成について産官学で議論と実践を進め たいと思っています。 (3)セキュリティレベルの高いシステムの構築 まず社会システムとしてセキュリティレベルが高いということは、 重要インフラのような必要なところに重層的な防御が組み込まれてい る状態が考えられます。防御は、厚ければ厚いほどいいというもので はありません。全てを守るというのは、全てを守れない結果を招きか ねないとも言います。 また社会のセキュリティを支えるのは究極的には人材なので、上記 「人材育成」とも関係が深いのですが、セキュリティ人材が柔軟に異 動し、必要な時・所に必要な人材が居ることができる環境整備も重要 です。 287 次に情報システムについては、経常的な異常通信の検知やサイバー 攻撃解析などの技術開発が必要です。情報を守る意味で、重要な情報 ほど重層的防御の内側に置くような事も考えられます。 最後に制御システムですが、これは情報を守るというよりインフラ 等の安定稼動を続けるためのタフさが求められます。これらのシステ ムは一般にインターネットには接続していないのですが、基本的なコ ンピュータアーキテクチャは似ているので、USB で渡されたり、メ ンテナンス時にインターネットに臨時につないだりすることもあるの で注意が必要です。 以上のような点を、戦略的イノベーション創造プログラムや IoT (Internet of Things、モノのインターネット)推進コンソーシアムな どの場でも検討されることを期待しています。 (4)国際連携の推進 インターネットにもサイバー攻撃にも、国境がありません。インタ ーネットの安定とサイバー攻撃への対処は、多くの国、特に先進諸国 にとって共通のテーマです。日本政府には、国際的な議論の場での主 導的な役割を期待しています。 上記の「情報共有」にしても、国境を越えた情報共有がますます重 要になってきます。政府間での情報共有に加えて、民間企業同士の国 際的な情報共有ができないものかと考えています。 (5)東京オリンピック/パラリンピックへの対応 2012 年のロンドンオリンピック/パラリンピックでは、激しいサ イバー攻撃があったと言われています。2016 年のリオデジャネイロ 288 重要インフラのサイバーセキュリティ強化 についての報告はまだ受けていませんが、攻撃が緩和されたはずもな く、どのくらい激しくなったかを知りたいと思っています。 2020 年の東京では、攻撃は大会会場・関係機関に限ったものでは なく、首都圏全体に加えられると予想されます。このため全ての重要 インフラとこれを直接・間接に支える企業・機関に、サイバーセキュ リティ対策が求められます。 このために経団連は早期に中核となる CSIRT を設置することや、 演習・訓練の実施、NISC を中心とした体制整備、対策ロードマップ の策定を政府に求めました。その後、政府からは 2019 年ラグビーワ ールドカップから稼動する「政府 CSIRT」を置くとの発表があり、 その他の点も推進されていると認識しています。 いずれにせよ 2020 年と期限を切られていることなので、通常のシ ステムエンジニアとしての能力を持つ人にサイバーセキュリティを習 得してもらうなど、人材を早期に充足させるべきと考えています。 結びに インターネットの黎明期から、サイバーセキュリティは課題のひと つでした。当初は、ホームページを書き換えるなどの愉快犯でした。 電子商取引が盛んになってくると経済犯が現れて、現実的な被害が出 るようになりました。それがインターネットに接続していない決済シ ステムなどにとっても脅威となり、今や重要インフラを制御するシス テムにまで影響が出始めています。 本格的な IoT 時代を迎え「すべてのものがインターネットにつなが る」ことは、すべてのものにサイバー攻撃の可能性があることです。 289 そのような時、重要インフラを守るのはこれを直接・間接に支えてい る民間企業であるケースがほとんどです。しかし現状では、高度な技 術を持ち大規模に組織化された攻撃に抗するのは至難なことです。 企業は重要インフラへの関与や自社の社会的責任の重さに鑑みて、 組織・体制の強化を図る必要があります。CISO(Chief Information Security Officer)を置いて責任権限を強め、CISO を中心として内外 との情報共有、人材育成、システムの強化を継続的に実施すべきで す。CISO には社内の人材を有効活用し、かつ中長期的に組織が強化 されるような「人材エコシステム」を、その企業に適合する形で構 築・運営することも求められます。また、サプライチェーンを含めた 対策も検討する必要があります。 CEO や CFO は CSIO を全面的にサポートするだけでなく、自社の サイバーセキュリティ対策について積極的にステークホルダーに説明 し、その結果として企業価値向上を図って欲しいと思います。 経団連は 2016 年4月「新たな経済社会の実現に向けて」と題し て、IoT 等革新技術の進展や海外の動向を念頭に、わが国において経 済社会全体の革新を実現するために、政府や産業界が取り組むべきこ とを取りまとめ、公表しています。 http://www.keidanren.or.jp/journal/times/2016/0421_01.html この中で来たるべき超スマート社会「Society5.0」を示しています が、その前提となるのはサイバーセキュリティの確保です。サイバ ー攻撃は迫り来る新たな脅威ではありますが、それを乗り越えれば 「Society5.0」が待っているとの前向きの姿勢で取り組みたいもので す。 290 重要インフラのサイバーセキュリティ強化 一般社団法人日本経済団体連合会 サイバーセキュリティに関する懇談会 座長 梶浦 敏範(かじうら としのり) toshinori.kajiura.sc@hitachi.com 1956 年 2 月 25 日生まれ、名古屋大学工学研究科情報工学修了。株式会社日立 製作所上席研究員。 日本経済団体連合会 ( 経団連 )、情報通信委員会、サイバーセキュリティに関する 懇談会などに所属、日本プロジェクト産業協議会、情報通信学会に協力している。 小泉内閣の「e-Japan 戦略Ⅱ」以降 IT 政策に関わり、政府・業界団体・日銀等の 政策検討会委員多数。筑波大学で客員教授、名古屋大学工学部で非常勤講師を務 めた。 291 「デジタル時代」の制御系 システムと 情報セキュリティ管理: 重要インフラの視点から 東京電力ホールディングス株式会社 経営企画ユニットシステム企画室 情報セキュリティ担当 副室長 谷口 浩 CISA, CISSP, CRISC 292 「デジタル時代」の制御系システムと情報セキュリティ管理 「デジタル時代」の到来と制御系システム 「デジタル時代(The Digital Age) 」が到来しようとしています。 クラウドの発明により計算機や記憶装置を所有することなく使用し ただけ費用を払い「利用する」スタイルに道が開け、この普及により 大量のデータを取り扱うことのできる環境が劇的に安価に実現し、さ らにはプログラムコードを書くことなくコンピュータ資源を利用でき るようになりつつあります。また様々なセンサが安価に利用できるよ うになり、これらが自動的に計測し自動的に集められるデータは、質 量ともにこれまで人間が収集していた時代のそれと比べると異次元と いってもよく、データの意義そのものを変えていこうとしています。 こうなると、様々な情報をとにかく収集してクラウドに流し込み、分 析し、利用したならばもっと便利な世の中が到来するだろうと想像す るのは当然のことでしょう。この流れの中で情報そのものが持つ価値 が再認識されるというコンセプトがデジタル時代の本質であるなら ば、これがそれ以前と異なる点のひとつは、インターネットの普及以 前に設計・製造されそもそもインターネットとの接続を前提としてい ない機器を、その必然として取り込もうとしている点にあるのではな いでしょうか。 このようなデジタル時代においては、情報セキュリティの考え方も 大きく変化を求められるものになるでしょう。デジタル時代以前は 「インターネットに繋がる便利な機器を(新しく)作って使う」こと が当然のように前提とされていたわけですが、デジタル時代にはすで に稼働している、インターネットへの接続を前提としない機器や装置 から情報を取り出し、その情報を分析・活用した結果を用いてフィー ドバック制御を行うことが求められています。しかし重要インフラ企 業が利用している機器や装置(制御系システム)の中には、運用開始 から 20 年あるいは 30 年以上も使い続けるものもあり、これらこそ が企業価値を生み出す中核的な資源であるという組織も決して少なく 293 ないというのも実情です。このような中核資源をインターネットに接 続するよう設計されていないという理由だけで破棄するわけにはいき ません。デジタル時代の情報セキュリティ分野においては、これら従 来型機器に対する技術面からのレトロフィット手法1 や、これに即し たセキュリティ管理手法が必要とされることになるでしょう。 制御系システムのセキュリティ管理の難しさ 産業分野によっても異なりますが、例えばエネルギー分野では、制 御系システムはメンテナンス等のために事前計画された停止時点まで 基本的にノンストップで運用されることが普通です。計画的に停止さ せた機器の機能は、計画的に立ち上げられた別のバックアップ機器等 で代替されます。これは一義的にはプラントとしての可用性 2 を重視 した運用を志向しているためですが、プラント内で密に連携して動作 している機器の一部が不用意に停止した場合には、プラント全体の停 止や破壊など大きな影響が発生するという可能性を想定し、多様に用 意したバックアップ手法を用いてこの発現を最小限にするためという ことでもあります。このように制御系システムでは可用性を重視して 設計され、厳密な計画のもと運用されているものが多数あり、この点 は IT システムと比べ異なる点と言えるでしょう。 またこのような機器には機器間のデータの授受を極めて精緻なタイ ミングで行っているものも多く、データの欠落防止を重視し冗長な手 続を踏む通信プロトコルでは用をなさないことから、応答速度重視の 通信プロトコル等も使われています。このような環境でセキュリテ ィや機能アップデートなどを行おうとした場合、一連の機器類の間で 厳密に同じ仕様の通信を同じタイミングで行うよう確認し問題があれ ば対応を行わなくてはならず、アップデートという名の変更を特定の 一台に対して加えることは不可能といえます。実環境において例えば OS やアプリケーションのアップデートが必要となった場合には、計 294 「デジタル時代」の制御系システムと情報セキュリティ管理 画停止などの機会を使って実施することになります。そのタイミング がセキュリティ要求に合わないということであれば、別のコントロー ル 3 を用いるなどして実質的にリスクを下げる工夫を行うなど、機器 毎・プラント毎の個々別の精緻な管理が必要となってきます。 今後構築される「新しい」制御系システムは「制御系と IT 系の 融合」、「広範なネットワーク接続」 、 「オープン化」、「汎用製品の使 用」、「汎用プロトコルの採用」 「遠隔からの集中管理」などのキーワ ードから逃れることはできないでしょう。これはある意味で「制御機 器・ネットワークの IT 化」 、 「IT による制御系システムの取り込み」 ということであり、この流れは不可避・不可逆であろうと考えます。 IT 化した制御系システムが IT 流の攻撃にさらされるであろうことは 間違いなく、「新しい」制御系システムはサイバー攻撃に対する IT 流 の防御技術や対応手法を包含する必要があるでしょうし、事実その方 向で開発が進んでいます。その一方で従来型の制御系システムも引き 続き使用され続けます。これらは重要インフラだけではなく社会の中 でまだまだ十年単位で主力である可能性が高いと考えられます。これ が急には停止できない、精緻な同期が必要というような特有の性質を 考慮に入れた、従来型制御系システムに対する根本的なセキュリティ 対策手法の開発が急がれている理由です。 制御系システムにおけるセキュリティリスク管理 可用性を最大限確保するため運用上の制限が多い制御系システムで は、前述したような「開発元が危ないと言っているのだから、とにか く更新プログラムを当てておけ」 「再起動、必要なら実施すればいい んじゃない」という大雑把な管理手法は、可用性を大きく損ねる結果 を招きかねず採用することはできません。制御系システムのセキュリ ティ管理を行うためには、自社・自組織の制御系システムの全貌とそ の運用方法・運用実態を十分に理解したうえで、問題となっている攻 295 撃手法や発見された脆弱性が自組織の中ではどのような条件が揃えば 発動するのか、発動の影響はどこまで及ぶのか、あるいは他の脆弱性 等と組み合わせたときにどのように働くかといった影響分析ができ る能力が決定的に重要と考えています。そしてその事実や情報をもと に、可能な限り可用性要件を犠牲にしないように、許容可能なレベル までセキュリティリスクを低減するにはどうしたらよいかを検討し、 決定し、実施する必要があります。また重要インフラのセキュリティ 管理という観点からは、特にリスク判断の軸足を分析中の攻撃手法に よる攻撃が実際に発見されているか否かという点に置くよりも、攻撃 が発生した際に想定される結果(被害)を想定し、発見された「穴」 は何らかの形で可能な限り早期に対処するという方針のもと実体的に 効果のあるコントロールを導入すべきであると考えます。 組織内においてこのような管理手法が確立しているならば、他組織 で発生した攻撃事案が報道される毎にセキュリティ担当者の周囲で発 生するであろう『ウチやウチの業界は大丈夫か』という質問には、例 えば『この攻撃が当組織で有効である可能性は極めて低い、理由は …』と迅速に回答することができるでしょう。また、『某国で同業種 を狙った攻撃が発生した!コワイコワイ』という恐怖マーケティング に対しても、自信をもって『その攻撃手法が成功する理由を教えてほ しい』と依頼することもできるでしょう。その会話の中で攻撃手法が 入手できたならば、これを自組織に当てはめて評価し、その結果攻撃 が成功する可能性が発見できるのであれば、情報提供元に感謝しなが ら冷静に対策を施せばよいのです。 この管理手法そのものには制御系であろうと IT 系であろうと基本 的に異なる部分はありません。しかし制御系システムは前述したよう に機器と機器の連携が繊細で、プラント毎に個々の状況が大きく異な ります。このため、脆弱性や攻撃手法が自社に与える影響評価を行う 際には、守るべき制御系システムを理解し、現実的な追加コントロー ルの提案ができる人材が加わっていることが決定的に重要となると考 296 「デジタル時代」の制御系システムと情報セキュリティ管理 えています。そのような人材は、おそらく自組織内にしか存在しない でしょう。 サイバー攻撃防御におけるセキュリティコミュニテ ィの価値 攻撃を実施しようとする者や組織による脆弱性の探索・攻撃手法の 開発は、残念ながら今後も止むことはないと考えます。これらは時間 が経つごとに複雑化、高度化してきただけでなく、攻撃者側の業界そ のものがパーツ毎に分散産業化し、さらにそれらがサービス化して緩 く連携するという劇的な変化を見せたことにより、結果として攻撃そ のものがより成果志向かつ粘着質になっています。このような状況に おいては、攻撃手法そのものの把握やその対応に加え、攻撃者がなぜ 攻撃を行うのかという「攻撃者の意図」やそのプロファイルを可能な 限り把握することにより、想定される攻撃手法やタイミングを掴んで いくことがより重要になってくるのではないかと考えています。 このためには所轄官庁を始めとした国や様々な機関、様々なセキュ リティ機関、類似のリスクを抱える組織等と、攻撃そのものだけでな く掴んだ予兆など様々な情報を交換することにより、事象の全体像と 攻撃者の姿を可能な限り早期に掴み、対応速度を上げる必要がありま す。このためには確度が定まらない情報や事象に対する考察レベルの 情報も交換していく必要がありますが、結果的に誤報かもしれないこ とを恐れると情報交換の速度は上がりません。また提供した情報が提 供先から漏えいするリスクを考えるならば、それを提供することに大 きな躊躇があって当然です。これを補うのは組織の中で厳しい対応を 行っているセキュリティプロフェッショナル達が組織や立場を超えて Face to Face で繋がりあい、この中で(顔が浮かぶ)仲間の役に立 つならばと意見を表明する勇気であり、お互いの情報や考察やサジェ スチョンが(たとえ結果として誤報であったとしても)感謝を持って 297 使用されるという実感であり、提供した情報が最大限の注意をもって 保護され、扱われるという信頼感なのではないかと考えます。 このような情報が交換されている組織やグループ(セキュリティコ ミュニティ)は、既に国内にもいくつか存在していますが、その殆ど は個人対個人で醸成された信頼感をベースとした少人数の勉強会など から始まり拡大していったもので、組織や枠組みを作ったから信頼感 が自動的に醸成される、というものでは決してありません。今後サイ バー攻撃に対する対応速度を上げるためには、国内だけでなく海外も 含め信頼できるコミュニティへ組織として参加し、積極的に情報や意 見を発信していくことが必須となるでしょう。軽いタッチの活動から 醸成された個人と個人、個人とコミュニティとの信頼感をどのように 組織対組織に広げていけるか、つまり組織としてこのようなコミュニ ティ活動に如何に関わっていけるかが、今後のサイバー攻撃への対応 において決定的に重要となってくると考えています。 よく言われることですが、発信のないところに情報は集まってきま せん。特に制御系システムに関するこの種の情報は少ないことから、 これを守る責務のある組織では、これに関わる信頼できるコミュニテ ィへの積極的な関与が必要となってくることでしょう。 1 新しい能力や機能を、それを前提に設計・製造された新しい機器や装置に対してだけ でなく、古い装置等に対しても追加すること。 2 要求された機能を果たせる状態にある能力。システム分野では、システムが継続して 稼働することのできる能力や時間を指す。 3 監査や事業継続計画 (BCP) の文脈で語られることが多い、 「統制」 「ルール」または 「管理策」等を指す。 298 「デジタル時代」の制御系システムと情報セキュリティ管理 東京電力ホールディングス株式会社 経営企画ユニットシステム企画室 情報セキュリティ担当 副室長 谷口 浩(たにぐち ひろし)CISA, CISSP, CRISC 金融機関において情報セキュリティ管理を担当、その後サイバーセキュリティ 専業会社において主席リスクコンサルタント。2014 年 12 月東京電力株式会社 (現・東京電力ホールディングス株式会社 ) に入社、現職。 299 マネジメントのためのサイバーセキュリティ Navigating the Digital Age: The Definitive Cybersecurity Guide for Directors and Officers - Japan 2016年11月10日 第1版第1刷発行 著 者 発行者 校正・制作 翻訳協力 制作・編集協力 装丁デザイン 本文デザイン・DTP 印刷・製本 パロアルトネットワークス株式会社[編] パロアルトネットワークス株式会社 〒102-0094 東京都千代田区紀尾井町4番3号泉館紀尾井町3F http://www.paloaltonetworks.com 電話 03-3511-4050 (代表) アーティザンカンパニー株式会社 株式会社アーバン・コネクションズ 日経 BP 社 三木和彦(株式会社アンパサンド・ワークス) 谷敦(アーティザンカンパニー株式会社) 廣済堂 Ⓒ Palo Alto Networks, Inc. 無断転載・無断複製を禁ず Printed in Japan
© Copyright 2024 Paperzz