2018/7/18

【セキュリティ対談】サイバー攻撃の脅威にどう立ち向かうか(後編)

  • このエントリーをはてなブックマークに追加

大日本印刷株式会社(DNP)と日本ユニシス株式会社は、2012年に資本提携を締結。
以降、さまざまな分野で協業を進めてきた。情報セキュリティの分野でも、両社は協業を進めている。今回、DNP、日本ユニシス、そして日本ユニシスグループのユニアデックス株式会社のそれぞれでセキュリティ事業の最前線に立つ3名が、企業をとりまく環境の変化、企業のセキュリティ意識、その他について語りあった。(前編はこちら)

【目次】
  • どこまでお金をかければよいのか、何にお金をかければよいのか
  • 企業に必要なセキュリティ人材とは
  • まとめ
  • 日本ユニシス株式会社
    アウトソーシングサービス本部
    セキュリティサービス部 部長

    福田 俊介

    Shunsuke Fukuda

  • 大日本印刷株式会社
    情報イノベーション事業部
    セキュリティソリューション部 部長
    日本ネットワークセキュリティ協会 理事

    藤伊 芳樹

    Masaki Fujii

  • ユニアデックス株式会社
    エクセレントサービス創生本部
    セキュリティー部 ソリューションマネージャー

    森 駿

    Shun Mori

  • 所属・肩書きなどは、2018年2月取材時のものです

どこまでお金をかければよいのか、何にお金をかければよいのか

―セキュリティ、セキュリティと言われても、どこから手をつければよいのか、いくらお金をかければよいのか、数あるセキュリティ製品の中から何を選べばよいのか。たぶん、多くの企業が悩んでいるのではないかと思うのですが、実際に商談を進めていて、そういうお悩みは出てきますか?

藤伊 そうですね。いま世の中には、さまざまなカテゴリのセキュリティ製品が溢れかえっています。でも、どこまで費用をかければよいのか、何に費用をかければよいのか、どんな製品を選べばよいのかという問いに対する正解がない。大手企業は潤沢にお金が使えるかもしれませんが、そうでない企業はどこまでお金をかければよいか、何にお金をかければよいかわからず、困っています。

 セキュリティ投資を国に例えると、防衛費を増やしたり、警察官の人数を増やすということになると思うんですが、防衛費を際限なく増やしたり、警察官の人数を増やしたりすると、産業や他の公的サービスが立ち行かなくなってしまう。要はバランスの問題なのですが、このバランスの最適解というのが、なかなか提示できない。

福田 サイバー攻撃、あるいは、内部不正や不注意による情報漏えいというリスクへの対処の仕方として、「回避」「低減」「転嫁」「受容」という考え方があります。「回避」はリスクのあることをやめてしまうこと。「低減」はセキュリティ対策を講じてリスクを下げること。「転嫁」はリスクを他者に受け持ってもらうこと。そして、「受容」は、発生の可能性が極めて低い場合などはあえてリスクを受け入れるということです。リスクを回避するのか、低減するのか、転嫁するのか、受容するのか。この判断には、やはり、経営層の視点が必要になります。そしてそのためには、どこにどのようなリスクがあるのかを明確にしておく必要があります。

藤伊 となると、最低限やるべきこと、言い換えると最初にやるべきことは、やはりリスクアセスメントということになりますね。自社が守るべき情報資産として何が挙げられるか、そして、その情報資産が失われたり漏えいした際のビジネスインパクトがどれくらいあるか。まずは、それを可視化する必要があります。それをやった上で、優先順位をつけて、かけるべきところにお金をかける。ここまでは、自社で頑張ればお金をかけずにできると思いますし、実際、やっている会社もあります。やみくもにお金をかけることは決して正解ではない。効果的にお金をかけるべきです。

福田 あと、サイバー攻撃を完全に防ぐことは事実上不可能というのが一般常識になりつつあります。
でも、完全に防ぐことができないなら、お金をかける意味がないという意見もありますが、これも間違い。サイバー攻撃を受けたことを素早く検知して、影響を最小化するという一連の行動を素早く行うことが重要になってきています。そうしないと被害がどんどん拡大してしまう。こうしたこともあって、CSIRT*2を設置する企業が増えてきています。

 中小企業等では、なかなかCSIRTを構築して、一定のレベル以上の力量を維持することが難しいので、そうした場合は、モニタリングなどを外部に委託するなど、代替案を考えるべきですね。

藤伊 SNSの普及により、ネット炎上にも気をつけなければならない。サイバー攻撃を受けたり、情報漏えいが発生した際、犯人はその企業ではないのに、適切な対処や情報公開を怠ると、非難を受ける場合がある。平常時から、インシデント発生時の行動計画を立てておく必要があります。

  • *2CSIRT : Computer Security Incident Response Team(企業や行政機関に設置されるコンピュータセキュリティ関連インシデント対応組織)

企業に必要なセキュリティ人材とは

―セキュリティ人材が不足すると言われていますが、一般企業ではどのような人材を確保しておくべきだとお考えでしょうか。

福田 一言でセキュリティ人材といいますが、セキュリティの分野は実に広範で、機能が細分化されます。例えば、マルウェア解析の専門家とか、セキュリティマネジメントシステムの専門家とか。でも、一般の企業で、マルウェア解析の専門家など必要ありません。大事なのは、セキュリティのジェネラリストというか、セキュリティに関して、広く浅く知っている人材になると思います。そういう人材が、何ができていて、何ができていないか、どの会社に頼めばよいか、事前にどういう準備をしておけばよいか等を判断していけばよいと思います。

藤伊 あとは、例えば、ECサイト等がサイバー攻撃を受けた時、何かしらの兆しが生じるのですが、その時、サーバーを落として調査するのか、しないのか。その決断ができる人材がいるとよいのですが、その判断が実に難しい。なぜかというと、サーバーを落とすということは、販売機会の損失に直結するからです。だから確実に攻撃を受けているということが分からないとサーバーは落とせないということになる。しかし、この判断を誤ると、被害が拡大することになります。この判断ができる人材を確保できることが理想です。

福田 モニタリングは必須ですが、モニタリングした結果を判断に加えて、思い切った判断をできるかというと、よほど知ってる人じゃないとできない。落とす、落とさないの判断はとても困難。正確な判断を求められるが、難しい。

 結果的には、大きな事故じゃなかったってケースがたくさんある。そうすると、本当に危ない、本当に落とすという決断、判断がどんどんしにくくなる。

福田 そうです。あとは、サーバーを落とすと、戻すことを考えなければならない。どういう状態になったら再開できるかって考える。CISO*3とか経営レベルでは、落とす、落とさないの判断を自分でできる人なんていうのは、いくら勉強しても限界があります。ですので、いわゆる橋渡し人材じゃないですけど、技術的なこととか、思い切って決断できるような補佐の人が経営のところについてくれることが理想でしょうね。

  • *3CISO : Chief Information Security Officer(最高情報セキュリティ責任者)

まとめ―

―最後に、DNP、日本ユニシス、ユニアデックス、それぞれにおけるセキュリティ事業への取り組み方や立ち位置、特徴などについてお聞きします。

藤伊 DNPは、ICカードの製造・発行を手掛ける国内最大手のメーカーということもあり、実は、ICカードを使ったセキュリティシステムの開発や販売の分野でも古い歴史があります。ですが、お客さまには、DNPがセキュリティベンダーでもあるという認識をなかなか持ってもらえない。どうして印刷会社がセキュリティなの?となってしまう。DNPは、創業140周年を超える老舗企業です。140年を超える歴史の中で我々がやってきたことは、実は印刷物を作ることだけではない。お客さまからお預かりした大切な情報が漏えいしたり、失われたりしないよう、必死で守り続けてきた歴史があります。そのための仕組みやシステムが社内に蓄積され、常に見直されている。こうしたセキュリティに関する知見を活かして、お客さまのセキュリティ強化をご支援するというのが我々のセキュリティ事業です。そんなこともあって、最近では、セキュリティコンサルティングやセキュリティ教育に力を入れています。

福田 日本ユニシスの場合は、セキュリティコンサルティングであるとか、セキュリティシステムであるとか、セキュリティに関する製品やサービスそのものも販売していますが、それ以外にも、品質の高いICT関連システムを、安全に使っていただきたいという思いがあります。ですので、直接、セキュリティとは関係ないシステムを提供する場合であっても、そこには必ずセキュリティが含まれているという考え方です。単純なSQLインジェクション対策をとっていなかったために開発企業が訴訟で負けたケースがあります。訴訟で勝つ負けるではなく、お客さまにご迷惑をおかけしない。セキュリティはそういう位置づけでもあります。

藤伊 なるほど。いわゆる、「セキュリティ・バイ・デザイン」、何かを設計したり開発する上流工程から、セキュリティに配慮するという考え方ですね。これからは、そういう考え方が進むと思いますし、さまざまな機能を果たすICTシステムやサービスの中に、目には見えないけれども、あたりまえのようにセキュリティ機能が入っている。そういう時代になるでしょうね。

 ユニアデックスは、さまざまなメーカーが開発したネットワーク製品、セキュリティ製品のリセラーですので、個々のお客さまに最適な製品を組み合わせて構築し提供するという立場です。すべてを一つのメーカーの製品で統一するということが、必ずしもベストな選択とはいえないからです。あとは、製品選定、システムの構築だけでなく、保守、運用といったところまで、ご支援させていただいていることが特徴です。

―2012年に、DNPと日本ユニシスが資本提携を結んで以降、さまざまな分野で、協業や人事交流が進んでいます。情報セキュリティの分野でも、お互いを補完しあうことで、お客さまに対して、幅広いご支援ができそうですね。本日はどうもありがとうございました。

前編を読む

人気の記事

未来のあたりまえをつくる。®