2018/07/18

【セキュリティ対談】サイバー攻撃の脅威にどう立ち向かうか(前編)

  • このエントリーをはてなブックマークに追加

大日本印刷株式会社(DNP)と日本ユニシス株式会社は、2012年に資本提携を締結。以降、さまざまな分野で協業を進めてきた。情報セキュリティの分野でも、両社は協業を進めている。今回、DNP、日本ユニシス、そして日本ユニシスグループのユニアデックス株式会社のそれぞれでセキュリティ事業の最前線に立つ3名が、企業をとりまく環境の変化、企業のセキュリティ意識、その他について語りあった。

【目次】

  • ビジネス環境が激変した
  • 社長が頭を下げればいい?自分の会社が狙われるわけない?
  • セキュリティは投資かコストか
  • サイバー攻撃を受けたときの影響をイメージできるか
  • 日本ユニシス株式会社
    アウトソーシングサービス本部
    セキュリティサービス部 部長

    福田 俊介
    Shunsuke Fukuda

  • 大日本印刷株式会社
    情報イノベーション事業部
    セキュリティソリューション部 部長
    日本ネットワークセキュリティ協会 理事

    藤伊 芳樹
    Masaki Fujii

  • ユニアデックス株式会社
    エクセレントサービス創生本部
    セキュリティー部 ソリューションマネージャー

    森 駿
    Shun Mori

※所属・肩書きなどは、2018年2月取材時のものです

ビジネス環境が激変した

―いま、企業を取り巻く環境が激変しています。米国の国防総省が、サイバー空間を、陸・海・空・宇宙に次ぐ第5の戦場と宣言してからだいぶ経ちますが、これが現実になってきていて、国家やプロの組織が関与すると言われるサイバー攻撃が頻発しています。

藤伊 現実世界に置き換えると、破壊活動が行われているすぐ近くで、企業活動を行っているようなものですね。国際的なイベントがいくつも控えているので、日本に対するサイバー攻撃が一層熾烈になることが、過去の事例からも予想されます。情報の窃取だけでなく、社会インフラや、制御システムのシステムダウンを狙った攻撃も警戒したほうがいい。

福田 検索エンジンでたどり着けないダークウェブが存在し、マルウェア作成ツールや攻撃ツールが販売されているようです。DDoS攻撃も請け負っているらしい。技術を持っていない人でも、簡単にサイバー攻撃が可能になってきているので、とても心配です。

藤伊 IoT機器、デジタル家電、コネクテッドカーなど、新しい技術、製品が次々と登場し、生活やビジネスがどんどん便利になる一方で、こうした機器が新たな攻撃対象となっている。サイバー空間の攻撃がリアルな空間に影響を及ぼすことが考えられるので、警戒が必要です。

 働き方の変革をキーワードに、例えばクラウドやモバイルの利活用が進んだり、在宅勤務が増えるなど、ワークスタイルそのものが変化していきます。そうすると、これまでなかった新しいリスクが生じることになるので、サイバー攻撃、内部不正や不注意による情報漏えいに、より一層気をつける必要があります。

社長が頭を下げればいい?自分の会社が狙われるわけない?

―セキュリティに対する意識というのは、変わってきていますか?それとも変化はないですか?

 いろんなお客さまと話していて実感するのは、10年ほど前に比べると、経営層のみなさんのセ キュリティに対する意識が明らかに上がっているということです。

藤伊 私も企業の幹部の方、経営層の方とお話しする機会が多いのですが、セキュリティ意識が変わっているのは間違いないですね。
ただ、最近はだいぶ少なくなりましたが、情報漏えいが起きても「自分が頭を下げればいい」と考えている経営者の方がまだいらっしゃいます。でも、例えば、ECサイトなどがDDoS攻撃を受けてしまうと、販売機会の損失につながってしまいますし、クレジットカード情報が漏えいしてしまうと、クレジットカードブランドからカードの使用を止められるなどのケースが想定され、業績への直接的な影響が出てしまいます。

 そうですね。あとは、再発防止策が完了するまで、営業活動を自粛せざるを得なかったり、原因究明のための費用が必要だったり、監督官庁への報告、個人情報が漏えいしたみなさんへのお詫び、その他風評被害など、影響の度合いは測りしれません。経営者が頭を下げることは必要かもしれませんが、それでも、経営への影響が甚大なものとなる可能性があります。

福田 自分の会社がサイバー攻撃の対象になることはないと考えている経営者の方も、まだ、いらっしゃるようですが、これも実は間違いですね。過去にも、大手企業が攻撃を受ける前に、セキュリティ的に脆弱な取引先企業が先に攻撃を受け、そこを足がかりに大手企業に侵入され、最終的に大きなダメージを与えられた事例があります。もし、自社が原因で、取引先がサイバー攻撃にあったりすると、取引停止という事態を招くことが、今後出てくるかもしれません。

藤伊 個人情報を取り扱っていないので、セキュリティにお金をかける気はありませんという経営者の方もいらっしゃいます。でも守るべき情報というのは、個人情報だけではないんですね。過去にも、重要な技術情報が持ち出されて、同業他社の手に渡ってしまったケースがいくつもあります。大事な設計図であったり、レシピであったりといった技術情報を守るという意識を高めていく必要があると考えています。

福田 IPA*1の「情報セキュリティ10大脅威2018」では、ランクの上下はあるものの、内部不正による情報漏えいがここ数年常にランクインしています。外部からのサイバー攻撃に警戒する必要があるのはもちろんですが、内部不正に対する足元の対策も必要不可欠。でも、経営者のみなさんの中には、自分の会社の従業員がそんなことをするはずがない、自分は従業員を信用しているとおっしゃる方がいらっしゃいます。経営者と従業員の信頼関係自体はとても評価できるのですが、過去の事例を教訓にしていく必要もあります。

*1 IPA : Information-technology Promotion Agency(情報処理推進機構)

セキュリティは投資かコストか

藤伊 会社によってレベルに違いがありますが、技術部門は、自分たちのシステム上にどういった問題があるかきちんと理解していますね。ただ、大きな問題が二つあって、セキュリティ面を改善したいが、いまの人員、体制だとできないし、やれと言われてもできない。これが一つ。もう一つは、課題があることがわかっていて、なんとかしたいからお金をかけさせて欲しいという要求がなかなか通らない。つまり、現場と経営層の意識にギャップがある。結局はコストをかけずにやれということになって しまう。

 いま、コストという言葉が出ましたが、セキュリティはどちらかというと、コストではなく、投資だと言われるようになってきています。サイバー攻撃や情報漏えい事故は、いずれ必ず、自分達の身にふりかかってくるものだから、それに対する備えとして投資しておきましょうという考え方です。何かの被害にあうと、そのリカバリーに多額の費用がかかりますし、業績低下をまねくことにもなりかねない。なので、その被害に遭わないために投資することで、被害となるだろう損害を抑えるということです。

藤伊 セキュリティが投資だということは理解されていると思います。ただ、セキュリティにお金をかけても、明確な利益を生み出さないから、なかなかお金を出そうという判断がしづらい。

サイバー攻撃を受けたときの影響をイメージできるか

藤伊 よくお客さまに言うのですが、たとえばクルマを買うとします。エアバッグとか安全装置のオプションがたくさん用意されています。そういうオプションを追加すると、もちろん値段が高くなります。でも、そういうクルマを買って後悔する人っていないと思うんですよね。5年間そのクルマに乗りました。結果、事故が起きませんでした。だから、オプションをつけなければよかったって後悔する人は、たぶんそんなにいない。でも、事故を起こしたときに、安全装置がついてなかったら、絶対に後悔すると思うんです。

福田 自動車事故の発生件数などから、事故に対する現実感がありますから、それに対する安全への投資って意味では、削ろうとは思わないですね。

藤伊 おそらく自動車事故に遭うよりも、もっと高い確率でサイバー攻撃を受けるはずなんですよ。だから、後悔しないようにいろんな対策を打つっていうのはいいことのはずで、絶対に後悔しないはず。

 たぶん、今の自動車の例だと、お金を払うのは自分で、自分に決定権がある。事故が起きた時にケガをしたり、最悪の事態も想定されるから、事故にあったとき付けといてよかったって思うし、5年間乗ったあとでも付けたことに後悔はない。で、これをサイバー攻撃に置き換えると、お金を出す決定権はたぶん経営層のみなさんになる。サイバー攻撃を受けたとき、自社にどういうことが降りかかるのか。経営層のみなさんが、まだ明確にイメージできていないのではないかと思います。これが、セキュリティ投資が進まない一つの原因ともいえますね。

藤伊 サイバー攻撃や内部不正による情報漏えいが起きるとどうなるか。経営層、従業員に被害が及ぶだけではない。従業員の家族、取引先、株主、近隣の住民のすべてがなんらかのダメージを被る。そういうイメージを持っていただければ、少し投資しようかなという機運も高まってくるのでしょうね。

後編を読む

  • このエントリーをはてなブックマークに追加