サイバーセキュリティ経営とは
~インシデント事例とともに解説~
- 株式会社Armoris
※本記事は2021年11月24日(水)に開催したサイバーセキュリティ2021秋のセミナーレポートです。
デジタルトランスフォーメーション(DX)が加速し、様々なものがネットワークにつながる時代になりました。一方ではこれに比例するように、サイバー攻撃を受けるリスクやセキュリティ事故による企業リスクは年々増加しており、サイバーセキュリティ対策は企業だけでなく、国家としても急務の課題となっております。
2021年は、東京五輪を狙ったサイバーテロが懸念されていましたが、それ以上に企業や組織を狙ったランサムウェア(身代金要求型)攻撃や、システムの脆弱性に起因する情報漏えい等が発生するなど、脅威はより身近なものになっています。
今回のセミナーでは、セキュリティ人材育成サービスを提供する株式会社Armoris(アルモリス)※の講師がサイバーセキュリティ動向に加え、経営課題としてのセキュリティの考え方をわかりやすく解説しました。
※株式会社Armorisは企業・公共機関を対象に、実戦的なサイバーセキュリティ人材育成プログラムおよび組織のセキュリティレベル向上サービス提供のために設立された、TOPPANのグループ会社です。
Program 1 サイバーセキュリティマネジメントの現状と課題
サイバー攻撃の攻撃者とは?
サイバー攻撃を仕掛ける攻撃者はその目的によって大きく7つに分類されます。中でも最近よく話題に上がっているのが、金銭目的でサイバー攻撃を仕掛ける「サイバー犯罪者」と国家の機密情報取得が目的の「スパイ(情報機関)」です。
金銭目的のサイバー犯罪者は、ウイルスを使ってインターネットやPCに潜入して個人情報を取得し、それを闇ルートで売りさばきます。最近ではIDやパスワードなどあらゆる情報を盗んである人物になりすますようなケースもあります。こうしたウイルスの感染経路は個人端末だけでなく、セキュリティ対策が行き届いていない子会社や海外拠点などの業務端末が狙われる場合もあります。
国家の情報機関が通常業務の一環として行う「スパイ(諜報活動)」は以前から行われていましたが、現在では、米中露等の大国間の経済的競争などを背景として、国家的なサイバーセキュリティが課題となっています。日本でも最近、経済安全保障大臣が任命されました。技術やデータ、人材の流出が懸念されていますが、こうした動きもサイバーセキュリティと密接に関わっています。
企業に必要な備えとは?
全米取締役協会(NACD)の調査では、取締役の70%が「サイバーセキュリティは戦略的な企業リスクである」と答えており、ITだけの問題ではなく経営の関与が必要な課題と捉えられています。経営陣がリスクを認識し、サイバーリスクに対する十分な組織の体制を整えたり、セキュリティ文化を醸成することが求められるようになっているほか、日本のサイバーセキュリティ戦略でも、経営層の意識改革がトッププライオリティに挙げられています。
サイバー攻撃によって企業が被る被害には「お金」「情報」「評判」「業務停止」などがあります。長期間にわたって正常な業務が妨げられるなど、企業が大きなダメージを被る可能性があり、それが、経営がサイバーセキュリティに関与すべき最大の理由です。被害規模やそれに対する企業としての対応の必要性を考えると、IT技術や管理だけの問題とは言えなくなります。他の災害に向けた避難訓練などと同様に、サイバー攻撃を日常的なリスクとして捉え、対策や準備、訓練が必要です。
サイバーセキュリティマネジメント
サイバーセキュリティ対策には、4つの重要な観点があります。
① 俯瞰的な戦略の策定とリーダーシップの確保
サイバーセキュリティ対策には、スタンダードと呼ばれるフレームワークがいくつかあります。最も有名なアメリカの「サイバーセキュリティフレームワーク」は、何も起きていない平常時とサイバー攻撃を受けた非常時に分けて、リスク管理だけでなく危機管理の観点から組織的な対応体制を構築し、組織的な能力を身につけるためのものです。これを実行するには全社的な視点で推進する役割が必要ですが、フレームワークがあるから安心ということではなく、日頃から現場レベルでのリスク対応をしっかり行うことが大切です。
② リスク管理の観点
リスク管理の観点では、何が自社にとってリスクになり得るかを特定することが必要で、特に「自社の弱点」の特定が重要です。たとえば日本の本社のセキュリティ対策は万全でも海外拠点や子会社の対策が脆弱であれば、そこが感染の入り口になる場合もあり、広くサプライチェーン全体での対策を講じる必要があります。
③ 危機管理・危機対応の観点
サイバー攻撃に対して、部署間の連携やリスクコミュニケーションが重要です。中でも経営が適切に判断するための情報の報告経路の整備については、経営層を交えたサイバー攻撃対処演習を定期的に開催し、現場や部署間の熟練度を高めていくことも必要です。
④ 組織間連携、情報収集、インテリジェンスの観点
IT分野は変化のスピードも速く、常に情報が更新されているので、最新の情報やサイバー攻撃のトレンドを把握しておく必要があります。テレワーク、クラウド、DXなど、最近でもめまぐるしく環境が変化しており、これらに応じて個々の知識やスキルの向上も不可欠です。
サイバーセキュリティ人材の課題
DXの導入が加速し、より効率的で便利な仕組みが生まれる一方で、安全性を重視するあまりセキュリティ対策をやり過ぎて、かえって使いづらくなるケースがあります。サイバーセキュリティ対策においても、ゼロリスク思考に陥らず、安全と利便性のバランスが重要です。
こうした「攻守」のバランス感覚を持つサイバーセキュリティ人材には、ITやセキュリティについて体系的な基礎があり、今後も学び続けられること、また様々な変化に対する柔軟性や適応能力がある人が向いています。ITの知識だけでなく、一般ユーザーとしての経験や知識も大切です。
その上で、サイバーセキュリティは企業全体に影響を及ぼすリスク管理と危機管理の一部として、組織として問題解決能力を持ち、経営者が意思決定を行うべき案件といえます。
【登壇者】 株式会社Armoris 取締役専務CTO 鎌田 敬介(かまた けいすけ) |
Program 2 2021年のインシデント動向と サイバーセキュリティ経営可視化ツールについて
最新のサイバー脅威動向
2020年のサイバー犯罪による世界的な経済損失は、日本の国家予算にも匹敵する約100兆円(1兆ドル超)に達し、これは2018年の約1.5倍です。サイバー攻撃を受けて業務を中断した平均時間は18時間に及び、インシデント当たりの平均被害額は50万ドル超となっています。サイバー犯罪のうち、知的財産の窃取と金融犯罪が75%を占めることから、1件当たりの被害額も大きくなっています。
最近の攻撃の潮流として、
① 高度に洗練された技術を持つ、国家主導の攻撃グループの存在
② 金銭目的の攻撃の巧妙化
③ IoT機器やテレワークで使うVPN機器の脆弱性を悪用した攻撃
などが挙げられます。
2021年の動向
▶東京2020大会
大会期間中、大会運営に係わるシステム等への攻撃は4.5億回あったものの、大きな混乱・被害はなく終了。
▶ランサムウェア被害が多発
Ransom(身代金)+Malware(マルウェア)の造語。ランサムウェアに感染したシステムの復旧と引き換えに金銭を要求される。機密情報の窃取だけでなく、奪った情報をインターネット上に暴露すると脅す二重脅迫になるケースもある。被害からの復旧に数ヶ月かかる場合もあり、混乱・被害が拡大する。感染経路はVPN機器やリモートデスクトップなどで、感染しないための対策と早期復旧するための対策が必要。
▶金銭や情報窃取を狙った不正アクセス
SMSやメールで発信者を偽装したフィッシング被害が多発。情報窃取型マルウェア被害も出ている。
▶国家間の対立など
米中露等、大国間の経済的競争の激化を背景にしたサイバー攻撃。外交および国家安全保障において、サイバーセキュリティが重要な役割を担っている。日本でも9月に「サイバーセキュリティ戦略」を策定。
▶外部サービス利用のリスク
様々な外部サービスを利用することで、回線経由で攻撃されるなど、サプライチェーン由来のリスクが国内でも顕在化している。
サイバーセキュリティ経営可視化ツールについて
2021年8月に、独立行政法人情報処理推進機構(IPA)がサイバーセキュリティの実践状況をセルフチェックするためのツール「サイバーセキュリティ可視化ツール」を公開しました。これは「サイバーセキュリティ経営ガイドライン2.0」をベースにしており、自社のサイバーセキュリティ対策状況を定量的に把握して、サイバーセキュリティに関する方針の策定、適切なセキュリティ投資計画の策定をサポートします。「サイバーセキュリティ経営ガイドライン2.0」は、経営者が認識すべきサイバーセキュリティに関する原則や「サイバーセキュリティ重要10項目」をまとめたもので、多くの企業が適切なセキュリティ対策が取れていないことの原因の一つは、経営者のリーダーシップが不十分であると指摘しています。
項目ごとの設問に答えていくと、レーダーチャートが作成され、「経営者が認識すべき3項目」や「サイバーセキュリティ経営の重要10項目」の達成状況が定量化して表示されます。これらは高評価を得ることが目的ではなく、リスクベースでの対応の優先順位付けを行うことに役立ちます。
サイバーセキュリティは「これさえやっておけば大丈夫」というものではなく、守るべき資産や自社を取り巻く脅威を明らかにして、自社にとって最適な対策を分析して準備することが重要です。
▶経営者が認識すべき3原則
① 経営者は、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
② 自社は勿論のこと、ビジネスパートナーや委託先も含めたサプライチェーンに対するセキュリティ対策が必要
③ 平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策に係る情報開示など、
関係者との適切なコミュニケーションが必要
上記を踏まえてサイバーセキュリティ対策を実施する上で、経営者が担当幹部(CISO等)に指示すべき重要10項目を提示しており、これらの実施について経営者は定期的に報告を受けるべきとしています。
セキュリティはバランスをとることが重要
サイバーセキュリティにおいては、まず「保有資産」「ビジネスモデル」「サプライチェーン」「社会的責任」などのうち、「自社の何が狙われるのか」を特定し、そこから逆算して対策を検討します。サイバー攻撃は会社を破綻させかねない問題の一つであり、地道な対策が必要ですが、セキュリティ対策は「人的(教育・心構え)」「組織的(ポリシーの策定など)」「技術的(ITの技術的な対策)」の3つをバランス良く考えることが重要です。
その一方で、安全性を重視するあまり、過度のセキュリティ対策を講じることで、ユーザーの利便性が損なわれるようでは本末転倒であり、両者のバランスをどう取るか、自社の事業に照らし合わせて検討することが必要です。
世の中の動きとともに、サイバー攻撃者の目的や手口も常に変化しています。日頃から最新の動向を意識し、自社への影響を分析して必要な対策を考えていくことが大切です。
【登壇者】 株式会社Armoris 川崎 真郷(かわさき まさと) |
2021.11.24