【レポート】企業変革実践シリーズ第10回「情報セキュリティからDX時代の真のセキュリティ対策へ ~サイバー犯罪・攻撃から身を守る考え方とは!!!~」

2021年5月19日(水)、DBICでは企業変革実践シリーズ第10回として「情報セキュリティからDX時代の真のセキュリティ対策へ ~サイバー犯罪・攻撃から身を守る考え方とは!!!~」をオンラインで開催しました。今回は、日本のサイバーセキュリティ分野で活躍している3人の専門家をお招きしてパネルディスカッション形式で、日本のサイバーセキュリティの現状とDX時代に必要なサイバーセキュリティ対策とは何かについて語って頂きました。昨今のサイバー犯罪やサイバー攻撃はますます大規模かつ巧妙になっており、年間の損失額は韓国のGDPに匹敵する約170兆円規模に拡大していると言います。DBICでは、日本のサイバーセキュリティの現状を「情報セキュリティ対策」から「サイバー犯罪・攻撃への対策」に大きく転換し進化することが必要だとの認識から今回のパネルセッションを開催しました。

最初のスピーカーである前経済産業省サイバーセキュリティ・情報化審議官の三角育生氏からは、まず身代金要求型不正プログラムと呼ばれるランサムウエアが年々深刻化している現状について話されました。DX時代は情報システムへの依存度が高まるだけに、サイバー犯罪・攻撃への対策は企業として真剣に取り組むべき課題であると訴えました。実際、新型コロナウイルスに便乗した標的型攻撃やリモートワークなどを狙った攻撃が多発しているとのこと。VPN(仮想専用回線)の脆弱性を放置していて、そこから侵入された例も多く報告されているそうです。また、サイバーセキュリティ対策においては、アプリケーションとインフラストラクチャのセキュリティを開始時点から考慮する「DevSecOps」という開発手法のほか、自動化や「全て信頼しない」というゼロトラストセキュリティの考え方に日本の企業はもっと注目すべきだと話していました。最後に三角氏は、「よくありがちなのはセキュリティ対策の規定などを作ろうとすると、対策が目的化してしまうことが少なくない。目的はあくまでもビジネスの継続、備えと訓練はICTだけでなくパブリックリレーション(PR)や法務も含めた全体的なインシデントレスポンス体制を構築していくことが重要」だと強調していました。

次のスピーカーはセキュリティ対策大手のトレンドマイクロ株式会社の執行役員で一般社団法人サイバー犯罪捜査・調査ナレッジフォーラム代表理事の清水智氏。同フォーラムではサイバーセキュリティ対策を行うために必要な知識体系をまとめて啓蒙しており、このセミナーでは年ごとに高度化しているサイバー犯罪の恐るべき実態について語って頂きました。サイバー犯罪は2015年を境に潮目が変化し、現在では組織化と分業化が急速に発展しているそうです。「匿名性と追跡回避を実現する技術を使用したネットワーク上のサイトであるDarkWebという空間を利用してサイバー犯罪の分業が進んでいる。侵入を専門に手掛ける人、データを売り買いするブローカー役などが暗躍する世界になっている。2018年時点の統計では目に見えるサイバー犯罪の経済規模は約170兆円で、GDPランキングで言うと世界第10位、韓国と同等の規模まで拡大している。サイバー犯罪の高度化の例では、大規模シンジケートと大勢の実行者グループが存在し2極化が進行、さらに騙すテクニックや証拠隠滅の手法も高度化している」そうです。また、サイバー犯罪の流れは侵入と探索、目的遂行の3つに分類できるが、その中でハッカーがもっとも時間を費やすのが「探索」。企業が保有している情報の中でどの情報が該当企業や業界・市場にとって価値があるのかを探っているとのこと。昨年の米国FBIが訴追した米国の大手信用報告書作成企業であるエキファックス社の事件では、ハッカーが実に9,000回もSQLサーバーにアタックをかけていたことが判明しているそうです。最後に、今後注意しなければならないのは従来のような情報漏えいといったITマターではなく、ビジネスそのものがやられてしまうことに危機感をもつべき。従って、DXを推進する人はセキュリティについてしっかり認識することが重要だと説いていました。

最後は、情報セキュリティ戦略構築を提供する株式会社オリエント代表取締役である二宮英樹氏。オリエントは企業のセキュリティ対策の出来具合やサイバー攻撃による侵害状況を可視化して対策を提案するサービスを展開している企業で、二宮さん自身も年間100社以上の顧客と直接面会してセキュリティ被害の実態を診断していると言います。その中で、実感しているのが「もはやサイバー犯罪は、ウイルス対策や入口出口の検査ツールだけでは防ぎ切れない。従って、侵入されることが前提で組織を守ることが必要な時代になっている」と強調。続いて、二宮さんはツールでウイルスやマルウエアを止める時代は終わっており、セキュリティは事業継続の一環として考えなければならないと他の講師と同様に力説しました。企業も、経営的に死守すべき対象、どのようなビジネスリスクが想定されるか、なぜ攻撃者は当社を狙うのかを深堀して経営マターとして共有しておく必要があると改めて指摘しました。
続いて、過去2年間の企業診断で得た脆弱性の事例を紹介され、それによると、運用の不備や基本対策で無視しているケースが少なくないとのことでした。診断したPマーク取得企業のうち過半数が「パッチをうまく当てる仕組みが整っていなかったり、不正なソフトを見つける資産管理ツールを導入していてもそれをチェックするオペレーションが出来てなかったり、極めて中途半端だった」と言います。
診断した結果、資産管理ツールに犯罪者がよく使うソフトが侵入していたケースが多々あったそうです。さらに入口出口だけでなく、侵入されたことを想定してシステム内部を定期的にチェックすることが大切だとのこと。二宮さんは講義の最後に、聴講者へのお願いとして、外部に何か対策を依頼する前に、自組織のビジネスリスクをよく考え直すことが大切で、有事の際は、「復旧優先」と「原因調査」のどちらを優先するかをあらかじめ決めておくことが大事だと訴えていました。

パネルに先立ってDBIC副代表の西野弘から、日々、精巧さを増している偽サイトをはじめとするサイバー犯罪の実態、さらに「サイバー犯罪への対策はITの課題ではなく、完全に経営マターになっていることを理解しなければならない。また、日本の理系大学のセキュリティに対する無防備さ、そしてメディアについても旧態依然の取材手法を改めてもらうべく今後、行動に移そうとしている」ことを披露しました。

その後のパネルでは、3人の講師から日本のサイバーセキュリティの課題について語ってもらいました。三角さんからは、ICTに対する日本の社会・経済の理解が希薄であることが一番の問題だという指摘があり、清水さんからはセキュリティ環境におけるアクセス権管理の重要さ、特に人材面でプロジェクトマネジメントが分かるIT技術者がほとんど見られないという現実があると話されました。二宮さんからはセキュリティ技術者に対する日米の給与格差も大きな課題になっているという話がありました。海外ではセキュリティ人材であれば年俸1,500万円がスタートラインだが日本の企業ではとてもその額は払えないのが実情。欧州の例では医者を志していた人がセキュリティ技術者になった方が圧倒的に高給なのでそちらを目指す人が増えている事例も紹介されました。
この後も、聴講者から寄せられたチャットに対して講師らが答える形で約30分セミナーが進行しましたが個別の質疑応答については割愛させて頂きます。

他のDBIC活動

他のDBICコラム

他のDBICケーススタディ

一覧へ戻る

一覧へ戻る

一覧へ戻る

このお知らせをシェアする