経済産業省と情報処理推進機構(IPA)は2015年12月、「サイバーセキュリティ経営ガイドライン Ver. 1.0」を公表した。企業などのセキュリティ担当者、IT担当者は、これをどう生かすべきなのだろうか? NEC サイバーセキュリティ戦略本部 セキュリティ技術センターの吉府研治氏にそのポイントを聞いた。
近年、サイバー攻撃の脅威が企業経営に深刻なダメージを与えている。情報通信研究機構(NICT)の調査によれば、2015年のサイバー攻撃関連の通信数は前年比2倍超の約545億パケットに達したという。また、日本ネットワークセキュリティ協会(JNSA)のセキュリティ被害調査ワーキンググループが2016年に公表した調査報告書では、2015年の個人情報漏えい事件1件あたりの損害賠償額は3億3705万円に達したとされている。これらの数字からも分かるように、企業はサイバー犯罪者(集団)から狙われ続けており、その攻撃による被害を食い止め切れていないというのが現状だ。
では、なぜ企業はサイバー攻撃による被害の拡大を抑えられないのだろうか? その最たる原因の1つは、サイバーセキュリティに対する「経営者の理解が進まないこと」にある。NEC サイバーセキュリティ戦略本部 セキュリティ技術センターのシニアエキスパートである吉府研治氏は、こう話す。
「2014年にサイバーセキュリティ基本法が成立し、2016年からマイナンバー運用が始まる中、サイバー攻撃に対する経営者の姿勢も変わってきました。サイバー攻撃は決して人ごとではなく、全社的に取り組む必要があるとの認識が広がり始めたのです。ところが、経営者がどのように取り組みを進めていくかについては、これまで明確な指針がありませんでした。セキュリティ対策は投資対効果がはっきりしないこともあり、経営者が二の足を踏んでいたというのが実態だったのです」(吉府氏)
そんな中、経済産業省と情報処理推進機構(IPA)は2015年12月28日、民間企業の経営者向けにサイバーセキュリティ対策の原則と重要事項をまとめた「サイバーセキュリティ経営ガイドライン Ver. 1.0」(以下、経営ガイドライン)を公表した。これは民間企業の経営者に向けたガイドラインで、経営者がサイバーセキュリティをどう理解し、どう対策の方針を立てるべきかを示したものだ。吉府氏によれば、このガイドラインには画期的な点が幾つもあるという。実際にNECでも、この経営ガイドラインに沿って自社の取り組みを強化している。
しかし現実には、経営者が経営ガイドラインを活用できていない企業も少なくない。では、現場のセキュリティ担当者がこのガイドラインを自組織で活用したいと考えたとき、経営者に対してどのようにその有効性を訴え、自社のセキュリティ対策の強化につなげていけばよいのだろうか? 本稿では吉府氏に、“現場視点”から見たときの経営ガイドラインのポイントや自社への生かし方を解説してもらった。
経営ガイドラインは大きく3つのパートで構成される。パート1は、ガイドラインのポイントを経営者向けに分かりやすくまとめたもので、経営者が認識すべき「3原則」の概要と、担当幹部に指示すべき「重要10項目」の概要が示されている。パート2は、最高情報セキュリティ責任者(CISO)などのセキュリティ担当責任者に向けたもので、3原則と重要10項目の詳細が記載されている。そしてパート3はセキュリティ対策の実務担当者向けで、望ましい技術対策やISMS認証基準(ISO/IEC27001、27002)との関連性、用語解説などが記載されている。
「まず注目してほしいのは、これまでのセキュリティ関連のガイドラインが、主にセキュリティ担当者向けに実務で役立つ指針を示していたのに対して、経営ガイドラインでは経営者がセキュリティをどう認識し、担当者にどう指示すべきかという経営者視点で全体が構成されている点です」(吉府氏)
経営層に対して、具体的なセキュリティ対策の技術を説明してもほとんど意味はない。経営層に求められるのは、内外のサイバーセキュリティにまつわる全体的な動向を把握し、担当者に的確な指示を出すことだ。しかし、サイバーセキュリティに関して一体何を考慮すればよいのか分からなければ、その指示すら出せない。吉府氏によれば、経営ガイドラインはそうした状況を打破するのに有効なのだという。経営層向けにコンパクトにまとめられた最初のパートを理解するだけでも、その効果のほどを確認できる。
例えば、経営ガイドラインで示された3原則(下記)のポイントを、吉府氏は次のように説明する。
(1)経営者は、IT活用を推進する中で、サイバーセキュリティリスクを認識し、リーダーシップによって対策を進めることが必要
(2)自社は勿論のこと、系列企業やサプライチェーンのビジネスパートナー、ITシステム管理の委託先を含めたセキュリティ対策が必要
(3)平時及び緊急時のいずれにおいても、サイバーセキュリティリスクや対策、対応に係る情報の開示など、関係者との適切なコミュニケーションが必要
(「経済産業省 サイバーセキュリティ経営ガイドライン」より抜粋)
「キーワードは、リーダーシップ、サプライチェーン、情報の開示です。経営者自らがリーダーシップを発揮して、自社のみならずサプライチェーンを構成する他社のことまで考慮して、常に情報の開示に努めていく仕組みづくりが大切だということです」(吉府氏)
また、重要10項目(下記)の読み解き方について吉府氏は、以下のように解説する。
指示1:方針(セキュリティポリシー)の宣言
指示2:管理体制の構築
指示3:守るべき資産の特定、セキュリティリスク洗い出し、リスクへ対処計画の策定
指示4:PDCA実施、CISOなどが定期的に経営者へ報告、情報開示
指示5:サプライチェーンでのPDCAの運用を含むセキュリティ対策
指示6:サイバーセキュリティ対策の着実な実施、予算の確保や人材育成などリソース面での対応検討
指示7:他組織に委託する部分の適切な切り分け、委託先のサイバーセキュリティの確保
指示8:情報共有活動に参加、自社対策に反映、被害が社会全体に広がることの未然防止
指示9:CSIRTの整備、初動対応マニュアル、定期的な訓練
指示10:被害発覚後の通知先や開示が必要な情報項目の整理、スムーズに必要な説明ができるよう準備
「10項目は大きく4つに分類できます。指示1〜2は、リーダーシップの表明と体制の構築を行うためのもの。指示3〜5は、サイバーセキュリティリスク管理の枠組み決定に関する項目。指示6〜8は、リスクを踏まえた攻撃を防ぐための事前対策についてのもの。そして最後の指示9〜10で、サイバー攻撃を受けた場合に備えた準備を行います。このように、10項目を順にチェックすることで、自社のセキュリティ対策の取り組みを網羅的に確認できるのです」(吉府氏)
では、現場の担当者が経営層に経営ガイドラインの有効性を訴えるときには、どんな伝え方をしていくのが有効なのだろうか? 吉府氏は、まずは「セキュリティ投資の考え方が変わったことを訴えてみるのがよい」と提案する。例えば、経営ガイドラインに示されている原則1の中で「セキュリティ投資に対するリターンの算出はほぼ不可能」だと明記されている。
経営サイドは通常、投資に対してどの程度の効果があったのかを期待する。だが、セキュリティ投資はそもそもインシデントの発生を防いだり、インシデントによって発生した被害の拡大を抑えたりするためのものであり、直接の効果測定ができないという性質がある。そのためこれまでは、セキュリティ対策の効果について、インシデント発生を想定したビジネスインパクトを測定して評価に代えるなどの方法がとられることが多かった。結果、セキュリティ予算の獲得も難しいものになっていた。
それを経営ガイドラインでは、「リターンの算出はほぼ不可能だとしても、取引停止といった最悪の事態を免れるためにも、セキュリティ投資をどこまでやるのか、経営者がリーダーシップをとってリスクを判断し、対策を推進する必要がある」と強く求めている。これは経営ガイドラインの非常に画期的な点の1つで、担当者にはぜひアピールしてほしいポイントだ。
そもそも、経営ガイドラインでこうした強い要請がなされているのも、セキュリティ担当者だけで行うセキュリティ対策に限界があるということを背景としている。吉府氏は次のように話す。
「経営ガイドラインでは、それぞれの担当者の役割や関係性が明示されています。経営者やCISO、セキュリティ担当者、情報システム担当者それぞれが何をすべきなのかをはっきりさせることではじめて、会社全体での取り組みが推進できます。サイバーセキュリティ対策は『よく分からないから誰かにまかせる』『自分は関係ないから大丈夫』といった態度では乗り越えることができません。経営課題として、関係者全てを巻き込んでいく必要があります」(吉府氏)
また、「取引先やステークホルダーにダメージを与えないために、具体的な対策を打つ必要がある」という説得も有効だと吉府氏は話す。前述の通り、経営ガイドライン原則2でも、セキュリティ対策の対象を「サプライチェーン」に広げることが重要だとされている。
サイバーセキュリティの取り組みの範囲は、サプライチェーンを構成するパートナー企業や、セキュリティのサービスや情報を提供する企業、ステークホルダーにまで及ぶ。これは、最近の標的型攻撃の手口を踏まえたものだ。従って、いくら自社のセキュリティを強固にしても、サプライチェーンの中に脆弱(ぜいじゃく)性のあるシステムを運営する企業が1社でもあれば、そこを突破口にされ、マルウェアの感染がサプライチェーン内に広がり、重要情報が漏えいしてしまう可能性がある。逆に、自社のセキュリティ対策に不備があれば、それを悪用されて取引先の重要情報を意図せず漏えいさせてしまうかもしれない。
「経営ガイドラインの指示5〜7でサプライチェーン全体でどのような取り組みをすればよいかが示されています。具体的には、PDCAの運用を含むサイバーセキュリティ対策を行わせること、必要な予算の確保や人材育成など資源の確保について検討すること、自組織で対応する部分と他組織に委託する部分を適切に切り分けること、委託先への攻撃を想定したサイバーセキュリティの確保を確認することなどです。委託元としては当たり前と思っていたセキュリティ対策がなされてなかったということのないように、対策の内容については、契約書などで合意し、監査報告により把握するといった取り決めが必要になります」(吉府氏)
ただ、経営者の多くは、セキュリティ対策を怠ることが取引先に深刻なダメージを与えること自体は理解している。だからこそ担当者は「責任をはっきりさせるために書類を作る」「確認や監査の仕組みを作る」といった具体的な施策の提案を行うことが大切だ。また、自組織では技術的に対応が困難なものについては、信頼できる外部の専門機関の力を借りることをあらかじめ想定し、そのために必要な予算も確保することが必要となる。
そして、カギとなるのが、原則3における「情報の開示」だ。これについて吉府氏は、「インシデントが起きたときに対応するだけではなく、普段から顧客や株主といったステークホルダーの信頼感を高めることが企業にとっては重要です。実際にインシデントが起きたときの不信感を抑えるためにも、セキュリティ対策に関する情報開示など、平時から関係者との適切なコミュニケーションを行っておく必要があります」と述べる。具体的なコミュニケーションの方法や必要な取り組みについては、重要10項目の指示8〜10を中心に記載されている。それを参考にすればよいだろう。
さらに吉府氏は、経営層は「自社製品の脆弱性が社会に与える影響」にも気付いてほしいと話す。
「企業でIoTに関する取り組みが進む中、他社に納品したIoTデバイスやサービス、システムに脆弱性が見つかった場合の影響度が強く懸念されるようになってきています。そのため、自社が製造する製品について、ライフサイクルを通したセキュア開発の環境を構築することがますます重要になっています。具体的には、企画提案から要件定義、設計、実装、テスト、出荷、運用・保守までの各ライフサイクルにおいて、セキュア技術ガイドやチェックリストに沿ったセキュリティチェックを行い、品質を担保していくことが求められます」(吉府氏)
実際にNECでは、吉府氏が中心となり、自社製品に潜む脆弱性を見つけるための取り組みを進めてきた。金融や製造、流通などのシステムを顧客に提供する中で、自社開発し顧客に提供したシステムのセキュリティをどう守るかに長く取り組んできている。そのノウハウを、部品製造も含めたさまざまな開発プロセスに適用し、「サプライチェーン全体でのセキュア開発・運用」として実践できるようにしたのだ。
こうして“セキュリティ・バイ・デザイン”の考え方に沿って自社の製品の品質を高めることが、サプライチェーン、ひいては社会全体のセキュリティリスクの低減にもつながっていくわけだ。
また、NECでは、経営ガイドラインの公表以降は、既にNECで実施している各種セキュリティ施策を ガイドラインの原則や項目に沿って社内の取り組みを体系的に整理している。例えば、経営トップの宣言として「NEC情報セキュリティ基本方針」を公開し、CISOの任命と組織内のサイバーセキュリティリスク管理体制を構築している。また、リスクの把握と実現するレベルの目標・計画策定や、PDCAを回すための「サイバーセキュリティ対策フレームワーク」の構築と開示、定期的な演習なども行っている。
さらにサプライチェーンを含めたセキュリティ対策については、約1600社の取引先に対して、情報セキュリティ基準を提示し、年1回実施状況の点検・監査を実施している。そしてその結果やサイバー攻撃のトレンド、必要な対策を年3回のニュースレターや小冊子として発行し、周知徹底している。
また、セキュアな製品開発・運用については、NECグループからの開発・運用業務を受託する場合に「お取引先様向けセキュア開発・運用実施要領」に基づいた開発を実施しており、国内外の関係会社に対しても、共通のポリシーと施策で対策を実施し、状況の把握や対処が可能な体制を整備した。
「自社製品のセキュリティを高める上では、情報システムだけではなく、会社のあらゆる部門との協力が欠かせません。横断的なバーチャル組織を作るなどして少しずつ取り組みを進めていく必要があります。そうした取り組みを進める第一歩として、経営ガイドラインの活用は有効です」(吉府氏)
このように経営ガイドラインは、見方を変えれば、担当者が自分の望むセキュリティ対策の取り組みを進めるために経営者をどう口説き落とすかを示した格好のガイドラインともいえる。まずは、公表されている経営ガイドライン中のチェックリストに一度目を通し、自社の取り組み状況を確認してほしい。なお、NECでは、経営ガイドラインに準拠した無償のアセスメント診断を行うことができるWebサイトを公開している(下記参照)。
最後に吉府氏は、「サイバーセキュリティ事故は経営を左右する事案です。企業の事業継続に影響を及ぼさないようにリスク管理できる体制を作ることは、企業にとってもはや必須事項です」とあらためて強調した。経営ガイドラインは、経営者視点というこれまでになかった観点から構成されたガイドラインだ。企業の担当者はこれをうまく利用し、自社のサイバーセキュリティ対策を推進するツールとして役立ててほしい。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本電気株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2016年10月14日