「日本型組織」はなぜサイバー攻撃に弱いのか：＠ITセキュリティセミナー 東京・大阪・福岡ロードショー 2017 レポート（1）（3/3 ページ）

[高橋睦美, 唐沢正和，＠IT]

“トップガン”が語る「日本型組織はサイバー攻撃にどう対処すべきか」――PwCサイバーサービス 名和利男氏

PwCサイバーサービス 最高技術顧問 名和利男氏

　最後に行われた特別講演では、PwCサイバーサービス 最高技術顧問の名和利男氏が登壇し、「最前線から突きつける現実　なぜ、日本のインシデント対応能力は向上しないのか」と題して、日本型組織におけるサイバー攻撃対策の現状、そして日本型組織がインシデント対応能力を高めるために改善すべき課題などについて語った。

　日本企業は、欧米の企業に比べてセキュリティ対策が甘く、サイバー攻撃への対処も遅れているといわれることがある。日々最前線でサイバー攻撃の脅威と向き合っている名和氏はその理由について、「江戸時代の幕藩封建制度から脈々と続いている『日本型組織』が背景にある」と述べる。

　「日本型組織の特徴としては、『終身雇用制』『年功序列』『現場主義』『合議制』の4つが挙げられる。これらにより、欧米型組織に比べて、トップがお飾りになりやすく、責任を部下に押しつけ、最終責任を取らなくなる傾向がある。ここに、日本型組織と欧米型組織の違いがある。昨今、サイバー攻撃は、実施主体の能力が急速に進化し、その攻撃手法も大胆に変化しているが、日本型組織では、このことをトップが理解できず、保有すべき防御能力を適切に見積もることができないのが実情だ」（名和氏）。また、終身雇用・年功序列によって社員間のなれ合いや曖昧な報告・手続きが発生しやすく、組織内システムに最適な権限管理やセグメンテーションを実装しにくい点も、サイバー攻撃を受けやすい要因となっているという。

　さらに、名和氏はサイバー攻撃自体の変化について以下の3点を挙げ、日本型組織はこうした変化をもっと認識するべきであると訴えた。これらはいずれも、攻撃者に高い費用対効果をもたらしているという。

• 業務システムがメインフレームから汎用のPCサーバに移行したことで、同一プラットフォームで感染を拡大させやすくなった
• P2P（利用者間通信）から、IoTやM2M（マシン間通信）へのシフトに伴い、マシンのプログラムが狙われるようになった
• データ量の急増と集中化の結果、データが集中しているシステムのみに攻撃ターゲットを絞ればよくなった

　その上で同氏は、日本型組織がインシデント対応能力を高めていくための課題として以下の4点を指摘する。

• 従来のインシデント連絡体制がうまく機能しなくなっている
• インシデントを判断するメンバーが役職者ばかりで実働要因が不在である
• 経営層が適切な状況認識をできていない
• インシデントハンドリングの流れに一貫性がない

　では今後、日本型組織がインシデント対応能力を高めていくためには、どのような取り組みが必要なのだろうか？　名和氏によれば、「まず、インシデントを待っているだけでなく、積極的にインシデントの兆候検査および収集に取り組むこと。そして、獲得できた兆候情報について、関連情報や過去の記録、専門的知識を有する人材、もしくは教養と経験を有する人材によって事実推定を行うことが重要になる」という。

　そしてインシデントが検知された際には、トリアージをしっかり行うことが、スムーズなインシデント対応につながる。「トリアージとは、多様なインシデントを分類、優先付けし、対処割り当てを行うことだ。とくに、対処割り当てについては、どの部署がどう対処するのかを事前に決めて、訓練しておくことを推奨する。トリアージした後は、技術的・管理的・法務的部門が協調しながら、インシデントの解決を図っていくことになる」（名和氏）。

　さらに、インシデントの検知からトリアージ、対処に至るまでの流れの中で、関係する他の部門や他の組織と効果的に連携することも欠かせない。名和氏は最後に、「単なる情報連携ではなく、インシデントの検知力向上や、断片的な情報からの事実推定、インシデント対応に向けた情報収集など、何のために連携するのか、目的を明確にすることがポイントになる」とアドバイスを送った。