経営者とセキュリティ担当者が今なすべきセキュリティ対策とは:プロだからこそ話せるセキュリティの“今”と“これから”
いまだ勢いの衰えを見せないサイバー攻撃。企業や経営者は増加するセキュリティの脅威に対し、どう対応していかなければならないのか――。3人のセキュリティのプロフェッショナルが、経営者とセキュリティ担当者が今なすべきセキュリティ対策について語り合った。
サイバー犯罪の進化はとどまるところを知らず、サイバー攻撃はますます巧妙化・凶悪化している。日本の企業や公共組織を狙う犯罪者は多く、2020年に向けて、さらに攻撃が激化していくとも予想されている。
こうしたサイバー攻撃に対し、企業の経営者は自社のビジネスや貴重な人材を守るために手を尽くす義務がある。セキュリティ担当者もまた、自身の経験や知見を最大限に活用して、最良の施策を立案・実行する必要がある。両者とも、限られたリソースの中で最適な対策は何か、最も優先すべきことは何かと、常に悩まされていることだろう。
いま、私たちが行うべきセキュリティ対策は、どうあるべきか――。
セキュリティコンサルタントとして著名なEGセキュアソリューションズ 代表取締役の徳丸浩氏、デロイト トーマツグループにおいて網羅的なサイバーセキュリティサービスを提供しているデロイト トーマツ リスクサービスの代表取締役社長 丸山満彦氏、そしてキヤノンマーケティングジャパン ITSカンパニー セキュリティソリューション企画部 部長 石川滋人氏が“今なすべきセキュリティ対策”について語り合った。
セキュリティ担当者は経営者へ何を伝えるべきか
進化を続けるサイバー攻撃に対し、経営者とセキュリティ担当者は、何を考え、どのような施策を採るべきなのだろうか──。
石川氏 急速に移り変わり、“いたちごっこ”とも言われるセキュリティトレンドに対し、企業はさまざまな施策を採らなければなりません。特にセキュリティ担当者は、経営者をどのように説得すべきかと悩んでいると思います。
丸山氏 よくそういう質問がありますね。経営者が責任者ですから、経営者に意見具申をしても経営者が「サイバーセキュリティ対策は今のままでよい」というのであれば、担当者としては仕方ないと考えるしかありません。担当者としては、意見具申をしたという事実が重要です。「私は言いましたよ。何かあっても、『お前らなんで考えていなかったんだ』とは言わないでくださいね」と返しておいてください(笑)
ただし、経営者に理解しやすく意見具申したかどうかは重要です。一方、経営者も「俺はITは分からん」ではだめで、技術的に細かいことは分からなくても、会社が置かれているリスクの状況を理解しておく必要があるのです。経営者が最終責任を持たなければならないわけですから。
徳丸氏 私もよく質問されるのですが、経営者を説得する“最良の方法”などないと答えています。
丸山氏 もちろん、経営者を説得しやすい“タイミング”はあります。ビジネスに有益なIT投資が優先されるときには、それとセットでセキュリティを強化する施策を提案するのです。
それには定期的なシステム更改などのタイミングで、同時にセキュリティ対策を検討することも重要です。システムに投資した翌年にセキュリティを強化したいと言っても、それを実施するのは困難です。
徳丸氏 「できるだけ安くて効果的な対策」であれば答えられますし、その方が経営者も納得しやすいでしょう。
広がる“セキュリティ格差”、日本企業は何をすべきか
セキュリティ対策を積極的に行っている企業と行っていない企業。この二者の違いとは何だろうか。2020年に向けて、私たちはどのような対策を実施していけばよいのだろうか──。
石川氏 近年は、セキュリティ対策をきちんと実施している企業と、実施していない企業とに状況が二極化しているように感じます。
徳丸氏 私は2008年ごろから「セキュリティ格差社会」というキーワードを提唱しています。2005年くらいにSQLインジェクション攻撃が登場し、それから3年経って、対策ができている企業とできていない企業に差があることを発見したからです。現在、この格差はさらに広がっていると思います。
丸山氏 攻撃者は常に進化し続けています。これにがんばって追随している企業は、現在も対策がきちんとできています。一方、早々に諦めて、あるいは忘れてしまって、何もしない企業もありますね。
徳丸氏 内部のシステム脆弱(ぜいじゃく)性への対策については、「“実施した”という実績があればよい」と考える企業もありますね。以前、あるECサービス事業者から脆弱性の診断を依頼されたのですが、「検査は最初の1ページだけでよい」と言われました。もちろん、その依頼はお断りさせていただきました。
石川氏 2020年に向けて、サイバー攻撃が激化すると予想されています。日本企業はどのような対策を行っていけばよいのでしょうか。
丸山氏 2020年に日本の企業や公共組織を標的とした攻撃が増えるだろうと予想される期間は、だいたい1カ月ほどでしょうか。その短い期間のためだけに、多額の投資を行うというのは疑問ですね。その期間のために対策を実施したとして、その後はどうするのでしょうか。やめてしまうのでしょうか。
重要なことは、特別ではない“いつも”のために対策することなのです。
徳丸氏 サイバー攻撃の多くは、「金もうけ」を目的として行われます。2020年だからといって、金銭目的の攻撃が急増するとは考えられません。もちろん、意識する必要はあるでしょう。
例えば、2017年2月にWordPressの脆弱性が明らかになったときには、多くのWebサイトが攻撃を受け、改ざんされました。このときの攻撃者は、金銭目的ではなく、“これだけの数のサイトを改ざんした”と自慢したかったのです。こうしたことが、2020年に数多く発生する可能性は十分にあります。しかし、これは本質ではありません。数は増えても、攻撃のレベルは低いと考えられます。
丸山氏 2020年をセキュリティ対策の目標とするのは悪くはないと思いますが、予算獲得のための“方便”として使うことは避けるべきです。終わったときに経営者が「やめた」ということになりかねないからです。
限られたIT予算をどのように使うべきか
経営判断でセキュリティ対策の予算が縮小したり、実施を延期したりするケースは少なくない。組織作りに投資してCSIRTを設立したものの、うまく運用できていないケースもあるようだ──。
石川氏 セキュリティ対策予算の獲得には、多くの方が苦慮していることでしょう。経営判断によって、後から予算を減額されることもあるようです。
丸山氏 経営判断で一時的にセキュリティ対策を後回しするのは、致し方ないことだと思います。ただし、きちんと後で実施することが大事ですね。今年がダメならば、来年は必ず予算を投じるなど、リスクを意識して対策を進めていくことが重要です。
もし、一部のセキュリティ対策しか実施できないような状況であれば、「発見」を重視してほしいですね。攻撃に気付くことができなければ、何も対策できないからです。
石川氏 最近は「防御」ばかりが注目されて、セキュリティ対策に偏りが生じているように感じています。セキュリティ対策もバランスが重要なのではないでしょうか。最近当社では、NIST(米国国立標準技術研究所)が定義する「サイバーセキュリティフレームワーク」を参考にセキュリティ対策を、「特定」「防御」「検知」「対応」「復旧」の5つの視点から全体を俯瞰しながらバランスの取れた対策をするようお勧めをしています。
徳丸氏 そうそう、このバランスは重要ですね。
丸山氏 本来、セキュリティ対策でやるべきことは、非常に“シンプル”なはずです。このフレームワークのように、もっとシンプルに考えることが重要だと思いますね。基本は防御、それでも防げないから検知、対応、復旧の対策を備える。防御に偏っている場合は、検知を次に考える。泥棒対策も同じだと思います。まずは、鍵を掛けることが重要。ピッキング対策も重要だけど、その後は侵入検知などのサービスですよね。そういう基本は防犯対策もサイバーセキュリティ対策も同じだと思います。
石川氏 バランスよく、シンプルに、地道にやることが重要なのですね。
丸山氏 最近は多くの企業が「CSIRT(Computer Security Incident Response Team)」を設立しています。しかし、攻撃を発見できなければ対処できず、ヒマな組織になってしまいます。
外部からせっつかれて受動的にCSIRTを作るような企業は、状況を切実に感じていないようにも思われます。組織を作ることはそれほど困難ではありません。後はコンサルタントに手順書などを作らせれば完成です。その結果、ヒマな組織になるわけです。これも、セキュリティ格差の1つですね。
丸山氏 CSIRTは組織として経験を積むことが重要です。初期のCSIRTでは、例えば情報漏えいが発生したとき、大騒ぎし過ぎるケースと無反応なケースに分かれます。もし大騒ぎしたとしても、それを反省し、次にどう生かすべきかを学ぶことができます。無反応は論外ですね。
インシデントやトレンドを経営者に報告するときは、言い方に注意してください。技術的な話をしても、多くは伝わりません。ビジネスにどのような影響を与えるのかという視点で話すべきです。予算獲得のときと同じ話です。
セキュリティ対策は誰に任せるべきか
特に中小規模の企業では、セキュリティ対策を自社で行うことに限界を感じているところが少なくないという。一方で、アウトソーシングにも不安がある。そのとき、経営者はどのように判断すべきだろうか──。
石川氏 最近では、自社のセキュリティ運用をアウトソーシングする例も増えてきていますね。一方で、外部に任せることに抵抗を感じることもあるようですが。
丸山氏 むしろ、積極的に外部に出すべきだと思います。クラウドサービスなどを活用して、システム運用自体を自社で実施するのをやめることが主流になりつつあります。
同様にセキュリティも信頼できるサービスを活用し、自社でやるべきことを減らすことが重要です。多くの企業は、GoogleやAmazon Web Servicesと同じレベルの安全なインフラを作り、継続的に運用することはできません。餅は餅屋、セキュリティはセキュリティの専門家に任せた方がよい部分も多くあります。もちろん、意思決定は外部に任せられませんから、丸投げということはないですが。
石川氏 セキュリティ対策の人材確保も必要ですね。
丸山氏 冒頭で申し上げたのですが、経営者は全ての責任を負う必要があります。経営判断のための知識が不足しているのであれば、“分かっている人”を補佐に付けるべきです。経営目線でセキュリティ対策を考えられる人材は、時間をかけて育てるか、他から採用する以外にはありません。企業や国だけでなく、個人も自身に投資して、勉強してほしいと願っています。
徳丸氏 私のところには「セキュリティ人材を育ててほしい」という依頼もあるのですが、知識を与えることはできても、コーチすることはできません。なぜなら、その企業の内情を知らなければならないためです。
Canon Security Days 2017開催! 見どころは……
2017年10月17日(火)、18日(水)、セキュリティ専門イベントの「Canon Security Days 2017」が開催される。徳丸氏と丸山氏も登壇し、企業がなすべきセキュリティ対策について語ってくれる予定だ──。
石川氏 Canon Security Days 2017での講演はどのような内容になるのか、少し教えてください。
徳丸氏 私は「サイト運営者と開発会社がWebサイトでやっておくべきこと」というタイトルを予定しています。Webサイトのプレーヤーは、まず何をしなければならないのか、ごく基本的なところからお話ししようと思います。
丸山氏 私は「これから我々は何をすべきか」というタイトルで、IT担当者やセキュリティ担当者が目指すべき方向性を示唆したいと考えています。具体的には「経営者を目指せ」という話をするつもりです。経営者に訴えるには経営視点を持つべきだということですね。
石川氏 お二人とも、非常に興味深い講演になりそうですね。イベントでは、セキュリティ専門家による多数のセッションを通じ、最新のサイバーセキュリティ情報をお伝えいたします。ぜひ読者の皆さんも会場へ足を運んでいただければと思います。
◆Canon Security Days 2017 開催◆
ランサムウェアや標的型攻撃など、サイバー攻撃が巧妙化する一方で、IoTや働き方改革などの環境の変化に伴い、新たなセキュリティリスクが発生しています。
「Canon Security Days 2017」では、これからのサイバーセキュリティにどのように対処すべきかをテーマにセミナーを開催し、最新トレンド情報とセキュリティ対策について詳しく解説します(ワークショップ及び展示も併設)。
・開催日:2017年10月17日(火)、18日(水)
・会 場:キヤノンマーケティングジャパン株式会社 東京都港区港南2-16-6 Canon S Tower
・対 象:CISOをはじめとする経営者層及び、企業のIT部門責任者・担当者の方
・申 込:事前登録制(無料)
Copyright © ITmedia, Inc. All Rights Reserved.
提供:キヤノンマーケティングジャパン株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2017年10月14日