DXの“一歩先” 技術は社会をどう変えるか?先駆者たちと考える Vol.1
~セキュリティ投資が企業価値を左右する時代、日本企業の課題と対策は~
【参加無料・wisdom特別オンラインセミナー】
実例から学ぶ!新ビジネス創造のヒント
~デジタルで変える社会・産業・生活~(12/13ライブ配信)
DXやAI、データ利活用で経営課題解決や新ビジネス創出を実現する様々な業界の有識者が集結。実例からビジネス変革を加速させるヒントを探ります。
もはや「ビジネスのこれから」を見通す上で、テクノロジーの活用は不可欠なものになりつつある。しかし、デジタル変革を一歩先に進め、具体的な戦略やアクションに役立てる、あるいは社会やビジネスの課題を解決したり、新たな価値を創造していくにはどうすれば良いのだろうか。このヒントを探るべくwisdomでは「DXの“一歩先”」と銘打ち、ビービットCCOの藤井 保文氏をモデレーターとする3回にわたる連載対談を企画。その第1弾として、サイバーセキュリティの専門家を招き、猛威を振るい続けるサイバー攻撃の“今”と“この先”、さらに企業・組織が取るべき対応策について語り合った。
SPEAKER 話し手
西尾 素己氏
サイバーセキュリティ専門家
多摩大学ルール形成戦略研究所
客員教授
藤井 保文氏
株式会社ビービット
執行役員CCO(Chief Communication Officer)
奥山 聖
NECセキュリティ株式会社
データドリブンサイバーセキュリティユニット
ユニット長
兼 NEC デジタルネットワーク統括部
CISSP
サイバーセキュリティとは「安全保障」である
藤井氏:セキュリティにかかわっていない一般の方は「どれぐらいサイバー攻撃を受けていて、サイバーセキュリティがどれだけ重要なのか」イメージがなかなかできないと思うんです。まずは、5年前、10年前と比べて今どのような状況なのか、サイバーセキュリティの専門家のお二人にお聞きしたいと思います。
西尾氏:ここ10年でサイバー攻撃は3段階で変化が起きました。1段階目が「アラブの春」を代表とする、サイバー攻撃を用いた活動です。アラブでは革命活動がデジタル空間で行われ、政権からの統制を避けるために匿名化技術が発達しました。このとき暗躍したのがアノニマスなどのハッカー集団で、彼らは「自分たちの力で政治を動かすことができる」ことを体感したわけです。
時を同じくして、仮想通貨などのデジタル資産が増え、ネットバンクへの攻撃やアカウントの乗っ取りが頻発した。その代表格が、今も猛威を振るっているランサムウェアです。「ランサムウェア・ギャング」と呼ばれる人たちが、金儲けのために攻撃するようになった。これがサイバー攻撃のマフィア化と呼ばれる2段階目です。
そして3段階目で、サイバー攻撃が政治的・軍事的オプションになった。政治的オプションになったというのは、認知戦などの領域です。例えば3・11の時の画像を加工して、「東京は災害で大変なことになっています」とフェイクニュースを流し、株価を操作する。だから、X(旧Twitter)上でまん延する偽情報を信じて拡散するだけで、認知戦に加担していることになるわけです。
一方、軍事的オプションの例でわかりやすいのは、ロシア・ウクライナ有事です。ロシア軍のサイバー部隊が最初に攻撃したのは、軍事施設ではなく、民間企業が運営する衛星インターネット通信の地上基地局でした。重要インフラにかかわる一民間企業を他国の軍隊が攻撃するという、とんでもないことが起こったのです。
ところで、これだけ経済制裁されているロシアが、長期間戦争を続けていられるのはなぜかわかりますか。その一翼を担っているのが、ランサムウェアを使った仮想通貨による資金調達です。ロシア政府はロシアのランサムウェア・ギャングとの間で「犯罪行為をやってどんどん稼げ。そして、有事の際にはロシア軍サイバー部隊として働け」という密約を結んだ。
だから、自分がランサムウェアに感染して身代金を100円でも支払ったら、それが回り回って、ロシアが戦争を続けるための軍資金になってしまう。サイバー攻撃はこの10年で大きく様変わりした、というのが実感です。
SaaSベンダーが大規模なサイバー攻撃にさらされている
藤井氏:今の説明で、非常に解像度が上がりました。奥山さんはいかがですか。
奥山:仮に日本の隣国で有事が起きた場合、日本も影響を受ける可能性があるかもしれません。ロシア・ウクライナ有事では、ウクライナの隣国の鉄道や風力発電が、ワイパー型マルウェア(システムやデータの破壊を目的としたマルウェア)などによるサイバー攻撃の影響を受けました。それと同様に、もし有事があった場合は、隣国の日本も影響を受けるリスクがあるわけです。この点については国も本当にいろいろな策を打っていて、電気や鉄道、金融といった重要インフラに対してセキュリティ強化を求めています。(重要インフラのサイバーセキュリティに係る行動計画(改定),内閣サイバーセキュリティセンター,2022/6/17)
また、医療機関でもランサムウェアの被害が出ており、ランサムウェアの被害を受けた医療機関が、数カ月診療できなくなる状況に追い込まれるような事例もでています。これは、人命にかかわる危機的な状況です。小説やSFの世界の出来事だったことが、今や現実のこととなってきている。我々はそこを守っていかないといけないし、今からできることはやらなくてはいけないと思います。
藤井氏:地政学的リスクがリアリティを帯びつつある中で、重要インフラにかかわる企業の意識は高まっているということですが、サイバーセキュリティ対策への投資状況はどうでしょうか。
奥山:金融機関や鉄道などの大企業では、サイバーセキリティ対策への投資は進んでいると思います。一方で、医療機関などでは、大企業のようにはサイバーセキュリティに大きな投資をかけられないのが現実です。厚生労働省が医療情報システムの安全管理に関するガイドラインを改訂したり、サイバーセキュリティ対策のためのチェックリストなどを出しているものの、セキュリティ対策を更に進めるためには、医療機関向け共通プラットフォームをつくるなどといった施策も必要な段階に来ていると思います。これは社会的な課題として取り組むべきだと感じています。この課題は、大企業と取引のある中堅・中小企業にもいえることであり、サプライチェーン全体でセキュリティレベルを上げていく必要があると思います。NECでは、お取引さまと一体となった情報セキュリティ対策の浸透や是正を推進しています。毎年、書類点検と訪問点検を行い、改善が必要な課題に対するフォローアップを行うなど、お取引さまのセキュリティレベルの向上を支援しています。
藤井氏:サプライチェーンで重要インフラにかかわっている中堅・中小企業が狙われているとすると、それこそ国レベルで対策を打たないといけない話ですよね。
西尾氏:今、何が起こっているかというと、SaaSのベンダーが大変な攻撃にさらされているんです。1社当たり100万円の予算をかけて100社を攻撃するより、1億円の予算で1つの巨大なSaaSサービスを攻撃したほうが、成功したときのリターンが大きいからです。
よく、「うちの会社なんか狙われませんよ。うちは日用品をつくっているだけですから」とおっしゃる方がいるんですが、つくっているのが日用品であろうと軍需品であろうと、同じSaaSベンダーを利用している以上、攻撃されるときはされてしまう。だからこそ、しっかり情報収集をしてほしいというのは常々思うところですね。
サイバー攻撃を可視化してリテラシーを高める
藤井氏:今回、いろいろなことを調べていて感じたのは、日本人の軍事や戦時に対するリテラシーが低いということです。目先の経済原理を優先することで、どんな軍事的・国防的・安全保障的問題が生じるのか、そこに思いが至っている人は、一般レベルではあまりいないのではないでしょうか。そのあたりも含めて、日本のセキュリティ投資が少ないのはなぜだと思われますか。
奥山:重要インフラにかかわる企業の間では、適切な投資をする動きも出てきてはいるのですが、まだまだ足りないと感じています。ただ、ここ数年、ランサムウェアによる数億、数十億の被害が海外で相次いで報告されている中で、サイバーセキュリティ体制を構築していないことによるレピュテーションリスクに加えて、経営者責任も問われるようになり、経営者の感度もかなり変わりつつあると思います。
サイバーセキュリティの専門家のトレーニングと認定を行っている国際的な非営利会員団体「ISC2( International Information System Security Certification Consortium)」の調査結果によると、セキュリティ人材は増加傾向であるものの、それ以上に需要が増えており、グローバルで400万人、日本では11万人が不足しているといわれています。特に、日本では人材需給ギャップが大きく、こうした人材面での課題がセキュリティ投資を阻んでいる面もあるのではないでしょうか。
藤井氏:リテラシーという観点については、どう思われますか。
奥山:やはり通常業務をやっていると、「自分がサイバー攻撃のターゲットになっている」とは、あまり感じないのではないかと思います。セキュリティ専門の業務に従事していない場合、セキュリティに関する教育や訓練が十分にされていないかぎり、セキュリティに対するリテラシーがあがらないのは当然のことと思います。NECではサイバーセキュリティに対する意識を高めるため、定期的な教育や訓練をするとともに、「実際にどれぐらいサイバー攻撃を受けていて、どれぐらいブロックしているのか」を可視化し、経営層から一般社員まで社員全員に対して共有しています。NECグループが受けているサイバー攻撃の実態を明らかにして、どんな脆弱性があるのか、グループ会社や事業部門ごとのリスク対応状況を完全にガラス張りにし、社員全員へ共有するわけです。
人間の心理として、ほかの部署と比較されると動き出すんですね。「隣の部署は対処できているが、うちの部署はできてない」となると、危機感を持って自走し始める。「他人には迷惑をかけたくない」という日本人特有の気持ちによるものかもしれません。当社では、グローバルを含めたガバナンス強化のために情報セキュリティ基本方針のもとで規程やマニュアルなども整備していますが、ここ数年、可視化により「セキュリティカルチャーを変える」ことにも取り組んでいる状況です。
最近では、このようなNECの取り組みを参考にしたいというお客様が増えており、NECのセキュリティ経営の実践例のご紹介や課題整理など、お客様のパートナーとして伴走型でご支援しています。
セキュリティ投資が企業価値を大きく左右する
西尾氏:リテラシーを上げるためには、「サイバーセキュリティに投資する意味」を明確にする必要があります。例えば、ある企業が1000万人分の個人情報を流出させたとします。個人情報保護法の規定によれば、国に対して1億円の罰金を支払わなくてはなりません。流出した時に1億円の罰金を払って済むのなら、10億円もかけてセキュリティ投資をする必要はない。となると、残るのはレピュテーションリスクです。
しかし、日本ではサイバー攻撃で個人情報が漏えいしても、メディアにもそれほど叩かれないし、株主代表訴訟や集団訴訟になった例も少ない。つまり、経営者からみるとほぼノーダメージなんです。だから、「実質的な被害とは何か」ということに立ち返る必要がある。
それではなぜ、サイバーセキュリティに投資する必要があるのか。それは明らかにビジネス上のリスクがあるからです。企業を買収するときのデューデリジェンス(適正評価手続き)では、セキュリティの対応能力が評価項目となっており、対応できていない場合、査定額が減額されます。例えば、かつてYahoo Inc.がVerizonに買収されたとき、デューデリジェンス中にYahoo Inc.が5億件のIDを流出させてしまい、その結果、会社の査定額が大幅に減額されました。要するに、サイバーセキュリティ投資をしているかしていないかが、企業価値を大きく左右するわけです。したがって、企業価値を上げるためには、サイバーセキュリティ対策を積み上げておくことが重要になる。
今、米国国防総省と取引するためには、NIST SP 800-171というセキュリティ基準を満たす必要があります。日本の防衛省も、ようやく米国と同じ水準でルールを改定し、5年間の猶予期間を設けました。欧米の先進国は、経済原理とサイバーセキュリティ投資をうまく結びつけていますが、日本ではまだそれができていない。一言でいえば、「やる意味」が見えていないのです。
藤井氏:私が支援しているビジネスにおける顧客体験、UXの側面から見ると、本人認証のステップを増やせば増やすほど、登録ユーザ数が減る傾向にあります。他社よりセキュリティをゆるめにした方がユーザ数が増えるし、個人情報の管理や本人確認をしない方が、ユーザ体験も楽になる。ここは、どう考えればいいのでしょうか。
西尾氏:例えば、NECさんは生体認証のトップランナーですが、生体認証が発達したことによって、ユーザも本人認証が楽にできるようになりました。ユーザに使いづらいと感じさせずに、セキュリティレベルを向上させられるかどうか。ここがまさに、セキュリティ屋の腕の見せどころです。
奥山:機密性を優先するか、使い勝手や速さを優先するかというのは、セキュリティのシステムにおいては常に議論になるポイントです。機密性を厳格に守ればユーザビリティは下がってしまいますし、ユーザビリティを重視するあまり、機密性をゆるめすぎてもいけない。それを打開するために、NEC社内でもPCへのログオンや食堂、購買のキャッシュレス決済など顔認証による本人確認を全面的に導入しています。それによって、セキュリティとユーザビリティ、機密性と可用性を両方担保することができる。このような技術革新に今後の可能性があるのではないかと思います。
ITガバナンスを固めて「暗号の2030年問題」に備える
藤井氏:今後、企業はサイバーセキュリティにどう取り組んでいけばいいのでしょうか。企業に求められる認識やアクション、教育についてお話しください。
奥山:重要なのは、「基本に立ちかえる」ことだと思います。まず、自社で本当に守らないといけないデータは何か。機密区分に応じてデータをラベリングし、暗号化やDLP(Data Loss Prevention データ損失防止)などの技術により組織の情報保護ポリシーに準拠した状態に保つこと。それぞれをどこに置き、どうバックアップするのか、どう監視するかということを、きちんと設計しておくことは非常に重要だと思いますし、データ活用やAI活用する上でも重要な対策になると考えます。
近い将来、量子コンピュータが実用化すれば、今の暗号技術は全く意味をなさなくなるといわれています。「暗号の2030年問題」に対応するためにも、今から準備をしておくことが、セキュリティ投資を必要最小限に抑えるためのポイントになると思います。
西尾氏:基礎固めが重要だというのは同感です。僕も10年ほど日本政府のサポートをしていますが、日本政府も本当にいろいろな対策をしています。防衛省は、「この水準に達していない会社とはお付き合いしません」というラインを引きましたし、重要インフラについては「経済安全保障推進法」ができた。経済安全保障上、重要な業務を行っている「特定200社」が選定され、セキュリティ基準が明確に示されたわけです。
しかも、このセキュリティ基準は特定200社だけではなく、その会社が委託している業者も対象になるので、サプライチェーンの枠を超えてどんどん規制の網にかかってくる。また、経産省が「企業を格付けする」という話もあります。政府機関や独立行政法人と企業とのやりとりにおいて、サイバーセキュリティ基準が、今まさに米国国防総省レベルに改定されようとしているわけです。
要するに、「何もやらなくてもノーダメージ」という時代は終わりつつある。ところが、「よしわかった。やりましょう」とセキュリティ投資をしても、全然効果が出ない。それは、サイバーセキュリティが建物の2階部分で、1階部分にはITガバナンスがあるという構造を理解していないからです。
例えば、「今、自分たちはどんなデータを持っているのか」「どんなシステムを持っているのか」「いくつアカウントを持っているのか」がわからないと、サイバー攻撃から守ろうとしても守りようがない。まずは足元のITガバナンスを固めて、5年後の2030年問題に耐えうる土台をつくりたい。今はそういう備えをする期間だと感じています。
藤井氏:サイバー攻撃の現状とこれからの対策の方向性が少し見えてきました。本日はありがとうございました。