%20(5).jpg?width=850&height=478&name=169_2_Blogtop%20(850%20x%20478%20px)%20(5).jpg)
金銭を奪い取ることを目的に、言わば“プロ化”が進行する近年のサイバー犯罪。被害に遭わないために企業はサイバーセキュリティにいかに取り組むべきでしょうか。同時に、生産性を下げることなく、安心して業務を遂行できる環境を実現するために、企業の経営者、セキュリティ部門、一般社員に求められる行動原理とはどのようなものでしょうか。サイバーセキュリティに対するリテラシーが企業にもたらす付加価値について、株式会社圓窓の代表取締役である澤円氏と、NRIセキュアでセキュリティ教育サービス部長を務める時田剛が対談しました。
確実に金銭を奪い取るためにオンラインサポートまで提供!? 近年のサイバー犯罪の傾向
時田:澤さん、本日はどうぞよろしくお願いします。まず、近年のサイバー犯罪の傾向についてお話しさせてください。私としては、攻撃者が自分の技術をアピールするような「自己顕示欲の主張」を目的とした犯罪が減り、明確に金銭目当ての犯行が増えてきている傾向にあると感じています。澤さんがどのように捉えていますか。
澤:もはや愉快犯が関わる領域ではなくなったと、僕も思います。 昨今のサイバー犯罪は、マルウェアを作る者と、それを使って犯行を行う者とが役割分担されるなど、いわばエコシステムが確立されています。また、仮想通貨の登場によって犯行後のお金の動きも見えにくくすることができるようになりました。近年のサイバー犯罪者は非常に抜け目がなくなっています。
時田:手口も非常に高度化していますね。
澤:おっしゃる通り。ランサムウェアで誘導されるポータル画面ひとつとっても、本当によく作り込まれています。
「今すぐお支払いならこちらの金額。24時間後だと2倍になりますが、どちらをお選びになりますか?」などと被害者の感情を揺さぶってきたかと思えば、支払い方法も各種用意されていて、操作方法がわからない人のためにオンラインサポートまで充実しているという手の込みようです。確実に金銭を奪い取るために、手法は洗練されてきています。
株式会社圓窓 代表取締役 澤 円氏
経営層の意識と「鍵をかける」という発想がセキュリティ対策を滞らせる原因
時田:そのような状況の中で、企業のセキュリティについての意識はどうでしょうか。
澤:まず、業務が優先でセキュリティの優先度が低いというのが、多くの企業に共通する感覚だと思います。「OSを最新の状態にしたいけど、一部のアプリで動作保証がされていないから少し待ってみる」みたいなことが往々にしてありますよね。
業務に支障が出ないことを優先した発想ですが、それによって生じるセキュリティリスクを考えると、OSのアップデートを先にしてから動かないアプリの対策を考えるという順番が本来の正しい経営判断だと僕は思っています。
僕が長らく務めていたMicrosoftでは、「SD3 + C」という考え方がありました。これは、「Secure by Development・Secure by Design・Secure in Deployment and Communication」のことを示していて、初めからセキュアな状態をベースに開発し、設計し、展開し、コミュニケーションを欠かさないようにするという意味です。
例えば自動車は、「走る・曲がる・止まる」という基本性能がありますが、それはあくまで「安全」という土台のうえで実現していますよね。スピードを重視した結果、安全が損なわれてしまうような自動車は生産されません。
つまり、セキュリティは外側から付けて強化したり、補ったりするものではなく、全体のベースに入れるという意識が最も大事です。
時田:そのようなベースを築くためには、経営層がセキュリティに対して正しい意識をもっている必要がありますよね。しかし残念ながら日本では、IT担当者が深く経営に関わっていることがまだまだ少ない…。
セキュリティ対策を経営の「足かせ」のように捉えてしまっていたり、社内でセキュリティ部門がまるで敵のように見なされてしまうこともあります。情報セキュリティの3要素として「CIA(Confidentiality:機密性、Integrity:完全性、Availability:可用性)」という言葉がありますが、海外ではCIAと言っても伝わらず、AICなどと言われることが一般的です。可用性(A)に重きをおき、「セキュリティ対策だからといって、使いたいときに使えないと意味がない」という考え方です。
機密性を優先する日本の考え方だと、守る・制御する・歯止めをかけるというアクションが先にくるので、セキュリティ対策がビジネスの加速を止めるようなものになってしまいます。
NRIセキュア セキュリティ教育サービス部長 時田 剛
セキュリティは経営マネジメントの中でデザインしていく
時田:どのようなセキュリティ対策が理想的だと澤さんは考えますか?
澤:キーワードとして、「属人化しない」「意識させない」「禁止事項をつくらない」ということがポイントになると思います。
大企業のなかでも、1人の優れたIT担当者だけですべてのセキュリティ対策を担っているケースがあります。その場合、その人が辞めてしまうと破綻してしまいます。それに、優秀な担当者といえども、人間なら誰しも間違った判断をしてしまうことがあるでしょう。これが属人化しないというアプローチです。
また、「これをやらなければいけない」と人が意識的に行う必要があるセキュリティ対策も、更新が遅れたり、業務の妨げになったりします。極力人が作業を行わなくてもセキュリティが常に守られる、自動化した仕組みを設計することが「意識させない」アプローチになります。
もうひとつ、リスクを減らすために禁止事項ばかり設けてしまう場合がありますが、こうした考え方も避けたいところです。そのような発想だと、セキュリティ担当者が業務をストップさせる存在と認識され、社内で嫌われてしまいます。すると、そんなセキュリティ担当者に憧れを抱く人はいないので、下も育たないという悪循環になります。ですから、禁止事項で業務を縛るのではなく、セキュリティを高めながら生産性も高まるような仕組みをデザインし、経営者はそこに設備投資をしていく必要があるのです。
時田:そうした理想的なセキュリティの仕組みを作るためには、1人のセキュリティ担当者に任せるのではなく、経営者がマネジメントのなかでデザインしていくことが重要ですよね。
澤:本当にその通りです。経営層にそのような人材がいない場合は、NRIセキュアさんのような専門家に相談して外部で教育してもらうのもいいでしょう。
セキュリティ人材に求められるコミュニケーション能力
澤:ちなみに時田さんは、どんな人がセキュリティ担当者に向いているか、理想的な人物像はありますか?
時田:ITの基本的な知識がありながら、セキュリティのリスクを金額で示して経営層に説明できるような人が最適だと思います。IT用語で話しても経営や営業視点の人には伝わりません。この対策をやらないことでどれくらいの損害になるのかを伝えられるコミュニケーション能力が重要だと思いますね。
澤:セキュリティ担当者のコミュニケーション能力にはあまりスポットライトが当たりませんが、実はとても大切な視点ですね。
時田:そうですね。コミュニケーションの話に関連して、インシデントの発生を想定したトレーニングをクライアントに行う際に私が必ず伝えることがあります。それが「悪者をつくるな」ということです。
原因究明で「この人に依頼した」「またはこの会社に発注した」ということが原因と結論づけてしまうと、人を変えたらOK・会社を変えたらOKという発想になって思考停止してしまいますよね。そうではなく、問題の根本と向き合うことを大切に社内でコミュニケーションをとるように伝えています。
澤:1人の担当者だけにセキュリティ管理から教育、インシデント対応といった役割をすべて委ねてしまうと、そのような根本的な原因の究明という重要な活動が疎かになってしまいますよね。そういった意味で、社内でセキュリティ人材を増やしていくということも重要になると思います。
ゴールは全員がセキュリティ人材になること
澤:僕のセキュリティ界隈の知り合いでスターみたいな人が数名いるんですが、彼らに共通しているのは「話が面白い」ということ。ハッピーな気持ちになるので、人が集まってくるんですね。知識が深いのはもちろんのこと、セキュリティに関するさまざまなネタをもっていて、興味のない人にも楽しく伝えることができる。セキュリティ人材にはこの資質がものすごく重要だと思います。
彼らのような人が社内にいると、カルチャーを醸成する“震源地”として、自然と日常のなかでセキュリティへの意識がねずみ算式に広がっていきます。ゴールとしては、従業員全員がセキュリティ人材になることが理想的です。
そういった人材が増えると、セキュリティに対する意識が社内のコモンセンスになり、一人ひとりの日々の振る舞いが少しずつ変わっていく。システムを常に最新の状態で使用することが当たり前になれば、業務の生産性も向上し、経営の全力疾走を後押しすることにつながるでしょう。
時田:そんなエバンジェリスト的な人がいる状態は素晴らしいですね。震源地になるようなセキュリティ人材と聞くと、なかなかそんな素養をもつ人はいないと思うかもしれませんが、最低限ITの知識があり、セキュリティ領域にも興味がある人であればNRIセキュアのカリキュラムで教育することも可能です。
澤:社内でそういった状況を作りながら、外部のセキュリティコミュニティとつながることも大切だと思います。日本国内でITに従事している人材は104万人と言われていますが、そのなかでセキュリティ担当者はごくわずかで、その人たちが情報交換をしているコミュニティが存在します。
少数精鋭な分、とても知識が深く、知見を惜しみなく人に教えるというカルチャーもありますので、そこに参加することで得られる情報も多いでしょう。
時田:確かに、界隈のカンファレンスに行くとだいたいよく見る顔ぶれが揃っていますよね(笑)。事故対応の事例や、自分でマルウェアについて調べた知見など、有力な情報を教えてくれます。
セキュリティの震源地になる人を増やすために企業が行うべき投資とは?
時田:セキュリティの震源地になる人を自社に増やしたい企業経営者は何に投資すべきだと思いますか。
澤:そもそも「セキュリティに投資する」という発想はいらないんじゃないでしょうか。デジタルに投資する中にセキュリティが入っている状態を作りましょうということなので。
ただし、間違いのない投資をしないといけない。そのときには、最新のパソコンを使いましょうというのもひとつなんですが、最新ならなんでもいいわけじゃなくて、チップセットの観点とか、操作性の観点とかで、セキュアな状態が作れる正しい製品選定をする。
それと、禁止することをどれだけ減らせるかが重要。たとえばUSBメモリーの使用禁止っていうのは不便ということとセットになってしまうから、かえってリスクが高くなる可能性もあります。
禁止するのではなく、禁止しないといけないものが不要になるようにシステムを整備していくと、結果的に利便性が上がって、生産性の向上にもつながっていく。そういうことに投資しましょうということです。便利にするということに「No」と言う人はいませんよね。
そして、経営者の方々には株主総会で、自分たちは生産性を上げると同時にセキュアな状態を確保しているんですと、堂々と語っていただきたいですね。それによって自分たちを「イケてる会社」としてブランディングすることだってできる。
経営者はBS(貸借対照表)/PL(損益計算書)が読めて当たり前だとみんな思っていますけど、セキュリティについても俯瞰的な知識については経営者の常識になってほしいですよね。
時田:生産性とセキュリティは決してトレードオフではないですからね。
澤:それと、経営者がセキュリティへのコミットを明言してくれることで、心理的安全性が担保できる。社員たちが、自分たちはいいことをしているんだと思えるわけです。心理的安全性は経営において非常に重要な概念だと言われていますが、セキュリティの不安を感じずに仕事ができるということも含まれるわけです。
そこではセキュリティ人材は安心して仕事ができる状態を提供してくれる人として敬意を持たれるし、そうすると彼らも前向きに仕事ができる。誰も不幸になっていない。この状態をデザインして行きましょうっていうことなんですね。
時田:確かな知見とコミュニケーション力をもとに、社内でセキュリティをコモンセンスにして、最新のクラウドシステムなども活用しながら適切な方法で対策を設計すると、更新の手間やコストもコントロールできます。こうした状態を整えれば、データを安心して保全できるだけでなく、企業全体のブランディングにもつながり、経営面でも大きな意味を感じることができますね。
