最近になって、企業の経営者やIT担当者から、「セキュリティ対策が難しくなった」という声がよく聞こえてきます。
2000年代に入ってから、コンピュータがインターネットに接続することが当たり前の時代となり、企業はマルウェアや不正アクセス等の様々なセキュリティリスクへの対応に迫られてきました。
各種のセキュリティソリューションを導入したり、ポリシー・ルールを整備したり、社員教育を強化したり、企業はこれらのリスクに対して、着実な対策を繰り返してきました。それにも関わらず、ここにきて更に「セキュリティ対策が難しくなった」というのは、なぜなのでしょうか。今、企業がサイバーセキュリティを維持・強化していくためには何をする必要があるのでしょうか。
本記事では、企業がサイバーセキュリティ対策の最初の一歩を踏み出すために、抑えておくべきトレンドについて解説します。
サイバーセキュリティを複雑にしている要因
2015年12月、経済産業省からサイバーセキュリティ経営ガイドラインが公表されました。これは、企業の経営層を対象として、サイバーセキュリティ対策を推進するための指針として策定されたものです。
現在では改訂され、Ver2.0となっていますが、その冒頭で述べられているキーメッセージは変わっておらず、“サイバーセキュリティは経営問題“という内容です。これまで企業の中で、セキュリティは、「コスト」として考えられてきましたが、今では、経営を左右するような要素として、事業活動・成長に必須の「投資」と捉えるべき、と言われるようになりました。
それほどまでにサイバーセキュリティは、経営層からの注目を集めるようになった一方で、セキュリティ対策の難易度はどんどん高くなっていると言われています。企業のセキュリティを難しくしている要因は、大きく以下の3つだと考えられます。
①事業環境の変化(IoT、クラウドの台頭)
②セキュリティ脅威の多様化・複雑化
③セキュリティ人材の不足
そして、これらの要因を紐解いていくことが、企業が実施すべきサイバーセキュリティ対策の最初の一歩につながるものと考えられます。それでは、一つずつ解説をしていきます。
①事業環境の変化(IoT、クラウドの台頭)
デジタルビジネスの波により、企業の事業環境、IT環境は大きく変わりました。特に「IoT」と「クラウド」は企業のビジネスそのものを大きく変えたと言ってもいいでしょう。
IoTとは、Internet of Thingsの略で世の中に存在するさまざまな「モノ」に通信機能をもたせ、インターネットに接続し、相互に通信する情報通信システムやサービスのことを言います。
これにより、これまで不可能だった、ビジネスにおける「状況の見える化」が可能になりました。工場の遠隔監視、故障の検知、車載カメラや位置情報を活用した車両制御の高度化等、業務の生産性を向上させたり、新たな付加価値を生み出したりする仕組みとして、注目が集まっています。
しかし、IoTの普及により、便利になった一方で、新たな懸念もあります。これまで全くセキュリティを考慮していなかった監視カメラや制御機器等がインターネットへ接続することで、これらの機器で、マルウェア感染や不正アクセス等のセキュリティリスクが出てきました。IoTを導入することで、企業が考慮すべきセキュリティの対象範囲が格段に広くなってしまったのです。
図. IoTの活用事例
また、クラウドサービスの普及も、新たなセキュリティリスクに繋がりました。企業は、クラウドによりIT化・事業化のスピードが格段に向上した一方で、事業部門が勝手にクラウドサービスを使い、全社としてのセキュリティ対策が及ばない、いわゆる『シャドーIT』のリスクが懸念されるようになりました。
クラウドサービスは、アカウント登録さえすれば、インターネットを経由して、どのような場所・デバイスでも、サービスを利用することができ、簡単にサービスを開始できます。それは、クラウドの最大の利点であると共に、企業のセキュリティ管理における空白地帯となり、「事故のポテンヒット」に繋がる可能性があります。
このように技術が進化したことで、企業のビジネスが革新されていきましたが、その「副産物」として、新たなセキュリティリスクが生まれてしまいました。
企業は、これらのリスクへプロアクティブに対応するために、これまでのITのスコープにとらわれずに、自社のビジネスの全体像を俯瞰して、どの部分に守るべき情報資産が存在していて、それがどのような対策で保護されているかを今一度見つめ直す必要があります。
②セキュリティ脅威の多様化・複雑化
技術の進化は、それを「悪用する人」も増やしてしまいます。近年、企業は社外より様々なサイバー攻撃を受けるようになりました。その中でも、最も急増しているのが、標的型メール攻撃、およびランサムウェアです。
NRIセキュア「企業における情報セキュリティ実態調査2017」を元に作成(n=671)
ランサムウェアはメール経由での拡散が多く、標的型メール攻撃と共に、「メールによる脅威」として語られることが多いです。日本国内での代表的な事例としては、日本郵政からの商品配達連絡や、宅配便業者の不在通知等を偽装するケースが確認されており、本物と見分けることが困難になってきました。
また、これらの「怪しいメール」を受信した人の8人に1人が開封してしまい、特に経営層は一般社員よりも開封率が1.6倍高い傾向にある、というデータもあります。
NRIセキュア「サイバーセキュリティ傾向分析レポート 2016」より
企業ではこれらの多様化・複雑化したセキュリティリスクを完全にゼロにする努力をするのではなく、「感染は防げない」という前提で各所のセキュリティ対策や、感染後の体制・初動対応等を考えておく必要があるということです。
③セキュリティ人材の不足
最後に、「人材」についてです。前述したようにセキュリティリスクが多様化・複雑化している一方で、各企業ではセキュリティ人材が不足している、という傾向にあります。
NRIセキュア「企業における情報セキュリティ実態調査2017」を元に作成(n=671)
経済産業省の推計では、2016年時点で情報セキュリティ人材は約13.2万人不足しており、2020年には19.3万人が不足すると予想されています。
出典:平成28年6月10日 「IT人材の最新動向と将来推計に関する調査結果」(経済産業省)
http://www.meti.go.jp/press/2016/06/20160610002/20160610002-7.pdf
また、セキュリティベンダーでも専門家の人材不足が顕著になっており、その要因として4割近くを占めるのが「募集をしても必要な経験やスキルを有する応募者がいない」というものでした。
出典:平成28年6月10日 「IT人材の最新動向と将来推計に関する調査結果」(経済産業省)
http://www.meti.go.jp/press/2016/06/20160610002/20160610002-7.pdf
これらの情報からもわかる通り、現在は、事業会社のみならず、IT企業・セキュリティベンダーに至るまで、広くセキュリティ人材が不足しているという状況です。
このようにセキュリティ人材を各社で取り合う状況下では、”人が足りない”という状況を根本から変えることは困難です。したがって、”人を増やす”ということだけを考えるのではなく、「セキュリティ業務を標準化・効率化する」、そして「社内プロフェッショナルをセキュリティ人材にする」、という2つのアプローチを検討することをおすすめします。
多くの企業では、セキュリティ業務を長年同じ社員が担当し、「あの業務は、あの人しか分からない」という状態になっていることが多いです。いわゆる”属人化”している状態です。まずは、そこから脱却するために、「この業務にはどんな意味があるのか?」、「他の手段で代替できないのか?」等々、客観的な視点で全てのセキュリティ業務を棚卸してみるといいでしょう。
そして、棚卸した業務を、誰でも実施できるように業務の手順やプロセスを整理し、文書として取りまとめて、一つひとつの業務を”標準化”していくのです。そうすることで、属人化されていたセキュリティ業務が、他の人材でも分担できるような業務になり、社員一人当たりのワークロードを下げることができるようになります。
また、セキュリティ対策を推進していく際には、IT部門やリスク管理部門等、色々な部局との調整や交渉が必要になるケースが多々あります。加えて、経営層への報告する等の場面では、状況的に複雑な内容を分かり易く、ポイントを抑えて報告できるような、ビジネスコミュニケーションスキルも求められます。これらの場面では、社内にいる『プロマネ人材』や『企画畑の人材』が持つスキルを、活用することができるでしょう。
セキュリティ人材不足の状況を解消するには、セキュリティ業務が”属人的”になっている状態から抜け出すこと、社内にいるプロフェッショナル人材のスキルを活用することがポイントになります。
そして、そのとき大切になるのが、自社の事業環境を踏まえて、「今、本当に必要なセキュリティ対策とは何か?」をきちんと考えることです。IoTやクラウド等を使った新たなビジネスが立ち上がっていないか?守るべき新たな情報資産が増えていないか?それらはきちんと守られているのか?等々、順を追って整理して、現状の自社のセキュリティを”見える化”していくことが重要です。
サイバーセキュリティ対策の最初の一歩
事業環境の変化、複雑化する脅威、不足する人材。これらの状況から、企業は、サイバーセキュリティ対策の在り方を今一度見つめ直す時期に差し掛かっています。各企業にとっての最適なセキュリティ戦略を探すためには、「敵を知り己を知る」ことが重要です。つまり、最新のセキュリティ脅威の動向を把握しながら、自社のセキュリティ対策状況を”見える化”していくことです。
自社のセキュリティレベルがどんな状態なのか、どの部分が弱いのかを先ずは知ること。そうすることで、優先的に補強・投資をするべきセキュリティ対策の分野が見えてきます。そういった分野を洗い出し、それらに対して継続的に着実に対策をしていくことが、「サイバーセキュリティ経営」を実現していくための最適な手段です。
まずは、あなたの企業のセキュリティを”見える化”することから始めてみましょう。
