【現地調査】米国のサイバーセキュリティ戦略と投資へのスタンス

サイバーセキュリティに国境がなくなりグローバルな対応が求められています。NRIセキュアでも2009年に米国に北米支社を設立し、当地で10年以上に渡りマネージドサービスや脆弱性診断などのセキュリティサービスの提供を行ってまいりました。

また、筆者が所属しているSecurity Consulting Departmentでは、セキュリティポリシー策定、セキュリティ監査、グローバルセキュリティガバナンスなどのコンサルティングサービスに加え、米国における最新の技術やセキュリティ動向の調査・情報収集も実施しております。

筆者は、米国でも有数の企業、大学、機関のサイバーセキュリティ最高責任者の方から生の声を直接伺う機会を幸いにも多数いただいております。この度、米国に拠点を構えるシンクタンク、ワシントンコア社^※１の協力の下、以下の方々より特別に許可をいただき、お聞かせいただいたお話を日本の皆様にも共有させていただけることとなりました。

今回は日本においても関心が高いと思われる、サイバーセキュリティを取り巻く現状、DXにおけるセキュリティ、セキュリティ対策予算の決定について、米国ではどのような考えで取り組まれているか、ご紹介させていただきたいと思います。

• Paychex社CISO Bradley Schaufenbuel氏
• 現在、Paychex社の副社長とChief Information Security Officer（CISO）を務めており、以前はPaylocity社, Midland States Bank社, Midwest Bank社, Zurich Financial Services社, Experian社, Arthur Andersen LLP社などで、セキュリティ担当のリーダーとして活躍をしてきた。イリノイ州の弁護士資格を持ち、米国最高裁判所法廷のメンバーでもある。 また、2018年に「Chicago CISO of the Year」、2020年に『Cyber Defense Magazine』の「Top 100 CISOs」、2021年にGDS社の「North America Information Security Leader of the Year」に認定されている。
  

• カリフォルニア州立大学 Senior Director/Director Deputy CISO　Ed Hudson氏
  2014年からカリフォルニア州立大学（California State University: CSU）に勤めており、2017年まではSenior Director/Director & Deputy CISO、2018年から現在まではChief Information Security Officerとして活躍している。Hudson氏は、CSUの23キャンパスの情報セキュリティおよびプライバシープログラムを統括。キャンパスとの関係を構築し、技術的な専門知識とビジネス感覚を活かしてCSUのエグゼクティブ・リーダーシップ・チームに指導と助言を行っている。

• セキュリティコンサルタント　Ben Murphy氏
  これまでにAflac社の副社長兼副最高情報責任者として、米国のサイバーセキュリティおよびサイバー詐欺防止業務を率先して進めてきた経歴を持つ。また、サントラスト銀行やジャック・ヘンリー・バンキングにおいても金融サービスに関わるサイバーセキュリティとガバナンスに携わってきた。セキュリティツールや各機能、リソースを適切なチームと説明責任プロセスに整合させるために、運用の成熟度を高め自動化を開発してきた実績を持つ。

米国のサイバーセキュリティを取り巻く現状

読者の皆さんも、米国ではサイバーセキュリティの重要性が幅広く認知されており、必要な対策が正しく実施されているものと思われている方も多いのではないでしょうか。まずは、米国におけるサイバーセキュリティの浸透状況を聞いてみました。

Paychex社 Schaufenbuel氏

 

私は米国の組織全般でサイバーセキュリティが十分な周知や投資を受けているとは思わない。私の今の職場を含めて、サイバーセキュリティリスクを企業のリスクの一部として捉える組織は存在する。組織がサイバーセキュリティのリスクへの対応の優先度を高め、継続的にリスクの評価と分析を行い、これらのリスクに積極的に対処するプログラムを設置すれば、サイバーセキュリティのリスク管理に必要となる適切な予算は自然と導出される。

 

残念ながら、このようなリスクベースのプログラムは例外的な事例に限られ、多くの組織は依然としてサイバーセキュリティへの投資をコストとして捉えており、これらのコストは概して縮小される傾向がある。

 

インシデントのように契機となる事件が発生すればサイバーセキュリティへの投資は増加するが、サイバーセキュリティのリスクを組織全体のリスクとして捉えていない企業においては、このような投資は一過性にとどまる。

 

私は規制によるトップダウン式のアプローチで適切なサイバーセキュリティが構築できるとは思わない。企業の役員、顧客、ビジネスパートナーがセキュリティの必要性を認識し、組織のトップがリスクベースのサイバーセキュリティ管理を採用しなければこの問題は解決できないだろう。

米国でも日本と同じような課題があるとのご意見でした。これは筆者が実際に米国企業に対してコンサルティングをする際にも同じ感想を持っており、日本企業が極端に劣っている、米国企業が進んでいるということもなく、どの企業も同じような問題に悩まれているというような状況です。

次に、公的機関である大学においても昨今のサイバーセキュリティを取り巻く状況がどのようになっているかお伺いしました。

カリフォルニア州立大学 Hudson氏

 

他国の支援による、大学へのサイバー攻撃が増加している。国家が支援するサイバー犯罪、いわゆるNation State（NS）アクターは、教員を危険にさらして知的財産を取得したり、教員がアクセスを行っている他の研究データベースにアクセスしたりしている。

 

また、NSアクターによる攻撃は、学生が最終的にどこに就職するかという点も分析しているように思われる。エンジニアであれば、6～8年以内に生物工学や製薬の分野でキャリアを積むことが想定されるため、NSアクターはその人物を追跡し、個人情報を収集するという長期的な攻撃を行っているようだ。

世界の知が集まっている米国の大学では一般的な企業とはまた異なる環境に晒されているものということが実際の声としてお伺いすることができました。

DXにおけるサイバーセキュリティの重要性

近年日本でも広まっているDXについてもサイバーセキュリティの状況をお伺いしてみました。DXはDigital Transformationの略であり、企業でITを活用して業務、組織、プロセス等に革新をもたらすことの意味合いで使われていますが、米国においても同義で使われています。まずは、DXにおけるサイバーセキュリティの重要性が米国においてどのように捉えられているかお聞きしました。

Paychex社 Schaufenbuel氏

 

DXを実施する最大の理由の1つは、市場投入までの時間を短縮することである。DXのプログラムにサイバーセキュリティを組み込まなければ、後で追加してもプロセスが遅くなり、DXの重要なビジネス上の利益（市場投入までの時間短縮）を得ることはできない。

 

デジタルサービスを追加するとハッカーの攻撃対象が大きくなるのは事実だが、そうしないと、市場での組織の競争力を低下させる旧来のプロセスを維持することになる。サイバーセキュリティは、DXを阻害するものではなく、可能にするものとして利用する方がはるかに好ましい。

セキュリティコンサルタント Murphy氏

 

DXは、企業がより速く、より強力に、そして便利に新しい機能を顧客に素早く提供することを可能にする。サイバーセキュリティ上の脅威があるかもしれないからといってDXの取り組みをストップすることは、もはやできない。社内のサイバーセキュリティチームは、DXを安全に実現させるにはどのようなセキュリティ上万全な体制を構築するかを考えるべきである。

 

つまりまず『DXありき』で、セキュリティはいかなる手段でもDXに適応しなければならない。『セキュリティ上問題があるかもしれないからといって新規技術は使わせない』という過去のロジックは通用しなくなった。

米国ではDXはセキュリティを理由に拒むことのできないものと捉えられ、DXの実現を前提とした対策や体制の構築が必要であるとのご意見でした。

しかし、DXはこれまでのセキュリティ対策と相反し、素早いシステム開発とセキュリティの確保の両立が困難なケースも多々あると思います。そのような課題にどのように取り組むべきか次の様にお答えいただきました。

カリフォルニア州立大学 Hudson氏

 

DXを阻む『文化の衝突』は、コンプライアンスを重視するグループと現実主義的なグループとの間で発生する。

 

セキュリティとテクノロジーは、家の外のインフラと家の中の電気配線のような（相互に絡み合っている）ものと言われるが、この比喩のとおり、テクノロジーとセキュリティが協力する必要がある。セキュリティについては、常に早い段階でユーザーと相談するのがベストだ。

 

人々がセキュリティを障壁と考えるのは、製品を開発してからその計画をセキュリティチームに提示し、セキュリティチームが脆弱性を見つけて開発者を否定するためだ。最初から開発者とセキュリティチームの間にパートナーシップがあれば、このようなことは起こらないだろう。

セキュリティコンサルタント Murphy氏

 

全員がサイバーセキュリティの専門家になることを期待するのは現実的ではない。開発者は、本番前の『最終的なセキュリティチェック』を待つのではなく、コードを書いたときに、脆弱性に関するフィードバックを即座に得ることができなければならない。

 

さらに、開発者は『良いコードは安全である』という認識を持たなければならない。開発プロセスの最後にセキュリティチェックを行うという考え方はもとより、プロセス全体で対応していくというライフサイクルアプローチですら、時代遅れになりつつある。

米国での予算策定はどのような考え方で行われているのか

最適なセキュリティ対策予算の策定も悩まれることの多いトピックかと思います。筆者も日本企業のお客様と接する中でも一般的な企業ではIT費用におけるセキュリティ対策費は何パーセントか、同業他社ではいくら位セキュリティ対策につぎ込んでいるのか、といったような質問を受ける機会が多くあります。米国では予算策定はどのような考え方で行われているのでしょうか？

カリフォルニア州立大学 Hudson氏

 

サイバーセキュリティの予算は、組織のリスク許容度に左右されるため、決定的なものではない。

 

リスク許容度がわからないからといって、特定のパーセンテージや数字を当てはめようとする考えはよくない。ある組織にとってはあまり気にならないリスクでも、別の組織にとっては重要なリスクかもしれないからだ。

Paychex社 Schaufenbuel氏

サイバーセキュリティへの最適な投資レベルを決定するために、組織はリスクを基にしたアプローチを使用しなければならない。このようなアプローチは、取締役会または経営陣が、サイバーセキュリティリスクに対する意欲と許容度を定義することから始まる。

 

企業は、組織のリスク許容度を超えるリスクを低減し、かつそのコストが低減されるリスクよりも小さい場合に、サイバーセキュリティ対策に投資すべきである。コストが高く、組織のリスク許容度を超えるサイバーセキュリティリスクに一度に全て対処することは、組織にとって不可能な場合がある。

 

その場合、サイバーセキュリティ対策への投資は、組織のリスク許容度を超えるサイバーセキュリティリスクがなくなるまで、リスク低減効果の高いものから低いもの、費用対効果の高いものの順に優先順位をつけて行うべきである。

こちらは筆者が日本企業のお客様から意見を求められる際にも同様のお答えをしています。同業、同売上規模でも現状のセキュリティ対策状況や事業環境までも同じとなることはありませんし、他社を参考にすることはあまり意味がない旨をお伝えしています。

ご意見いただいた各氏も現状を正しく把握し、必要な費用を適切に見積もれ、かつそれを経営陣に納得させられるCISOを配置する必要性も合わせて説いていました。

まとめ

今回、各種領域でセキュリティについてのお考えを聞いてきましたが、どのトピックにおいても結論としてはシンプルで、基本に立ち返り自社と外部環境を正しく把握した上で、実施すべきセキュリティ対策を適切に実施するべき、というものでした。

シンプルであるからこそ難しいものですが、米国でも有数の企業、組織でサイバーセキュリティを推進されている方々は基本に忠実に対応されているという印象を受けました。今後もこのような機会があれば日本の皆様にも米国の状況を共有していけたらと思います。

^※１ワシントンコア社：詳細は次のURLをご参照ください。https://www.wcore.com/