セキュリティの理想は「米軍」にある? その5つのポイントとは

企業のセキュリティ対策に注目が集まっているが、どのように被害を防ぎ、食い止めればいいのか。そのヒントは「国防」にあるという。しっかりと統率の取れたセキュリティ対策を実現するポイントはどこにあるのか。日本ヒューレット・パッカードのエバンジェリストに解説してもらった。

» 2016年09月26日 10時00分 公開
[PR/ITmedia]
PR

 企業システムのセキュリティ対策――。昨今は情報漏えいなど、情報セキュリティに関する事故の報道が増えており、情報システム部門のみならず、経営層なども含めて注目が高まりつつある。

 とはいえ、実際に組織的な対策ができている企業は少ないのが現状だ。PCがマルウェアに感染したり、サイバー攻撃を受けるといったセキュリティインシデントが起きたときにどうすればいいか。あなたはしっかりと答えられるだろうか。

 「ITの進化は早く、攻撃者の手法も巧妙になる一方。企業のセキュリティ担当者はもちろんですが、これからは経営層の関与も重要なポイントになると思います。もはや、情報漏えいはIT担当者の責任ではなく、経営上の責任と捉えるべきです

 こう話すのは、日本ヒューレット・パッカードのサイバーディフェンスエバンジェリスト、塩屋通宏さんだ。塩屋さんは2002年から2008年の約6年間、在日米軍施設の情報システム部に所属するという異色の経歴を持つ。国のセキュリティである「国防」を間近で見たことで、セキュリティのあるべき姿が分かってきたのだという。

「国防」を体験して分かった、真のセキュリティとは?

photo 塩屋さんは在日米軍施設に勤務していたそうだ

 塩屋さんが在日米軍で働いていた時期は、ちょうど国際紛争が起きた時期だった。紛争地域はもちろん、米軍基地でもテロ対策などの警戒レベルが高まり、さまざまなセキュリティ対策が行われたそうだ。

 「大統領をトップとして、非常に統率が取れたセキュリティ対策ができていました。もちろん国と企業では、規模もミッションも異なりますが、企業のトップである経営陣としても、ここから学べることは多いと思っています」(塩屋さん)

 塩屋さんが国防に関わる中で感じたセキュリティ対策のポイントは次の5つだ。各項目について塩屋さんに解説してもらった。

  1. 守るべきものが明確であること
  2. リスクと脅威は明確で、段階的であること
  3. 脅威のレベルに対し、それぞれに対策があること
  4. 行動や判断をする際に、正しい情報を根拠としていること
  5. 責任者が明確であること

1.守るべきものが明確であること

photo 日本ヒューレット・パッカード サイバーディフェンスエバンジェリスト 塩屋通宏さん

塩屋: 国防の場合、守るものは国家、つまりは領土と国民の2つです。これを失ってしまえば、文化や言語などもなくなってしまう。国のセキュリティの目的は非常にシンプルだと言えます。

――企業の場合はどうでしょう?

塩屋: 企業が守るべきものはビジネスと情報の2つだと思います。しかし、多くの企業は顧客や営業、製品などそれぞれの情報に対して、明確に「守るべきもの」という定義ができていないように思います。ビジネスや情報を失ってしまうリスクを意識し、きちんと戦略を立てられている企業は少ないのではないでしょうか。

 事件後の会見などを見ていても、「頭を下げて許される」と思っているのではないか、という印象を抱いてしまいます。一番大切なのは、企業を守ること。そのためのセキュリティ人材の育成なども、本来は必要なことです。

2.リスクと脅威は明確で、段階的であること

塩屋: 戦争やテロなど、国家を脅かすリスクと脅威は明確です。そのため、各状況によって取るべき行動は決められています。仮に国家が戦争状態に入る場合、白か黒かの二択で物事は進まないでしょう。有事のときは、警戒レベルが段階的に分かれており、各レベルで人々の動き方や空気感が変わっていきました。

――例えば、どういった変化があるのでしょう。

塩屋: 自動車で基地内のゲートに入るときは、車の下やトランクなどに危険物が仕掛けられていないかチェックされました。警戒レベルが上がるとこうしたチェックをされる場所が増えたり、立ち入り禁止区域が増えたりします。本質的には“管理する項目を増やし、チェックを徹底する”ということですね。

 企業の場合、脅威もリスクも不明確と言えます。サイバー攻撃やスパイなどの脅威に対し、ITのデバイスやSNS、場合によっても従業員もリスクになり得ます。だからこそ、脅威とリスクを把握し、分析する必要があるのですが、そういう体制が整っている、または整えようとする動きがある企業はどれだけあるでしょうか。

3.脅威のレベルに対し、それぞれに対策があること

塩屋: 米軍の場合、警戒レベルによって各自が何をするべきか分かる“ガイドライン”が存在します。各レベルにおけるセキュリティ対策は、先ほどお話しした入場規制のような物理的なものから、通信の暗号化、例えば無線が機密のコールサインに変更されるといったものもあります。

 一方で企業にとっての脅威レベルとは何でしょうか。ブラックマーケットで高値で売れるなど、誰かが求めている情報が存在すれば、脅威は存在します。例えば、社用PCがマルウェアに感染したら、どんな対策を打つでしょうか。10台感染していたら? 100台感染していた場合は? 日本企業の場合、そんな約束ごとが不足しているように思います。

 ヒューレット・パッカード エンタープライズは社内に「サイバーディフェンスセンター」という組織があり、仮にマルウェアに感染したPCなどがあれば、速やかにネットワークを遮断するよう指示されます。企業のミッションは利益を追求することだと思いますが、セキュリティ対策それ自体は利益を生むものではありません。だからといって、対策に逃げ腰になったり、他人ごとのように考えてはいけない。セキュリティ対策は経営層が指揮すべき問題なのです。

photo HPEのサイバーディフェンスセンター

4.行動や判断をする際に、正しい情報を根拠としていること

塩屋: 米軍の場合、アメリカ国防情報局やCIA(中央情報局)、FBI(連邦捜査局)など敵の攻撃力や手段に関する情報を徹底的に収集して分析する体制ができています。何かを判断するときには“感覚”ではなく“正しい数字”で見る。東日本大震災のときも多くのうわさや誤報がありましたが、正しい情報を基に行動しないと、大変なことになります。

 企業に照らし合わせれば、脅威であるサイバー攻撃に関して正しい情報を得て、分析が行えているかということになります。最近ではSOC(セキュリティオペレーションセンター)を導入する企業も増えてきましたが、脅威の情報を分析するツールや人材は足りていないと思います。ツールは買えばよいですが、人材は難しい。経営陣の意図を理解し、彼らの判断を手助けできる人材である必要があるのです。

――世界では、こういった人材は多いのでしょうか。

塩屋: 世界的にも少ないため、米国では人材の獲得競争が起こっており、育成環境も整っています。米国のCISO(最高情報セキュリティ責任者)は、最低でも2000万円、平均して4000万〜5000万円の年収をもらっているといわれています。企業としては、彼らにそれだけの投資をする価値を見いだしているということです。

5.責任者が明確であること

塩屋: ここで再び経営者の話に戻します。米軍の場合は大統領が国防に関して全ての責任を負い、指示を出します。イラク戦争のときはブッシュ大統領でした。企業の場合はどうでしょうか。企業のセキュリティを一介の担当者だけが負うのは、果たして妥当なのでしょうか。

 事故を起こしてから社長が出てきて謝罪をする、というのは、今の時代、はっきり言ってとても格好が悪いことです。むしろ、自社のリスクを周知できて、事前防衛を指示できる社長ってカッコよくないですか? 普段からITを扱っている会社は、そういう対策もしやすいとは思いますが、最近、製品にITを組み込んだ製造業の会社などはどうでしょう。製品が売れれば売れるほど、リスクも高くなることを認識するべきです。

攻撃のプロには、防御のプロを――企業が取るべきセキュリティ対策とは?

 国家に比べて、企業のセキュリティ対策は予算も人材も豊富にあるわけではない。サイバー攻撃に対して無策では、必ず突破されてしまうと塩屋さんは警鐘を鳴らす。

 「攻撃者はその道のプロフェッショナルです。手段を選ばず、弱いところを徹底的に探して攻撃を仕掛けます。彼らは得た情報がそのままインセンティブとなるので、24時間365日働きますし、その手段もクリエイティブ。一方のセキュリティ担当者はサラリーマンです。月収のために働きますし、夜通し稼働するわけでもありません。対策も基本的には他社の模倣であるのが一般的でしょう」

photo 国や企業を狙うハッカーにはさまざまなタイプがいるという

 こうした状況では、企業は攻撃者の動きや心理を理解した上で対策を行う必要がある。攻撃のプロに対抗するには“防御のプロ”を用意すべきだというのが塩屋さんの意見だ。防御のプロとは、具体的に以下のような人材を指すという。

  1. ITセキュリティ戦略を策定するプロ
  2. 脅威情報の収集、分析するプロ
  3. サイバー攻撃時に行動、判断できるプロ(担当者や体制含め)
  4. 自社内のセキュリティ人材育成と投資(攻撃と防御のプロを理解できる人材)

 「自社内だけで全ての人材を用意できるのが理想ですが、そんな企業ばかりではありません。その場合は、ITベンダーなどにいるプロフェッショナルを雇ったり、意見を聞くのがいいと思います。HPEには約5000人のセキュリティ人材がいます。これは世界のITベンダーの中でも最大級の規模です。

photo HPEは世界中にセキュリティオペレーションセンター(SOC)を持ち、5000人以上のセキュリティ人材がいるという

 さらに世界中に複数の拠点を持つ『セキュリティオペレーションセンター』など、企業としてセキュリティ対策にしっかりと研究投資を行っており、それが製品にもフィードバックされています。防御のプロも含めた、しっかりとした組織体制を作ることで、米軍のようなセキュリティの考え方を実践できるのだと思います。それには経営層の関与は不可欠ですし、情報セキュリティ責任者も経営層に提言していくべきでしょう」(塩屋さん)

 SOCやCSIRTなど、セキュリティに対して組織的な対応が求められているが、そのシステムは本当に回っているだろうか。有事のときに機能するだろうか。どうすれば、米軍のように統率の取れたセキュリティ対策ができるのか。経験豊富な防御のプロに聞いてみるのも、有効な一手だろう。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:日本ヒューレット・パッカード株式会社
アイティメディア営業企画/制作:ITmedia エンタープライズ編集部/掲載内容有効期限:2016年10月25日