情報セキュリティに厳格な欧州 GDPRとNIS2対応の遅れが命取りに？（2/2 ページ）

[武田信晃，ITmedia]

NIS2ではサプライチェーン関係が違反しやすい

　NIS2指令は、「ネットワークおよび情報システムを保護するためのもので、持続的な経済・社会機能を確保するために作られた指令」で、企業ごとのサイバーセキュリティの標準化、サプライチェーン攻撃からの防御力向上などが目的だ。

　NIS2の前には「NIS」があった。NISは、2016年に発令された欧州初のサイバーセキュリティの法律だ。これは水道、ガス、交通などの基幹インフラに関係する企業のみが対象だった。NIS2では、廃水、行政、郵便・宅配サービス、商品製造などが加わった。

NIS2では、廃水、行政、郵便・宅配サービス、商品製造などが加わった

　適用される企業は、従業員数と年間売上高に応じて、大中小の3段階に分けられる。また、欠如すると社会に深刻かつ大規模な影響を及ぼす「主要エンティティ」と、一般的な機能を維持するのに役立つ「重要エンティティ」の2つに振り分けられ、違反した場合の制裁金は、前者は1000万ユーロ以下または全世界の年間総売上高の2％以下のうち、いずれか高い方の金額が課せられるという。後者は700万ユーロ以下または全世界の年間総売上高の1.4％以下のうち高い方の数字が制裁金となる。

　自社が対象企業かどうかは自ら調べる必要があるものの、例外規定も多く、自らの立場を確実に把握する必要がある。「NISでは、当局から『あなたはエンティティリストに入っています』という手紙が来ました。しかし、NIS2では自分で対象かどうかを調べ、当局に登録する必要があります」

　そこでエノバイトでは、NIS2の要求事項と照らし合わせ、リスクの程度と実践すべき対策を明らかにするギャップ分析を提供している。それに伴い、NIS2対応支援サービスも開始した。DPOサービスと同様の緊急時サポートも提供している。

　グンプCEOが懸念していることは「時間との勝負」。つまり早急な対応だという。

　「何か起こった際、NIS2は早期報告として24時間で当局に報告しなければなりません。結構な作業量ですが、日系企業は理解しておらず、報告しなかったゆえに、問題が発生することを懸念しています」

　また「第21条のリスクマネジメント対策」のうち「サプライチェーンセキュリティ」は「日系企業のアキレス腱になりそうだ」という。「当該企業は準備OKとしても、委託先の工場に問題があるかどうかも見る必要があるからです」

「サプライチェーンセキュリティ」は日系企業のアキレス腱になる可能性があるという

「AWSは、みんな使っているから大丈夫」の罠

　日系企業がまずするべきことは「リスクアセスメント」だという。「NIS2でいえば、あるサービスが1時間サーバダウンした時に、どのくらいの損失を被るのか？　1日ダウンした場合ならどのくらいになるのか？　またプランBとして、代替用として違うサーバを選定する必要があり、どのメーカーをバックアップとして使うのか？　などといったリスク対策が必要になるからです」。何か事象が起こってからでは遅い。事前にどういったリスクがあるのかを知っておくことが重要だと強調した。

　そもそも日系企業は、細かな契約内容を読まず、理解していないという。「例えば、『AWS（Amazon Web Services）は、みんな使っているから大丈夫』と考えがちですが、本来は自分たちで内容を確認することが重要です。そうでないと、何か起こった時に対策が打てません」

　つまるところ、日系企業が抱える問題は「データ主権」の問題だそうだ。「人材を育てるには時間とお金がかかります。世界でビジネスをするために、英語を話せる人も少ない。しかも、海外のサービスを使えば安くあがると言った理由から、日本もOSを作れる技術を持っているのにもかかわらず、米国企業のサービスを信じて採用しています」　

　2024年7月にセキュリティ企業の米クラウドストライクが、世界の航空会社でシステム障害を引き起こした。グンプCEOは「ウィンドウズが関係していますが、あまり信用しすぎないほうがいいと思いますよ」と警鐘を鳴らす。

　日系企業はマイクロソフト、アップル、アマゾンなどに頼りすぎていると話す。「会社としてのITの能力を失っていくことにつながります。だからこそ、時間がかかるでしょうが、IT人材を育成したほうがいいのです」

　実際に攻撃を受け、身代金を取られた会社は対策を講じているものの、何の対策もしていない企業が多いという。

　「プロの犯罪者は、何年も前からシステム内に入りこんで、モニタリングでは分からないレベルで、ゆっくりと少しずつデータを盗み出します。もしズル賢い人間が犯罪者なら、そのデータが欲しい中国企業などに売ります。いずれ、その企業から『もう十分に情報を得たから、これ以上、必要ない』といわれるでしょう。その人の仕事はなくなりますが、内部にアクセスできるので、サイバー攻撃についてあまり知識のない別の犯罪者に売ります。その犯罪者はたぶん、身代金を要求することでしょう」

　グンプCEOの推測では、ランサムウエア攻撃で、身代金の要求などが表ざたになったのは全体の2%ほどではないかと話す。世界で最も身代金を払っている国は日本ではないかとも指摘した。

日系企業は耳を傾けられるか？

　グンプCEOは、日本の国立情報学研究所に勤めた経験や、日本の大手企業でITシステムを導入するビジネスに携わった。日本企業とのビジネスで25年以上の経験を持つ。

　「日本で働いた際に、技術的には日本が進んでいました。ですが、最近のITセキュリティに関しては日本自体が安全なゆえに、警戒心が薄く、セキュリティ面で危うさを感じます。日本企業を守るためにエノバイトを設立しました」と流ちょうな日本語で話す。

　日本への愛ゆえに起業したとも言えるグンプCEO。日系企業は彼の警鐘に耳を傾け、対策を講じることができるのか。欧州で展開する日系企業の覚悟が問われそうだ。