サイバー攻撃からソーシャルのリスクまで――情報資産を守るセキュリティ対策を考える：ITmedia エンタープライズ ソリューションセミナー レポート（1/4 ページ）

機密情報を狙うサイバー攻撃は先鋭化し、社員のSNS利用などによる情報漏えい事件も多い。企業を取り巻くセキュリティリスクがますます高まる中で、これからの対策にどう臨むべきか。ITmedia エンタープライズ編集部主催セミナーでは最新動向とソリューションの解説が行われた。

[ITmedia]

　ITmedia エンタープライズ編集部は、2013年12月3日に東京・秋葉原、17日に大阪・梅田で「第10回 ITmedia エンタープライズ ソリューションセミナー プロアクティブ・ディフェンスを実現せよ　情報資産を守るエンタープライズセキュリティ」を開催した。セキュリティ業界を代表する識者陣と有力ベンダーが、企業の情報セキュリティ環境を取り巻く最新動向と対策ソリューションを解説してくれた。

原因不明のシステム事故はなぜ？

ラック理事 サイバーセキュリティ研究所長の伊東寛氏（工学博士）

　基調講演に登壇した元陸上自衛隊システム防護隊長でラック サイバーセキュリティ研究所長の伊東寛氏は、日本を取り巻くサイバー攻撃の現状を紹介した。

　機密情報を狙う標的型サイバー攻撃が国内で大々的に報じられたのは、2011年の防衛産業をめぐる事件だろう。その後、ニュースとしては時折伝えられる程度で、日本に関する標的型サイバー攻撃は一見すると減少したかのような印象を受ける。

　しかし、2013年3月には韓国の放送局と銀行のシステムがダウンし、社会的な混乱につながった。伊東氏はこの事件を「攻撃者によるおどし」とみており、攻撃者がさらに大規模な攻撃をしかける能力を持っていることを韓国社会へ知らしめる狙いがあったのではないかという見解だ。

　伊東氏によれば、最近国内では原因不明のシステム障害に関する報道が増えている。セキュリティとは関係が無いように映るものの、実は標的型サイバー攻撃を仕掛けるためにとった攻撃者の“偵察行為”が、原因不明のシステム障害を多発させている可能性があるという。

　かつての冷戦時代、旧ソ連の戦闘機が度々日本の領空を侵犯し、その度に自衛隊側が緊急出動などの対応を取っていた。これは旧ソ連側がわざと日本に近づき、反応時間などから自衛隊の防衛能力を探る行為であったという。「まともな軍隊は戦時に備え、平時から敵となるかもしれない国家の弱点を調べる。それは当然の行為」（伊東氏）という。今、日本をめぐるサイバー空間ではこうした行動が常態化しているというのが、伊東氏の予想だ。

　こうした状況に企業がとるべき対策は、攻撃者の侵入を防ぎ、万一の侵入を迅速に検知し、侵入されても情報流出を防ぐ点だろう。とはいえ、多数ある対策手法から何を選択するかは難しく、投資規模にも限度はある。

伊東氏は、まず「同業他社よりも適切な対策を講じること」が目安とアドバイスする。企業にとって最も弱い部分がセキュリティ全体のレベルを決めるため、自社の弱点と対処を検討する。最も脆弱かつ対策が難しいのは「人間」である。

　「セキュリティ対策に万能薬はない。基本に忠実に、専門家の協力も得て日々すべきことに取り組む。危機感を持ち、危機意識へ、さらには問題意識に高めていただきたい」と述べている。

ソーシャルの炎上リスクを価値に変える

ループス・コミュニケーションズ代表取締役 斉藤徹氏

　企業でのソーシャルメディア活用が広がる中、近年は顧客や社員の発言をきっかけに“炎上”するケースも増えている。ランチセッションではループス・コミュニケーションズの斉藤徹氏が、炎上リスクへの対応について事例を交えながら解説した。

　ソーシャルメディアは、企業が顧客と友好な関係を直接的に構築する手段としても注目を集める。しかし、企業側が誠実な対応を軽視すれば顧客は企業に失望し、信用やブランドの失墜などにつながりかねない。社員の安易な発言がもたらす炎上リスクも、実は誠実な対応を軽視しがちな企業の姿勢が関係しているという。斉藤氏は、ソーシャルメディアの台頭によって顧客が力を得て企業を選別できるようになり、社員も力を得たことで企業が統制できなくなりつつあると指摘した。

　2013年は日本で「バイトテロ」が脚光を浴びたが、海外でも同様の事例が少なくない。例えば、米Domino's Pizzaではアルバイト従業員による悪ふざけの映像がYouTubeに投稿され、ネット上では大炎上した。48時間後にCEOが謝罪したものの、対応が遅れたことで同社に対する顧客の信頼が失墜してしまった。また、Pepsi-Cola で知られる米PepsiCoは社会貢献につながるプロジェクトをSNSで募集し、投票で選ばれたプロジェクトに200万ドルを寄付する企画を実施した。ところが、その過程で“やらせ”疑惑が浮上し、メディアを巻き込む騒動に発展した。

　斉藤氏によれば、ソーシャルメディアでの炎上の原因には（1）運用者のミス、（2）社員の問題行為、（3）企業の不祥事――の3種類がある。かつては、こうした要因が表面化しづらかったものの、ソーシャルメディアの普及が透明性を高まり、企業にとってマイナスの面が晒される時代になった。企業としてはマイナス面を無理に隠すより、誠実な姿勢に改め、その姿を顧客に示していくべきだという。

　Domino's Pizzaのケースでは、同社はTwitterを介して顧客との対話を重ね、50年間守り続けたピザのレシピを刷新。同社に対する顧客の不満や厳しい意見も積極的に発表し、社員が誠心誠意で顧客と向き合う様子の映像も公開した。最終的に、同社に失望したという顧客に刷新したピザを食べてもらい、「おいしい」と言ってもらえるまでのドキュメンタリーも制作するなど、炎上で失墜した信頼の取り戻すキャンペーンを大々的に展開した。PepsiCoの場合も、主催者と顧客がFacebookで討論を繰り返し、同社が社会貢献プロジェクトに対する支援をより強化することで、信頼回復に努めていった。

　ソーシャル時代における企業には顧客や社員に対する誠実な姿勢がより大切となり、共感を得て彼らの力を追い風にできるかが、企業の反映と衰退を分けるポイントになると斉藤氏は解説している。