「情報セキュリティは経営責任だ」 企業の“生死”を分ける対策と経営層の役割は? ソフトバンクの専門家が解説

» 2022年03月18日 10時00分 公開
[PR/ITmedia]
PR

 マルウェアに感染した、ソフトウェアに脆弱性が見つかった、機密情報が流出した――情報セキュリティ上の脅威や事故に関する報道は日々更新され続けている。コロナ禍前後でDX(デジタルトランスフォーメーション)やテレワークの取り組みが進む中、さまざまな物事がデジタル化したことで情報セキュリティの話題に敏感になった人も多い。

 これまで日本企業の情報セキュリティ対策は後手に回ってきた。しかし今、何か起きたら対応すればいい、現場の担当者に任せればいいといった対策は“過去の遺物”にすべき段階に来た。経営層が情報セキュリティを理解することが、企業を脅威から守って企業活動を後押しすることになる。

photo ソフトバンクのセキュリティエバンジェリストである澤入俊和氏

 「経営層も含めて情報セキュリティへの関心が高まってきています。経営責任として、さらには企業の社会的責任として対策をしていく必要性を強く感じています」――ソフトバンクのセキュリティエバンジェリストである澤入俊和氏はこう指摘する。では、具体的に企業はどのような情報セキュリティ対策を取ればいいのか、そして経営層が担う役割は何なのか。澤入氏に解説してもらった。

サイバー攻撃で決算発表延期の事態も 企業の危機意識が高まっている

 DXやコロナ禍でのデジタル化進展など社会の変化は誰もが実感している。テレワークによって、従来は社内で管理していたPCなどITインフラが社外に出たことで「社内だけ守ればいい」という考え方は通用しなくなった。テレワーク環境にセキュリティホールが生まれるなど、守るべきポイントが増えたことはサイバー攻撃が成立しやすくなったと言い換えられる。

 では、なぜ被害件数が増えたり被害規模が大きくなったりするのか。攻撃側の技術面は大きく変わっていないが、攻撃手口は変化していると澤入氏は説明する。リモートデスクトップを狙うなど、今の時代に合わせた攻撃が増えている。

 昔からあるランサムウェアも攻撃手口が進化している。これまで攻撃対象である企業のデータを暗号化するだけだったが、最近ではデータを盗み出してネット上で暴露すると脅す「二重の脅迫」で金銭の支払いを要求したり、機密性の高い情報を狙い撃ちしたりするなど、手口が洗練されている。

 2021年に発生した事例だけを見ても、ランサムウェアによって基幹システムなどを暗号化されたことで決算発表を延期する事態に追い込まれた企業があった。上場企業にとって決算発表が遅れることは経営問題に直結する致命的な出来事だ。

 こうした被害が国内で発生していると報道されたことで、企業の情報セキュリティ担当者だけでなく経営層も事態の重大さを理解し、企業の情報セキュリティに対する意識が高まっていると澤入氏は話す。

社会的な意識も変化 情報セキュリティは自社だけの問題ではない

 情報セキュリティへの向き合い方を変化させる要因のもう一つが、社会全体の意識変化だ。22年4月に控える改正個人情報保護法の施行など、政府が情報セキュリティ対策を万全にするよう方針を示した。個人情報の漏えい防止やCookieの扱いなど、プライバシー面に関わる情報セキュリティを再定義して対策する必要性への理解が広がってきた。法的規制やガイドラインへの準拠などコンプライアンスの観点からも、企業の対策は不可欠になってきている。

 ユーザーの意識も変化した。情報セキュリティ事故を起こした企業に対する消費者の視線は厳しくなるため、企業のブランドや信頼を守る意味でも対策は重要だ。また、大手企業を中心に取引先やサプライチェーン全体の対策を重視する動きもあり、自社だけの問題ではなくなってきた。

経営層が関与して情報セキュリティを前進させる

 企業を取り巻く環境や社会の変化によって、これまで情報セキュリティに注力してこなかった企業の中にも、対策に真剣に取り組む企業が増えてきている。少し前まで日本企業は情報セキュリティ対策が後手に回りがちと指摘されてきた状況を考えると、大きな進歩だ。

 企業の情報セキュリティ対策が後手に回る理由として、澤入氏は経営層の関与不足を挙げる。対策を進めるためには、情報セキュリティのトレンドや脅威情報を経営層が理解した上で、事業への影響や投資計画を検討する流れになると澤入氏は話す。

 とはいえ、経営層が対策内容を直接指示することは難しい。経営層に期待するのは、情報セキュリティの主導権を握って方向性を指揮することだ。澤入氏が印象的だったと紹介したある食品メーカーでは、DX推進の一環でCISO(最高情報セキュリティ責任者)が全面的に情報セキュリティ対策を引っ張った。「一度導入したITインフラは契約満了まで使わないともったいない」という考え方を捨てて、ビジネスと情報セキュリティ両方に価値のあるセキュリティ体制を構築した。

情報セキュリティのポイントは「現状の把握」「適切な運用」

 この例は特筆すべき成功例だが、思い切った方針転換をできる企業ばかりではない。情報セキュリティ対策を進める上で重要なポイントを、これまでさまざまな企業を支援してきた経験から澤入氏が教えてくれた。

 まず取り組むべきは現状の把握だ。やみくもに対策ツールを導入するのではなく、現状を把握して対策に優先順位を付けることで、最適な投資の順番を決められる。

 次に忘れてはならないのが、適切な運用の重要性だ。情報セキュリティ対策は特定の製品を導入して終わりではない。しっかりと運用しながら、事故が起きた時の対応を決めておく必要がある。ここで重要なのが、対策内容をチェックするサイクルを回す仕組みづくりだ。「定期チェックのサイクルを短縮するといった単純な話ではありません。継続的にセキュリティ状況を把握し、常に改善する仕組みを作っていくことが一番のポイントです」(澤入氏)

 こうした一連の取り組みの主導権を経営層が握るには、最低限の知識が必要だ。企業の中核となる情報セキュリティの仕組みを企画し、実行に移していく人材も欠かせない。従業員向けのトレーニングや情報セキュリティ担当者向けの演習、経営層向けの勉強会などを適切に行いながら、取り組み内容を継続的にブラッシュアップしていくのが理想形だ。

ソフトバンクの強みを生かし、情報セキュリティを全方位で支援

 ここまで情報セキュリティの考え方や取り組み方を説明してきたが、個々の企業が独自に対策を進めるのは難しい。ソフトバンクでは幅広い情報セキュリティ製品を用意し、ツール導入前のコンサルティングから支援をする体制を整えている。現状把握とリスクアセスメントで顧客の情報セキュリティ体制や社内ルールを確認し、顧客に最適なツール構成を提案している。

 ソフトバンクが取り扱う製品は、ユーザー認証やエンドポイント、モバイル端末の保護、DXに不可欠なゼロトラストセキュリティを実現するソリューションなど網羅的だ。通信キャリアとして蓄積してきたネットワーク運用に関する知見をベースに、顧客のシステムを24時間365日監視/運用するマネージドセキュリティサービスも提供。企業の情報セキュリティ対策全体をカバーしている。

 昨今企業に大きな影響を与えているランサムウェアへの対策では、エンドポイントにおける被害の拡大を食い止める米CybereasonのEDR(Endpoint Detection and Response)製品を中心としたソリューションの役割が大きくなっている。AI技術をベースにリアルタイムに脅威を検知する技術を磨き続けており、日本でも豊富な導入実績を持つ。次世代アンチウイルス技術の精度が従来以上に高まったことに加え、Deception(おとり)と呼ばれるランサムウェアの実行防止に特化した機能によって被害の防止につながっている。

 ソフトバンクの強みは、幅広い製品を扱うマルチベンダーであることだ。「一般的に、IT製品の提案はベンダーの扱う製品ラインアップに左右されることが多いです。しかしソフトバンクでは幅広い商材を扱い、いろいろな海外ベンダーともパートナーシップを組んだり、出資したりしています。そうした多種多様な製品の中からお客さまに最適なソリューションを提案できます」(澤入氏)

 ひとたびサイバー攻撃など情報セキュリティ事故に遭えば企業が被るダメージは計り知れない。消費者や取引先からの信頼を確保してブランドを維持するためにも、そして企業の社会的な責任を果たすためにも、セキュリティ対策は不可欠なものだ。また、DXを推進しようにも情報セキュリティ対策の不備でDXが遅れるなど、本来は企業を守るセキュリティが足かせになってしまうのでは本末転倒だ。

 ソフトバンクなら、これまで培った経験と豊富なソリューションを基に事前のコンサルティングから製品導入まで、企業の情報セキュリティを全方位で支援してくれる。対策の重要性に気が付いたがその先の進め方が分からない、確かな知見のあるベンダーに頼みたいと考える人はぜひ、ソフトバンクに相談してみてはいかがだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:ソフトバンク株式会社
アイティメディア営業企画/制作:ITmedia NEWS編集部/掲載内容有効期限:2022年3月31日