NISCに聞くサイバーセキュリティの現在地 企業規模別に考える、“机上の空論”にならない対策とは：サイバーセキュリティ月間

[PR／ITmedia]

PR

　フィッシング詐欺やランサムウェアなどのサイバー攻撃が、日常生活や企業活動に深刻な影響を及ぼしている。今や「サイバーセキュリティ」はあらゆる人や組織が真剣に向き合うべき課題だ。

　政府も本腰を入れており、「サイバーセキュリティは全員参加」というテーマを掲げて毎年2月1日から3月18日までの「サイバーセキュリティ月間」に啓発活動を展開している。

　「ひとごと」ではなく「自分ごと」としてサイバーセキュリティに向き合うにはどうすればいいのか。サイバーセキュリティ月間を主導する内閣サイバーセキュリティセンター（NISC）の村田健太郎氏と企業の対策に詳しくソフトバンクでセキュリティエバンジェリストとしても活動する澤入俊和氏に、全員参加で対策を推進するポイントを教えてもらう。

内閣サイバーセキュリティセンターに話を聞いた

「もう異なるフェーズに来ている」　サイバーセキュリティの現在地

――昨今のサイバーセキュリティを取り巻く状況を教えてください。
（※以降、敬称略）

内閣サイバーセキュリティセンター（NISC）の村田健太郎氏（基本戦略第1グループ 内閣参事官）

村田　個人と組織どちらに対しても、サイバー攻撃は一段と厳しい状況になっていると認識しています。組織の観点だとランサムウェアの被害が引き続き深刻です。大企業に限らず中堅・中小企業にも被害が広がっていて、企業規模や業種を問わず被害に遭う可能性があります。

　港湾システムや病院などがランサムウェアに感染して、社会活動に影響を及ぼすインシデントが起きたことは記憶に新しいでしょう。一般的に、自組織だけではなく取引先や委託先などサプライチェーンの中でセキュリティ対策が脆弱（ぜいじゃく）な組織が狙われることが多くなっています。どこからどのように攻撃されるか分からない中、広範囲に備える必要があります。

澤入　情報処理推進機構（IPA）が公開した「情報セキュリティ10大脅威」の2024年版における組織編の第1位が「ランサムウェアによる被害」、第2位が「サプライチェーンの弱点を悪用した攻撃」でした。

　ランサムウェア一つ取っても、メールに添付されたマルウェアを実行したら感染するような昔からある単純な攻撃方法ではなく、取引先のITインフラの脆弱性を突いて侵入してネットワーク内で横展開するなど、さまざまな手法を組み合わせて巧妙になっています。

村田　インターネットなどのネットワークに接続されているIoT機器への攻撃が目立つようになりました。PCやサーバなどエンドポイントで防御するだけの対策では対処し切れないので「ゼロトラスト」の考え方で備えることが重要です。

澤入　おっしゃる通りです。エンタープライズの分野で「アタックサーフェス」という言葉が注目を集めています。インターネットに接している面が広がったことで、狙われる領域も拡大しました。脆弱性など目の前の“穴”をふさぎつつ、ゼロトラストのような根本的なセキュリティアーキテクチャーの変更を見据えなければなりません。

村田　これまでのサイバーセキュリティ対策は、エンドポイントの防御と利用者への注意喚起で済まされることもありました。今は異なるフェーズに来ています。システム構成の見直しや新たな投資など、根本的な部分から取り組まなければ対処できないという認識を持つべきです。

サイバー攻撃のリスクは認識している――取り組むべき対策は

――最近はインシデントの報道が増えていますよね。企業の危機感は高まっているでしょうか。

村田　「サイバー攻撃は対処すべきリスクだ」という認識は広がっています。ここからは、どれだけ投資してどのような対策を講じるべきかについて力を入れて情報を発信しなければならないと感じています。

ソフトバンクの澤入俊和氏（法人プロダクト＆事業戦略本部セキュリティ事業統括部セキュリティデザイン推進部プロモーション企画課）

澤入　企業でもセキュリティ対策の必要性自体は理解されていると思います。しかし、リスクが複雑化した今、何か一つの対策製品を導入すれば済むという話ではありません。

　本当に必要なのは、企業の環境全体をアセスメントして「何が足りないのか」を把握した上で、優先順位を付けて対策を進めていくことです。

　更地に家を建てるのは容易でも、家に住み続けながらリフォームするのは難しい。セキュリティ対策も一緒です。現状のITインフラを止めずに対策をするなら、改修箇所を把握した上でロードマップを立てて、対策を着実に進めていくことが肝心です。ソフトバンクでは対策製品のご提案に加え、このような事前のアセスメントの段階からのサポートにも注力しています。

対策が机上の空論にならないように　キーワードは「経営層」「演習／訓練」

――NISCはサイバーセキュリティ月間でどのようなことを訴えているのでしょうか。

村田　NISCは「サイバーセキュリティ戦略」で「プラス・セキュリティ人材」の確保と育成を重要な柱の一つに据えています。マネジメント層がセキュリティの意識と知識を身に付けると共に、IT部門と事業部門や経営層とをつなぐ役割を果たすプラス・セキュリティ人材の確保と育成が重要です。適切なリーダーシップを発揮してもらうことで、サイバー攻撃のトラブルに起因する情報漏えいやサービス停止などを抑えられます。

　23年度は、経営層にセキュリティ意識を持ってもらうためのセミナー「経営者のためのサイバーセキュリティ戦略」を3月14日に開催して、人材育成や必要な対策について情報提供します。

　加えて、サイバーリスクマネジメントの要点を経営層向けに分かりやすく解説した動画コンテンツ「サイバー攻撃　今、そこにあるリスク〜経営トップがすべきこと〜」を公開しています。3月には、さらに内容を掘り下げた第2弾も公開予定です。こうした動画で効率よく学んでいただきたいと思います。

澤入　劇的に風土を変えるのは一筋縄ではいきませんよね。経営層が積極的に関与することで風土の醸成や対策が進むことにつながっていくのは間違いありません。

村田　NISCが常に訴えているのは演習の重要性です。机上で論じるよりも、インシデントが発生した想定で訓練をして、取るべき対応は何か、対策に抜け漏れはないかなどをチェックすることが大事です。政府は、総務省の「実践的サイバー防御演習『CYDER』」やIPAの「産業サイバーセキュリティセンター」での演習など、実践的な演習プログラムを提供しています。

　NISCも毎年11月に重要インフラ事業者を対象にした訓練を実施しています。インシデント原因の特定や対策の確認、広報、関係者コミュニケーション、意思決定の在り方などを総合的にチェックしています。

澤入　私も、訓練は参加者が当事者意識を持つことができ、高い効果があると考えています。ソフトバンクでも標的型攻撃メールの訓練やレッドチーム演習などのご提案をしています。

村田　攻撃を受けてから「何が起きるか、どう対処すべきか」を“泥縄”で考えていては間に合いません。サイバー攻撃を100％防ぐのは不可能です。防げないという前提で、インシデントが起きたときの行動を経営層から現場まで確認するのはとても大事なことです。企業が抱える問題点の洗い出しにもなりますし、全社的な意識向上にもつながるはずです。

対談する澤入氏と村田氏

――セキュリティ対策はひとごとになりがちです。どうすればいいでしょうか。

村田　サイバー攻撃で生じるリスクと対応方法を、経営層はもちろんマネジメント層や現場が議論して整理することが重要です。各自に果たすべき役割があると理解できるでしょう。「おまえが悪い」と指を指すのではなく、「俺は何をしなければならないんだっけ」という考えが自然と浮かぶようになるといいですね。

澤入　アセスメントをすると、できていることとできていないことが見えてくるので、何をすべきか理解できます。ただし、できていないことを一気に改善するのは現実的ではありません。優先順位を付けるところに経営層の判断が求められることがあります。何を優先するかを決めて、ROIを判断しつつ計画を立てるプロセスを通すことで、経営層にもセキュリティ対策に参画している実感が生まれてくるでしょう。

企業規模で変わる対策内容　中堅・中小企業が頼れるのは？

――対策に取り組むとき、企業規模によってどのような違いがありますか。

澤入　大手企業と比較して、中堅・中小企業は予算や人材の確保が難しく、ITベンダーのアウトソースを活用する場面も多くなります。その際も「ここまでは自社で把握しておき、ここからお願いするんだ」など整理することが重要です。

村田　中堅・中小企業が自社だけで対策の優先度を検討するのは難しく、相談できる相手がいない状況も理解しています。しかし、中堅・中小企業だからといって狙われないわけではありません。取引先に迷惑を掛けないためにも、今まで以上に備えが求められています。

　中小企業などのセキュリティ対策を支援する「サイバーセキュリティお助け隊」という取り組みを経産省が進めています。この機に、何か気になることがあれば対策を検討していただくのもいいでしょう。

澤入　大企業はゼロトラスト移行を目指した初期の取り組みが一段落して、成熟度を高める段階に来ています。そして、これからは中堅・中小企業でもゼロトラストへの移行を目指す動きが広がっていくと考えています。

　ソフトバンクでもサイバーセキュリティお助け隊に対応したセキュアプロキシ「MGSP（MBSD Global Security Platform）」をご提供しています。また、ネットワークとセキュリティ機能を一つのクラウドサービスとして提供するSASE（Secure Access Service Edge）を低コストで導入可能にした「Zscaler BASE プラン」と、モバイルデバイス管理サービス「ビジネス・コンシェル デバイスマネジメント」にシングルサインオンなどの認証強化を手軽に実現できるID管理機能を新たにリリースしました。これらのソリューションを中心に、中堅・中小企業のお客さまのゼロトラスト実現をより強力に支援していきます。

　また、SASEやシングルサインオンはセキュリティ強化だけではなく、通信環境の改善やクラウドサービス利用時のログインの手間が軽減されるといった利便性の向上につながります。経営層や一般ユーザも導入の効果を実感できると思います。

村田　対策に取り組むとき「どこまでやればいいのか分からない」という問題がありますよね。

澤入　お客さまから「他社はどうしてるんですか？」「業界の平均はどれくらいですか？」とご質問いただくことも多いです。平均に達していればいいというわけではありませんが、自分の現在地と業界で求められている対策レベルのギャップを把握して足りない部分から着実に進めることも大切です。

　例えば、自動車業界ならば日本自動車工業会がガイドラインとチェックシートを用意して、サプライチェーン全体での対策を強化しています。このような業界のガイドラインや指針も対策の参考になるはずです。

――最後に読者へのメッセージをお願いします。

村田　NISCはサイバーセキュリティ月間中に、経営層向けのセミナーを開催します。オンライン参加も可能なので参考にしてください。サイバーセキュリティ対策を学べる経営層向け動画も公開しています。NISCや各機関の情報を使って、自社の備えを点検する機会にしてください。

澤入　ソフトバンクも大型オンラインイベント「ソフトバンク セキュリティフォーラム2024春」を開催して、最新のセキュリティ動向の情報発信をしていきます。セキュリティ部門の方はもちろん、サイバーセキュリティ月間のテーマの「全員参加」にもあるように経営層や情報システム部門など普段セキュリティに関する業務に専念されていない方にもぜひご視聴いただければと思います。