株式会社サイバーディフェンス研究所 専務理事 上級分析官 名和 利男 氏株式会社サイバーディフェンス研究所 専務理事 上級分析官 名和 利男 氏
シェア ツイート

「会社を守れない経営者」はもう不要!?~今やるべきサイバー攻撃対策は~

突然、顧客から取引停止を言い渡されることも…

 ある日、あなたの会社の社長に、取引先の取締役から緊急電話がかかってきた。電話の向こうからは、「取引を停止する」とすごいけんまくの声が。よく聞けば、取引先のシステムが受けたサイバー攻撃が、あなたの会社のシステムを踏み台にしたものだったという。マルウエアに感染したシステムから多数の重要情報が流出。その責任をどう取ってくれるのか、というものだった。

名和 利男 氏

株式会社サイバーディフェンス研究所
専務理事 上級分析官
名和 利男(なわ としお)

 ただちに、釈明に向かう社長。しかし、自社のサイバー攻撃対策の状況をまともに説明することができず、あえなく取引は停止。重要顧客を失った上、多額の賠償責任まで負ったその企業は、数カ月後に倒産してしまった。

 「小規模であればメディアに報道されることはありません。しかし、このようなセキュリティ事件はいたるところで発生しています」と話すのは、サイバーセキュリティの最前線で活躍するサイバーディフェンス研究所の名和 利男氏だ。

 「ウチには取られるような情報はない」「ウチは関係ないから大丈夫」と構える経営者も相変わらずたくさんいる。逆に言えばそこが攻撃者の付け目になっていると警鐘を鳴らす。「攻撃者は狙いを定めた企業と取引のある会社に目を付け、そこを踏み台にして攻撃を仕掛けます。高度なセキュリティ対策を行っている大企業の壁をわざわざ乗り越えるよりもはるかに簡単だからです。その意味では、対策をしていない企業は、攻撃者にとって“カモ”でしかありません」(名和氏)

 標的型攻撃を受けた企業は明らかに被害者だ。しかしきちんと対策しておらず、セキュリティ被害を引き起こした場合、残念ながら今の時代では、加害者と認定されても仕方ない。

 セキュリティ対策への怠慢が経営を揺るがしてしまう。これは何も中小企業だけの話ではない。その一例が米国の大手小売業、ターゲット社の事案だ。同社のシステムはサイバー攻撃を受け、店舗のPOS端末がマルウエアに感染。4000万人分のクレジットカード利用データと7000万人分の顧客情報が流出した。この結果、巨額の賠償金を支払うことになったほか、売り上げや株価も低迷し、責任問題からCEOをはじめとする取締役全員が解任される事態にまで発展した。

 これらはいずれも、セキュリティへの対応をおろそかにしたことで、経営者自らがしっぺ返しを受けたケースだ。同様のリスクが、日本企業の経営者にも喉元まで迫っているのである。

 もはや経営問題となったセキュリティ。そのリスクを回避するために、経営者はどのような意識を持って行動すればよいのだろうか。

経営者の認識を変える「秘策」とは?

図 サイバー攻撃対策の3ステップ

図 サイバー攻撃対策の3ステップ

 こうした状況は、なぜ起こっているのか。名和氏は、次のように説明する。

 「日本企業のサイバー攻撃対策が立ち遅れている大きな要因として、情報システムおよびそれを扱う部門を、いまだに『コストセンター』と捉える経営者が多いことが挙げられます。例えば、コスト削減を目的に情報システム部門の機能をアウトソースしたため、現場部門も自社システムに十分目が届かなくなっている。その結果、攻撃を受けていることにも気付かないほど、リスク検知能力が低下してしまっているケースは枚挙にいとまがありません」

図サイバー攻撃対策の3ステップ

図サイバー攻撃対策の3ステップ

 こうした状態を抜本的に変えるには、投資決定権を持つ経営者の意識変革が必須となる。その理由は、「サイバー攻撃対策を、人間の危険回避行動に例えるとより分かりやすい」と名和氏は説明する。具体的には、企業がリスクに対処する流れは、危険回避行動と同じく「認知」「判断」「行動」の3ステップで行われる(図)。「筋肉」にあたる現場部門が「行動」するには、「脳」にあたる経営者が、「目・耳・鼻」といったセンサー機能から得られた情報を正しく見極め(認知)、瞬時に「判断」し、「筋肉」を動かすことが必要になる。

 「日本企業の現場部門は非常に優秀です。なのに、経営者の意識が足りないため、彼らのポテンシャルを眠らせているケースはとても多い。サイバー攻撃の現状や被害例を正しく知り、セキュリティ投資の優先順位を上げる。それが、ビジネスを存続させ、取引先との信頼関係や社員の雇用を守るための必須条件です」と名和氏は強調する。

演習などで、被害を自ら経験することが大事

 それでは、経営者の意識改革は具体的にどう行えばいいのか。その方法として名和氏が推奨するのが、セキュリティ訓練や認識向上プログラムに経営者自らも参加することだ。

 すでに国内外の先進企業では、定期的なサイバーセキュリティ演習を取り入れているところもある。ポイントは経営者を含む全社員が参加し、自社で重大なインシデントが発生したらどうなるのかを、身をもって体験することだという。「私の経験でも、実際の被害事例をベースにつくった演習を実施した後、突然、全社的なセキュリティ対策強化を実行に移した企業がありました。経営者が気付けば、その後はスムーズに進むことが多いです」と名和氏は語る。

 また、同じく有効な方法として、深刻な問題をコンピュータゲームの中で経験できる「シリアスゲーム」も近年は採用が進んでいる。遊び感覚で知識を身に付けられることから、欧米では多くの経営者が好んで利用しているという。

 「さらに近年は、サイバー攻撃対策の司令塔役を担う『CSIRT』※を設置するケースも増えていますが、それが名ばかりの存在になってしまう例は少なくありません。攻撃を受けた際の状況を想定したトレーニングや教育などをまったく行っていないため、いざという時に機能しないのです」(名和氏)。CSIRTは、自組織が管理するシステムにおける消防署・警察署に当たる存在。実世界の消防士や警察官同様、担当者が日ごろから実践的な訓練を積むことの重要性に経営者が気付けば、セキュリティ投資への考え方も変わり、この状況も改善されるだろう。

サイバー攻撃対策が売り上げアップのため必須になる

名和 利男 氏

 サイバー攻撃対策に取り組まなければいけない理由はほかにもある。それは、政府レベルで進むある取り組みにより、対策を進めない企業は市場から除外される可能性が出てきているからだ。

 2015年6月には「日本再興戦略改訂2015」が閣議決定され、新時代への挑戦を加速する取り組みの中に、「セキュリティ」という文言が盛り込まれた。この動きを受けて、経済産業省並びに独立行政法人 情報処理推進機構から発行されたのが、「サイバーセキュリティ経営ガイドライン」である。名和氏は策定メンバーの一人としてこのガイドラインに関わった。

 「企業が十分なサイバー攻撃への備えを行い、被害を抑制できれば、それが国力回復/経済成長の原動力の一つになると政府は位置付けています。そこで政府は、より多くの企業が本腰を入れて取り組めるよう、対策が収益向上に結びつく仕組みとしてガイドラインを策定。『これを満たす企業は取引先として安心である』という構造をつくることで、対策の一層の普及を図る狙いです」

 名和氏のこの発言は多くの示唆に富む。つまり、サイバー攻撃対策に積極的な企業を評価するということは、一方で積極的でない企業がハンデを負うということでもある。将来的には、ガイドラインを満たさない企業が市場で評価されることは難しくなり、取引先を失ったり、マーケットからの退出を迫られたりする可能性も出てくるだろう。

 SNSの発達やIoTの促進など、企業経営におけるサイバー攻撃のリスクは今後さらに高まっていくことは、容易に予測できる。今すぐ対策に取り組んで収益アップを実現するか、怠ってビジネスチャンスを失うか――。企業の行く末は、経営者の決断にかかっている。

※CSIRT:Computer Security Incident Response Teamの略。セキュリティ・インシデントへの一元的な対応を行うための専門チーム。IT、セキュリティ、経営、広報などの部門横断で構成される全社組織であることから「消防団」に例えられることもある。

名和 利男氏

株式会社サイバーディフェンス研究所
専務理事 上級分析官
航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空システム等のセキュリティ担当業務に従事。その後国内ベンチャー企業やJPCERT/CC早期警戒グループのリーダーを経て、NECのグループ企業であるサイバーディフェンス研究所に参加。現在まで、多数の企業に向けたサイバー攻撃対策支援サービスを提供している。