DX(デジタルトランスメーション)の進展、コロナ禍でのテレワークの普及などによって、個人や企業を取り巻くサイバーセキュリティの重要性が増している。社会のデジタル化が進むなかで、経済活動の発展や安全・安心な暮らしを確保していくためには、企業における個別セキュリティ対策の強化だけでなく、サプライチェーン全体での対策など、環境変化に対応したサイバー攻撃に対する対策が求めらている。
先ごろ、運輸総合研究所が「第79回運輸政策セミナー交通サイバーセキュリティ~DXが進展する企業経営への新たな脅威とリスクコントロール~」を開催。3人の識者が日本のサイバーセキュリティの現状と課題を報告した。
サイバー攻撃被害のハザードマップ作成を
情報セキュリティ大学院大学学長の後藤厚宏氏は、「コロナ禍で在宅勤務が社会経済活動のひとつになっているなか、あらゆる経済活動にサイバー攻撃が潜んでいる。DXを進めていくうえで、サイバーセキュリティも同時に考えていかなければならない」と警鐘を鳴らす。
サイバー犯罪のリスクは、サイバー空間だけでなく、フィジカル空間にも及び、単独の企業だけでなく、サプライチェーン全体が攻撃対象になることも増えてきた。さまざまな製造段階や開発段階で、不正なソフトウェアが混入するリスクがあり、攻撃されればその損害は広範囲に及ぶ。
米国では2020年12月、IT管理ソフトやリモート監視ツールの開発を行う「ソーラーウインズ」で正規の更新プロセスの仕組み自体が乗っ取られる事案が発生。ひとつの攻撃で、1万8000社に影響が及び、バックドアから情報が窃取された。
また、2021年5月には米最大手のコロニアル・パイプライン社がランサムウェア攻撃を受け、安全確保のためにパイプラインを停止せざるを得なくなり、ビジネス事業の継続性が喪失。米国東海岸で石油供給不足になり、ガソリン価格の上昇するなど社会生活に大きな影響が出た。
後藤氏は「運輸業界にも関係のあること。コアオペレーションが妨害攻撃を受けると、情報が盗まれるだけでなく、安全確保のために交通を止めざるを得なくなる」と話し、経済全体に甚大な影響が及ぶ危険性を指摘した。交通が止まれば、旅行に交通は不可欠なので直撃することにもなる。
そのリスクの大きさから、米国では今年5月に大統領令「Improving the Nation’s Cybersecurity」を発令。日本も今年9月に「新サイバーセキュリテイ戦略」を打ち出すなど、対応を急いでいる。
情報セキュリティ大学院大学学長の後藤氏
デジタル時代の今、問題をさらに深刻化させているのがクラウドとモバイルだ。
英保険ロイズ社の調査レポート(Cloud Down Impacts on the US economy)では、米国のクラウドサービス事業の上位3社(アマゾンAWS、マイクロソフトAzure、IBM)が3日から6日間オフラインになった場合、損害額は合計69億ドル(約7500億円)から147億ドル(約1兆6000億円)との予測を出しているという。
後藤氏は「社会全体のサイバー化、デジタル化を進めていく『備え』として、国全体を俯瞰したリスト分析と被害シミュレーションに基づく議論が必要」と訴え、そのうえで自然災害ハザードマップのような「サイバー攻撃被害のハザードマップ」の作成を提案する。
さらに、クラウドダウンへの備えとして、レジリエンス確保するために、クラウドサービスの分散利用、デジタル時代のエッセンシャルワーカーの確保が求められているとし、グローバル連携の中では、日本でも未知の脆弱性データベースやマルウェアデータベースを構築することが必要との見解を示した。
政府もコロナ禍で変化するサイバー空間に対応
内閣サイバーセキュリティ副センター長の吉川徹志氏は、日本政府の取り組みを説明。「国民全体のサイバー空間に参画しているという認識のもと、『サイバーセキュリティ・フォー・オール(誰も取り残さないサイバーセキュリティ)』」を進めていくとした。
政府は今年、新たな戦略を立案した。その背景には、ネットショッピングの増加、有料動画配信サービスの利用増、大学におけるオンライン授業の拡大、テレワーク実施の拡大、クラウドサービスの利用の拡大などコロナ禍でのサイバー空間環境の変化がある。実際、最初の緊急事態宣言が発出された2020年4月には、リモートデスクトップを狙った攻撃件数が急増したという。
内閣サイバーセキュリティ副センター長の吉川氏
新しい戦略では、「DXとサイバーセキュリテイの同時推進」「安全保障の観点からの取り組み強化」「公共空間化と相互連関・連携が進むサイバー空間全体を俯瞰した安全安心の確保」を進めていき、自由、公正かつ安全なサイバー空間の確保を目指す。
DXとサイバーセキュリテイの同時推進では、経営層の意識改革、地域・中小企業への対応、新たな価値創出を支えるサプライチェーンの信頼性確保の基盤づくり、デジタル・セキュリティ・リテラシーの向上を進める。
公共空間化と相互連関・連携が進むサイバー空間全体を俯瞰した安全安心の確保では、自律的なリスクマネージメントが講じられる環境づくり、包括的なサイバー防御の展開、多層的なサイバー防御体制の構築、国全体のリスク低減、レジリエンス向上を進める。具体的にはクラウドサービスへの対応強化だ。
また、吉川氏は、来年春を目途に「重要インフラ情報セキュリティ対策に係る第4次行動計画」を改定することを明らかにし、今後、運輸関係の事業者も加わり、環境変化に応じた防御の強化や経営層のリーダーシップについて議論を進めていくとした。
経営層のリーダーシップで包括的な対策を
サイバーディフェンス研究所専務理事/上級分析官の名和利男氏は、民間企業におけるサイバーセキュリティに対する課題について、サイバーセキュリティの問題をITで解決しようとしている企業が多いが、ビジネスモデル、バリューチェーン、会社のリスク文化、役割、責任、ガバナンスなどさまざまな側面が関わってくるため、「IT部門に任せるだけでサイバーセキュリティに取り組むことはできない」と指摘。
また、ツイッターのハッキング事案を例に挙げ、最高情報セキュリティ責任者(CISO)の重要性を強調し、「包括的なセキュリティコントロールの欠如の責任は全て経営層にある」と主張した。
さらに、単に人材を投入することで脅威を取り除こうとするが、優秀なハッカーを雇っても、何万もの攻撃を予測して、防御することは不可能。3ヶ月もあれば新しい脅威が出てくるため、チェックリストやプロトコールも間に合わないと警鐘を鳴らした。
そのうえで、「インシデントが発生する前の早期発見と調査、抑制を実施するセキュリティに投資することが必要」と強調する。しかし、経営層は、予兆の管理や警戒が利益にどのようにつながるかのストーリーがないため、投資がなかなか進まない。そのため、インシデント発生後に過度なセキュリティ投資を行うことになり、利益を圧迫しまう悪循環に陥るという。
サイバーディフェンス研究所専務理事/上級分析官の名和氏
重要なのは包括的なサイバーリスクマネージメント。たとえば、ITセキュリティ部門あるいはCSIRT(Computer Security Incident Response Team)が、会社を包括的に管理する権限と実務能力を持っているかどうか。CISOは会社の全ての要素を包括的にまとめる権限・知識・能力を持っているかどうかがカギになるという。
名和氏は「コロナ禍でサイバー環境が変化している。日本のサイバー攻撃リスクの脅威も高まっていることから、経営層が本気になることが肝心。サイバー訓練を積み重ねるなど持続的など努力をしてほしい」と呼びかけた。
観光マーケティング実務スタッフ(旅行好き大歓迎!)【株式会社マーケティング・ボイス】
