サイバー攻撃が企業の成長を阻害する。実践的かつ体系的なセキュリティ対策を

[セミナー]サイバー・セキュリティのリスクと企業の成長戦略を考える

東京・有楽町にある東京国際フォーラムにおいて、2014年5月15日 木曜日、16日 金曜日の2日間にわたり、富士通最大のイベントである「富士通フォーラム2014 東京」を開催しました。15日のセミナーでは、サイバー・セキュリティの現状を踏まえ今後取り組んでいくべきことについてご紹介しました。

ICTは成長戦略の原動力。リスク対策を怠ると成長阻害要因にも

ICTの活用は、社会や企業が成長する原動力ともなりますが、同時にサイバー攻撃のリスクについても考えなくてはなりません。そのリスクは、そのまま経営リスクともなり、成長を阻害する要因となってしまいます。富士通セキュリティイニシアティブセンター長の太田大州が、本セミナーで指摘したポイントもまさにそこ。経営の視点からサイバー攻撃のリスクを捉え、ICTを企業成長のドライバーとするために必要な取り組みを紹介しました。

今、あらゆるものがネットワークでつながる「ハイパーコネクテッド・ワールド」の到来が間近に迫っています。その原動力となるのが「Internet of Things(IoT)」。東京オリンピックが行われる2020年には、じつに500億個以上のモノや人がインターネットに接続するようになると予測されています。このIoTと、それによって生まれる膨大なデータ、すなわちビッグデータの活用が重要視される時代にあって、多くの企業が利益やコストよりも「成長」を最優先に考えています。テクノロジーが成長のドライバーとなった今、テクノロジーを脅かすサイバー攻撃などのリスクは成長を阻害する最大要因です。つまり、ICTの活用は企業に成長をもたらすが、同時にそこを攻撃されると成長を妨げる最大の経営リスクにもなってしまうということ。今、多くの企業に求められているのは「ICTの活用とリスク対策のバランスをとること」(太田)なのです。

サイバー攻撃が企業経営に与えるリスク。情報セキュリティの人材不足も成長阻害要因に

それでは、サイバー攻撃によって企業の経営にはどのようなリスクがもたらされるのでしょうか。一般的には、企業の競争力の源でもある「知的財産への被害」、システムダウンによる「業務停止や機会損失」、製造設備や制御設備が壊されることによる製品や品質への影響、ブランド失墜など企業の「社会的責任の問題」などですが、これだけにはとどまりません。今やビジネスが1社単体だけで成り立っているケースは少ないでしょう。たとえば原材料から製品ができるまでは複雑なサプライチェーンがあります。1社がサイバー攻撃で被害を受ければ、サプライチェーン全体に影響がでてしまいます。サイバー攻撃による経営リスクは、「もはや自社だけの問題ではない」(太田)のです。「そのことに経営者は気づき、幅広い視野でサイバー・セキュリティの本当の重要性を理解して欲しい」(太田)ことを強調しました。

また、政府の「サイバーセキュリティ戦略」でも課題とされておりますが、情報セキュリティの人材が不足していることも深刻なリスクです。情報セキュリティのエンジニアは国内に約26万5000人いるとされていますが、それでも約8万人が不足している状態です。しかも、既存の情報セキュリティエンジニアの約16万人はスキルや経験不足と指摘されています。「合計約24万人もの情報セキュリティエンジニアが不足している。これが、最も深刻かつ重大なリスク」(太田)といえるのです。

情報漏洩事故は起こりうるもの。攻撃されることを前提に対策をとることが重要

これらのリスクと、それにともなう被害を最小限度とするには、どうすればいいのでしょうか。現在の多くの企業が抱えている悩みとして、標的型攻撃や水飲み場型攻撃など次々に新しい手口が登場し、防御策も出口対策や多重防御など非常に複雑なものになってきていることがあります。「多くの企業では、攻撃や侵入の痕跡といった膨大な情報をどう処理し、どのソリューションで対策するかわからなくなってしまった。つまり、複雑すぎて現場での運用が追いつかなくなっている」(太田)のです。このような状況では、「サイバー攻撃による被害、つまり事件・事故は起こり得るものという前提で対策をとること」が重要です。

富士通は、この視点に立脚し、常に情報を収集し、分析・調査、原因を突き止めての対策から攻撃の防止につなげるという「PDCA(セキュリティインテリジェンス)」を社内でも実践しています。特に重要なのが「何が起きたのかに気づく」こと。情報収集して何が起きたのかを全力で知り、次に原因を突き止め、発生するリスクを排除する対策をとり、次に同じ攻撃を仕掛けられた時に備えて防御をするという流れです。「最初に『何が起きたのか』に気が付かなかったら、原因もリスクの排除も防御もできない。だからこそ、事件や事故は起こり得るという前提に立って、何が起きたかを知ることが最も大切」(太田)なのです。「BCP(事業継続)の視点でも、重要なのはインシデントが発生した際の対応力。つまり危機管理対応だ。企業の経営者は、この能力を高めることに力を注ぐべき」(太田)としました。

富士通は、これらの実践をもとに、「システム強化」「運用強化」「人材育成」の3つの視点で施策を立案し、お客様に提供しています。

サイバー・セキュリティを体型的に支援する、FUJITSU Security Initiative

本セミナーでは、富士通のサイバー・セキュリティに対する具体的な取り組みについても紹介。富士通では、「FUJITSU Security Initiative」(富士通セキュリティイニシアティブ)を2014年1月に発表。あわせて、約30名のエキスパートを擁する「セキュリティイニシアティブセンター」も設立しました。

また、本セミナーでは、実際に富士通がお客様から頂いた率直なご意見も紹介しました。それらは「何を強化する必要があるか分からない」といったものから、「多種多様な対策製品の中から何を選べばよいか分からない」といった運用に関するもの、「対策を導入しても使いこなせない。専門性の高い人材がいない」という人材に関するものまでさまざまです。

高度化、巧妙化するサイバー攻撃に対しては、お客様だけでも、また、富士通だけでも適切な対策をとることが困難な時代です。富士通は、今後、パートナー企業や大学・研究機関などの外部団体とも協力し、さまざまな企業のセキュリティ対策を体系的に支援していきます。

登壇者
  • 富士通株式会社
    サービス&システムビジネス推進本部 セキュリティイニシアティブセンター センター長 太田 大州