サイバー攻撃との終わらない戦いから会社を守るには?太田大州に聞く(後編)

インターネットというテクノロジーを手にした私たちは、それまで以上に自由で、クリエイティブな産業社会を産み出しました。しかし、さらに巧妙で複雑化するサイバー攻撃を想定して、強固なセキュリティを同時に構築しなければならない、と、富士通のセキュリティビジネスを牽引する、セキュリティイニシアティブセンター 太田大州センター長は警鐘を鳴らします。前回のセキュリティ最新情報の話を受け、今回は富士通社内で実践している取り組みや、セキュリティのプロフェッショナルを育てる仕組みなどについて語っていただきました。

サイバー攻撃との終わらない戦いから会社を守るには?太田大州に聞く(前編)はこちら

そもそも太田センター長がセキュリティ分野に関わることになったきっかけを教えてください。

私は入社して30年近くとなりますが、もともとは複合システム関係の商品開発を担当していました。サラリーマン人生の前半はいわゆるバブル景気に沸いた時代です。新しい商品をどんどん開発して、どんどん売る。それで企業も業績が上がる。とても幸せな時代でした。

ところがバブル崩壊後の1995年に阪神・淡路大震災が勃発します。これを契機にただ物を売るのではなく、例えば「防災」という分野に富士通の技術力で貢献できないかという想いから、私は消防行政における指令統制システムの開発、運用に携わりました。「119」にお客様が連絡すると市町村の消防がそれを受け、必要な台数の消防車や救急車をいち早く現場に派遣するシステムです。政令指定都市等、大規模システムを構築するのに7年間奔走しました。

2000年代に入り、アメリカ同時多発テロが発生すると、社会はますます不確実な時代に突入しました。自治体などの公共分野のみならず、民間企業の安心、安全をどのように守るのか議論されるようになりました。富士通はICTの会社なので、テロや自然災害からどうICTを守るのかという「ディザスタリカバリ」という分野に着手したのですが、近年、その成熟過程において、サイバー攻撃からどう企業を守るかが最大の課題として浮上してきたのです。サイバー攻撃が自然災害などと決定的に違うのは、その被害状況が見えないという点です。ですから私たちは、これまで企業が経験したことのないサイバー攻撃という不確定リスクの本質を、できる限り「見える化」して、その本当の危険性を問うことが必要だと考えるようになったのです。

富士通自身はどのようなセキュリティ対策を構築しているのでしょうか?

富士通ではお客様のイノベーションを支えるために、お客様起点視点でICTの安心、安全を実現する継続的な取り組みを開始しました。それを私たちは「FUJITSU Security Initiative」と呼び、新たに体系化しました。

「FUJITSU Security Initiative」コンセプト

体系化するにあたり、社内実践で培ったノウハウを活用しております。例えば、富士通は世界各地に300社のグループ会社と、グローバルネットワークで情報を共有しています。今まではインシデントが発生した場合には、各国の担当者がその都度、対応していましたが、現在は、すべてリアルタイムで、国境を超えた対応が可能となりました。

こうしたインシデントは、いつ、どこで、どのような規模で発生するのか分かりません。各国の担当者に任されていた時代は、そのインシデントが深夜に発生した場合、その対応は早くてもスタッフが出社する翌朝でした。マルウェアの侵略は、深夜から朝にかけて、社内ネットワークを通じてすでに拡大しています。

現在は、日本のワークタイムに発生したグローバルなインシデントは、日本の担当者が担当し、その逆であれば、海外の担当者が担当することになっています。つまり、24時間、365日、世界中のどの場所で事件が発生しても、リアルタイムでの対応が可能となったのです。

特筆すべきことは、この仕組みを構築するにあたり、人員増加をしなかったという点です。これまで人海戦術でやっていたものを富士通らしくプロセスを標準化し、人手をかけることなく自動化で達成できたのです。

今後の課題について教えてください。

専門知識が必要となるサイバー攻撃対策については、外部委託の活用を検討する企業が増加しています。この分野の課題は、圧倒的に人材が不足していることです。

そもそもセキュリティエンジニアは、単独でビジネスとして成立するかといえば、成立しにくい非常に厳しい現実があります。

同じセキュリティエンジニアでも、例えば通信機器分野が得意な人がいれば、データーベースを作りながら同時にセキュリティにも精通する人もいるでしょう。コンサルティングからスタートする人もいます。一口にセキュリティエンジニアと言っても、カバーする領域の裾野が広く、専門性も多様で、なかなか実態が分かりにくいのです。

そういう人を探し出して雇うよりも、少し勉強をしたらこの分野におけるスペシャリストになれる人材を社内から選びだす方が、社内人材の活用という点でも意味があります。そこで富士通では「セキュリティマイスター認定制度」というものを始めました。社内のどこにスキルを持った人材がいるのか「見える化」し、その人たちをマイスターとして認定することで、新しいコミュニティを作る計画です。

社内から人材を募集し、富士通のセキュリティ分野でその力を発揮できるコミュニティを形成するというものです。

社内には、様々な分野のセキュリティスペシャリストがいます。こうしたプロと積極的に交流をして、今の世の中に必要な技術はどうあるべきか議論しながら、その知識を共有できる組織運営を目指しています。これまでの縦社会に縛られた硬直した組織ではなく、グループ全体で緩やかなネットワークを作り、あらゆるトラブルの解決に挑戦していきたいと思っています。

今後、複雑、巧妙化するサイバー攻撃に私たちはどう向き合えばよいのでしょうか?

攻撃する側にターゲットにされると、グローバルでも、社内のネットワークでも、隙を見せればすぐに攻略されてしまいます。

一番狙われるのは誰か。色々な所で名刺を配っている役員です(笑)。いずれにしても、権限のある方のアクセス・コントロールに一番注意しないといけません。

ただ、その道のプロは、メールを開いてもらうために、様々な手口を用います。例えばその会社の「お客様総合センター」に、御社の商品に対する顧客からの意見書です、という名目でメールを送付する。また、リクルートのエントリーメールなどに仕組む場合もあります。

メール以外にも「水飲み場」攻撃といって、正規のウェブサイトを改ざんし、アクセスしただけでマルウェアを自動的にダウンロードさせるという手法も増加しています。

セキュリティの分野というのは、ICTがある限りなくなりません。今後もサイバー攻撃を仕掛ける側は、より複雑で巧妙な手段を使って攻撃をしかけてくるでしょう。

気をつけなければならないのは、企業が活躍する分野が広がれば広がるほど、セキュリティ運用をしっかり実施する必要があるということです。対策や適切な運用を放置すると、とんでもない責任を背負うことにもなりかねません。最先端の技術や道具を使うのは、ビジネスにおいて非常に有効な手段です。ですから、セキュリティはICTを自由自在に活用できるように構築しなければならない。

これは富士通としての、お客様との約束事でもありますから、今後、全社員がこれを肝に銘じて、ビジネスを発展させていかなければならないと考えています。