サイバー対策の要は、経営層参加による「演習」の実践

【「知創の杜」フォーカスシリーズ】セキュリティ

このシリーズは、富士通総研が発行している情報誌「知創の杜」の中から旬なテーマを取り上げ、実際のビジネスに取り組んでいるコンサルタントを交え、対談形式でお届けするシリーズです。第2回のテーマは「セキュリティ」です。

(前列左から)渡辺研司氏、太田大州、(後列左から)細井和宏、三浦良介

経営者に対してセキュリティリスクの危機感を演習で醸成する

―IoTの進展に伴いサイバー攻撃の脅威とともに、セキュリティリスクがクローズアップされています。富士通総研(FRI)は事業継続マネジメント(BCM)においては発災後の行動力が重要だと考え、平時の心構えや備えについてコンサルティングを行っていますが、サイバー攻撃に対しても根本は同じです。それを「セキュリティレジリエンス」と呼んでいます。渡辺先生はBCMに精通され、また数多くのサイバー演習をされていますが、最近特に感じられている課題はありますか?

渡辺 研司 氏
名古屋工業大学 大学院社会工学専攻 教授

渡辺 重要インフラ業界や個別企業と演習をご一緒していますが、ようやく訓練から演習に変えなければという意識を経営者も持ち始めてきた気がします。訓練は世の中で多く実施されていますが、私は臨機応変に考え意思決定を行う、頭の筋肉を鍛えるような演習に注力しています。有事の際に参加者が的確に状況把握し、選択肢を考えて意思決定を重ねていくことがレジリエンスの基本だと思います。いかに断片的な情報を掻き集め、限られた時間内で意思決定して次に進められるか。落とし穴も仕込まれた周到なシナリオの演習を体験することで、「何ができていないのかが分かって良かった」というモードに変わってきました。

太田 「訓練から演習へ」は素晴らしい考え方だと思います。ホワイトハッカー(注1)がいると世の中は救われるみたいな話が多いのですが、まさに演習をやる仕組みを作らねばと痛切に思います。

渡辺 トップに危機感がない会社はいくらやってもダメですね。何か起きた時「想定外のことでございました。あいすみません、再発防止に努めます」で記者会見を終えてはいけませんね。

三浦 トップダウンでCSIRT(Computer Security Incident Response Team)を作っている企業はシステム部門だけでなく他も巻き込んでいるケースが多いですが、ボトムアップで作っている企業は横連携に課題があります。やはり経営層がサイバー攻撃をリスクとして認識して対応することが重要だと思います。

渡辺 リスクをきちんと認識し、自社の脆弱性に対し、それが起きたらどういうビジネスインパクトがあるかを想定し、それを顧客としっかりコミュニケーションできる企業こそが信用できます。この考え方は事業継続と全く同じですね。

セキュリティに対する意識の変化

経営者にビジネスインパクトを明示する

―セキュリティリスクの文脈で危機感を醸成するために工夫すべきポイントは何でしょうか?

渡辺 BC(Business Continuity)は自然災害もセキュリティも同じなので、情報漏洩すればコストがいくらとか、どれだけマーケットシェアが落ちるとか、経営者に数値でビジネスインパクトを示すことが有効だと思います。

三浦 地震などの災害では時間が経つと被害状況が分かってくるのに対し、サイバー攻撃は悪意をもって行われるため、証跡の改ざんや証拠隠滅がある点が違います。だからこそ、CSIRTは今何が起きているかを断片的な情報から組み立てて、経営者に分かりやすく伝えることが重要です。

太田 大州
富士通株式会社
グローバルマーケティング部門 エバンジェリスト

太田今までのセキュリティの防御方法は、結局は後追いのセキュリティ対策です。そこで我々は、2011年から攻撃者の行動に着眼しました。攻撃者の行動には決まった法則があります。それを研究して、ようやく2015年にモデル化できました。
これにより、例えば年金機構の事件は調査に3か月近くかかりましたが、我々の技術では1時間で相関が全部出ます。すでにお客様や富士通で使われて良い成果が出ていて、今後は情報系だけでなく制御系でも適用研究したいと考えています。

事故前提での取り組みの必要性、情報保証から任務保証へ

太田 サイバー攻撃というと情報漏洩だと思う経営者が多いですが、私は任務保証(ミッションアシュアランス)が要だと言い続けています。自然災害は目に見えて分かるので、経営者も理解しやすい。しかし、サイバー攻撃の本質は任務保証であることを理解してもらう意味で、演習は分かりやすい気づきが得られる手段だと思います。

渡辺 担当者ではなく経営者に参加してほしいですね。すでに攻撃されているという前提で、身を切ってでもここから先を守るという感覚を持つことが必要です。

―FRIでは事業継続の領域でシナリオ非提示型の演習を10年以上やってきており、2016年7月より事業継続演習で培った考え方を応用してサイバーインシデント演習を開始しました。その演習シナリオでこだわった点は何でしょうか?

三浦 サイバー攻撃の全容が明白に分かるには、数週間から数か月ほど時間がかかります。初動時には断片的な情報しか分かりません。その断片的な情報から状況を推測して、事業経営にどんなインパクトがあるのかを考えて、エスカレーションして意思決定してもらうところにポイントを置いています。

―お客様ごとに事業は異なりますが、どのような観点で影響を把握すべきかには共通点がありそうですね。

太田オフィス系と工場系のセキュリティで全く違うのは、止めるとすぐに売上に影響を及ぼすこと。そのため、どの条件で止めるかの判断基準について、「ここまでならこうする」という基準を事前に準備できるといいと思いました。

三浦 NISC(内閣サイバーセキュリティセンター)の担当者にインタビューした時、「止まったシステムをリカバリする手順書は多数準備できているが、コンピュータの負荷が高く制御できない状況の時、誰がシステムを止める判断をするかが決まっていない」という話がありました。今後の制御系システムに関する演習では、システムが稼動していても制御できないようなシナリオを検討したいと思います。

渡辺意思決定で重要なのは、今止めると回復の時間がどれだけかかり、在庫がどのように減るか、1時間後だったらどう違ってくるのかというように、業務上のインパクトに落とし込むこと。「あと30分判断が早ければ、こうなっていた」というふうに、学習していくことも重要ですね。

これからの危機管理の考え方

日本を強靭化するためにはセキュリティ技術の国産自給率の向上が必要

―我々が普段から取り組めること、サイバーセキュリティ演習で取り込んでいくべきこと、留意していくべきことは何でしょうか?

太田 先ほど日本のセキュリティのレベルの話がありましたが、日本には国産技術を育成するプログラムはありません。セキュリティビジネスは年率7%で伸びていると言いますが、伸びてはいけない世界だと思います。ICTの運用費用は今の低い経済成長率では増やせないし、そこにサイバー投資が割って入ると景気は悪くなる一方です。だからICTの投資範囲で実現しなければならない。となると、高い技術を自分たちで創り出さず他国にすべて頼るのは間違っているのです。

―太田さんはセキュリティ技術の国産自給率の向上と表現されていますね。

太田 総務省の研究外郭団体のNICT(National Institute of Information and Communications Technology:情報通信研究機構)がダークネット(注2)の監視や研究等において海外製品でテストベッドを作り評価しています。その活動の中で、何らかのコアがないと技術者が育たないという課題認識は一致しているので、協力をお願いしています。

三浦 良介
株式会社富士通総研
ビジネスレジリエンス事業部 チーフシニアコンサルタント

三浦 大企業ではそれなりのセキュリティ体制が取られていますが、中小企業を含めた全体の底上げが必要だと思います。中小企業でもセキュリティに関する情報を集めやすいとか、サイバー演習をバーチャルで受けられるといったことが現実にならないと、日本全体としてセキュリティのレベルは上がらないと思います。

渡辺個々の中小企業には人も金もないので、ある程度外部の専門サービスに監視をしてもらうことです。これは横軸を通して監視することになりますので、特定の産業や特定のツールを使っている企業群の攻撃が捕捉できるようになるため、補助金を出すことなど、ある程度国が支援すべきでしょう。

企業の危機管理能力は企業の底力

―国レベルの強靭化を加速するには、どのように人材育成していけばよいでしょうか?

渡辺 報告することを躊躇しない、報告されたことに対してアプリシエイト(評価)することが重要です。エスカレーションすることを推奨し、それがネガティブなことにつながったとしても、あなたには責任ありませんと言う。これは普通の危機管理でもやられていることです。エスカレーションを是とする演習を組むのもよいと思います。

太田 企業の危機管理能力は企業の底力であり、平時にもその危機管理能力は発揮できる。その部分がこれから市場で試されると、もっと活性化するかと思います。

渡辺 ドリルは手順を体で覚えるという面では必要ですが、それだけではダメです。手順を確認する訓練だけをやっていると、その手順が本番で足枷になるケースがあります。

三浦 想定外の事象に対応できるかを検証する訓練も重要です。目的に応じていくつかあるパターンの訓練や演習を織り交ぜてやるのが一番よいかと思います。

渡辺 中堅の現場の人たちが自分の業務知識・経験を持ち寄って、何が起きるとどうなるかというインパクトや連鎖について演習などを通じて想像していく。そのようなスキルも経営陣に上がっていくための条件ですね。

[司会]
細井 和宏
株式会社富士通総研
執行役員 ビジネスレジリエンス事業部長

―ビジネスレジリエンスもセキュリティレジリエンスも、有事の際には考える能力が低下し、最悪の場合パニックに陥ります。その状態で経営者に最終報告しても臨場感・危機感が伝わらないことが多いのですが、イベント当日ではなくプロセスの中で連鎖のシナリオ検討に巻き込むことで、危機管理の人材育成、次世代経営者育成として取り組んでいきたいと思います。本日はありがとうございました。

(注1)コンピュータやネットワークに関する高度な知識や技術を持つ者を指す呼び名である「ハッカー」のうち、特にその技術を善良な目的に活かす者のこと。

(注2)インターネット上で到達可能なIPアドレスのうち、特定のホストコンピュータが割り当てられていないアドレス空間のこと。

知創の杜(フォーカスシリーズ)セキュリティ
「セキュリティレジリエンスへの取り組み」

当記事の詳細をPDFでご覧いただけます。

コンサルタントやエコノミストの知見・ノウハウをご紹介する情報誌「知創の杜」 はこちら >>