富士通のセキュリティエバンジェリストが語る! これからのサイバーセキュリティのあり方とは

企業・組織を狙ったサイバー攻撃が後を絶ちません。ますます複雑化する攻撃に対して、私たちは重要な資産をどう守っていくべきなのでしょうか。サイバーセキュリティに関し、企業が取り組むべき課題はたくさんあります。富士通のセキュリティエバンジェリストである太田大州が、サイバーセキュリティを巡る国際ルールや独自の技術開発や人材育成などの最新動向を踏まえ、これからのセキュリティ対策のあり方について解説します。

デジタルが世界を動かす時代、重要なのは「サイバーセキュリティ」

AI(人工知能)やIoT(モノのインターネット)、ビッグデータなどの新しい技術が日常生活やビジネスに大きな変革をもたらそうとしています。2015年の国連総会で採択された「SDGs(Sustainable Development Goals)」の取り組みでも、デジタルは非常に大きな役割を果たすことになります。

私は「デジタルはインターネットによって覚醒した」と考えています。インターネットがあればこそ、あらゆるものがつながり、あらゆるデータの交換が瞬時にできるようになるからです。そこで重要となるのが「サイバーセキュリティ」です。

サイバーセキュリティを考えるうえでは、インターネットを理解する必要があります。インターネットは、米国が1959年に国家プロジェクトとして取り組んだ軍事用ネットワーク「ARPANET」がその始まりです。その後、1980年代に軍事用から学術用に切り離されます。民間の研究所や大学などが中核となり基盤を活用し始めます。それから1990年代後半以降、爆発的に普及が進んでいきます。

富士通では2001年をインターネット元年と位置付け、「Everything on the Internet」という事業戦略を掲げて、インターネットをビジネスに最大限活用できるようネットワーク社会の基盤づくりを推進してきました。

ところが、2001年9月11日に起きた米国同時多発テロでは、インターネットがテロ行為を実行する上で巧妙に悪用されました。この事件は以後のサイバーセキュリティに大きな変革をもたらすことになります。

米国がこの事件を調査した結果、テロ組織はインターネットを最大限活用してテロを実行したことが明らかになりました。それを受けて、米国をはじめ各国がサイバーセキュリティに関して様々な対策を開始しています。

米国・欧州における国際ルール形成の最新動向

サイバーセキュリティの重要性が高まるなか、米国や欧州が主導となり国際ルールの形成が進んでいます。特に、米国では「サイバー空間の覇権は安全保障における絶対条件」として位置づけられています。

そして、2011年には、政府の安全保障戦略として「FedRAMP」という連邦政府共通のクラウドサービス調達のためのセキュリティ基準を制定しました。

また、NIST(米国立標準技術研究所)では「SP800シリーズ」というガイドラインを策定しました。特に民間の産業界を対象にしたセキュリティ対策基準「SP800-171」規約は、それを満たしていない限りサプライチェーンに参加できないという厳しい制約を設けています。

EUでは、2018年5月、欧州委員会によりネットワークと情報システムのセキュリティに関する指令「NIS Directive」、72時間以内の公開・通知義務や多大な罰金制度などの厳しい罰則を適用する「EU一般データ保護規則(GDPR)」がそれぞれ施行されています。

NIS Directiveでは、重要インフラ事業者に対して、最新のサイバーセキュリティ対策を講じることを要請しており、国際基準に準拠することを規定しています。GDPRでは、最大で企業のグループ年間売上高の4%、または2,000万ユーロの罰金を定めるなど、経営側での厳格なガバナンスを要請しています。

「No Security, No Digital」の時代に

このような状況の中、機密情報に関する経営へのインパクトは非常に大きくなっています。記憶に新しいところでは、2018年3月、米Facebook保有の個人情報が英コンサルティング会社に流用された事件が発生しました。個人情報の件数は、発表当初の5,000万人から、最大8,700万人規模になると発表され、Facebookの株価は20%急落し、時価総額で8兆円が消失しました。

サイバー攻撃から機密情報を守ることの重要性が極めて大きくなり、もはや「セキュリティなくして、デジタルなし(No Security, No Digital)」と言えます。

さらにIoTの台頭による新たな脅威は、企業のCSR(社会的責任)にも関わります。その影響範囲はサプライチェーン全体にも及びます。

サプライチェーンは単一企業の問題ではなく、社会全体の問題として捉える必要があります。そのため、サイバー攻撃への対応能力を高めることが求められます。また、各種セキュリティ基準を順守する能力が必要となります。サイバー攻撃を受けることを前提として、その対策に取り組む必要があるということです。