ページの先頭です

ページ内移動用のリンクです
  1. ホーム
  2. IIJについて
  3. 情報発信
  4. 広報誌(IIJ.news)
  5. IIJ.news Vol.184 October 2024
  6. エンタープライズリスクマネジメントのすすめ

サイバーセキュリティ最前線 エンタープライズリスクマネジメントのすすめ

IIJ.news Vol.184 October 2024

“サイバーセキュリティ”とひと言でいっても、その実態は多岐にわたり、
トレンドの把握すらままならない状況と言える。
そこで今回は、IIJの谷脇康彦が、政府系機関などで長年サイバーセキュリティに携わってこられた三角育生氏をお招きして、同分野の最新動向や企業活動に求められる対策についてうかがった。

東海大学 情報通信学部 教授

三角 育生 氏

経済産業省貿易経済協力局貿易管理部安全保障貿易審査課長、同商務情報政策局情報セキュリティ政策室長、情報処理推進機構セキュリティセンター長などを歴任。2012年から内閣サイバーセキュリティセンター内閣参事官として、16年6月から内閣審議官・同センター副センター長として、サイバーセキュリティ基本法の制定・改正に取り組む。18年から20年まで経済産業省大臣官房サイバーセキュリティ・情報化審議官、内閣官房内閣サイバーセキュリティセンター内閣審議官、内閣官房情報通信技術総合戦略室長代理を兼務。20年7月、退官。22年4月より現職。

株式会社インターネットイニシアティブ

取締役 副社長執行役員

谷脇 康彦

1984年、郵政省(現総務省)入省。郵政大臣秘書官、在米日本大使館ICT政策担当参事官を経て、2013年6月、内閣審議官・内閣サイバーセキュリティセンター副センター長。16年6月、総務省情報通信国際戦略局長。17年7月、同政策統括官(情報セキュリティ担当)。18年7月、同総合通信基盤局長。19年12月、同総務審議官(郵政・通信担当)。21年3月、退官。22年1月、IIJ入社。同年6月より現職。

新しいテクノロジーが攻撃拠点になる

谷脇:
私は2013年に内閣サイバーセキュリティセンター(NISC)に行くまでサイバーセキュリティに関わったことがなかったので、当時、参事官としてNISCにいた三角さんにサイバーセキュリティについて教えてもらいました。
あの頃はまだサイバーセキュリティといっても「日本は日本語環境だから大丈夫」みたいなことが言われていましたね。
三角:
日本のインフラが古すぎて、最新テクノロジーだと逆に攻撃しにくいという話が信じられていました。
谷脇:
法律もなかったので、「サイバーセキュリティ基本法」をつくりました。
三角:
2014年に成立して、翌年1月から施行されました。
谷脇:
当時と比べると、ネットワーク環境も変化し、機器も高度化しましたが、昨今のサイバー空間の脅威についてどのように見られていますか?
三角:
サイバーセキュリティに関しては、テクノロジーが新しくなり広がったぶんだけ、悪さをする余地が生じます。かつてアメリカのIT企業の社長と「テクノロジーが新しくなると、そこが攻撃拠点になるよね」と話した記憶があります。
日本企業の経営層は自分たちの環境がどうなっているのか自覚している人が少ないようです。例えば、IoTが広まり始めた頃は、あちこちの防犯カメラが外部から丸見えになっていたり、さまざまな機器が攻撃の踏み台になるといった状況が発生していました。
谷脇:
2010年代半ばと比べると、セキュリティリスクは増えているのでしょうか?
三角:
コロナ禍を機にリモートワークが一気に広がりましたから、その時に急いで環境を拡張した結果、穴を残したままになっているところが標的になるといったケースが見られます。
つまりテクノロジーが進化したり、適用範囲が急速に広がったところがうまく守れておらず、そこが狙われているというのが昨今の傾向だと思います。

セキュリティにおける政府の役割

谷脇:
そうしたなか政府や自治体などのセキュリティは改善しているのでしょうか?
三角:
改善していると思いますが、今、述べたようなことが現に起こっていて、政府もどんどんITを使うようになり、利用者が増えたぶんだけ攻撃対象も増えます。近年の増え方を考えると、比較的守られているほうではないでしょうか。
谷脇:
政府はセキュリティ分野で、どんな役割を果たすことが期待されていますか?
三角:
まず“方向づけ”をしていくことが、政府の役割として重要だと思います。特に情報提供です。
谷脇:
脆弱性やインシデントに関する情報ですか?
三角:
そうです。なぜかというと、日本の社会は、政府が言うことはわりと聞いてくれるからです。
谷脇:
信用してもらえる。
三角:
「三角が言っている」より、「内閣参事官が言っている」と言ったほうが耳を傾けてくれます(笑)。
もう1つ(民間の人から)「(対策は)どこまでやるべきですか?」とよく聞かれるのですが、本来はリスクマネジメントは自分たち(民間)で考えることです。ただ、フレームワークは公的機関が提供したほうがいい。その理由は、民間でフレームワークをつくろうとすると、乱立してしまうからです。なので、中立的な立場の政府がうまく連動するように取りまとめて、標準化したほうが効率的だと思います。
谷脇:
政府がレファレンスをつくって、民間で実際の対策に落とし込んでいくということですね。

経営層に求められるリスクマネジメント

谷脇:
ここまで政府関連のお話をうかがってきましたが、小誌の読者は一般企業の方が大半なので、次は民間の話をしたいと思います。これから企業セキュリティを考えていくうえで一番大事なことは何でしょうか?
三角:
やはり経営者です。経営層のリスクマネジメントだと思います。
谷脇:
三角さんはずっと言われていますね。
三角:
これは本当に根深い問題で、日本で行なわれているエンタープライズリスクマネジメントと、欧米のそれとはだいぶ異なると感じています。そもそも経営層のおもな仕事は、新しいビジネスをやる時に“リスクをどれだけ引き受けるのか”判断することです。
谷脇:
我々がNISCにいた頃も「『万全を期す』とか『想定外』っていうのは残存リスクを認識していないから間違いだ」といった話をしていましたが、昨今の経営層は社内で「対策には万全を期してほしい」といったことを言うケースも多いんじゃないですか?
三角:
どうでしょうか、必ずしもそうじゃない気もします。経営層がどこまでリスクをとるのかという問題は「リスクアペタイト」と言われて、いろいろ議論されていますが、実際に今、新しいビジネスをやろうとしたら、ITやAIなしではできないじゃないですか。新しい機能を提供するのも、かつてはハードウェアを介していたのが、今はソフトウェアでできてしまう。なので、そこをちゃんと理解したうえでリスクマネジメントをしなければならないし、期待していたパフォーマンスが出なかった時、どこまで許容するのかということもはっきりさせておかないといけないでしょう。
谷脇:
そこはまさに経営判断ですね。
三角:
そういう視点から方向づけを行なおうとすると、当然、サイバーセキュリティはビジネスに含まれるという話になると思うのです。
谷脇:
ビジネスの一角を担うワンオブゼムですね。
三角:
ワンオブゼムなのですが、その比重はますます高まっています。
谷脇:
これからAIが普及すると攻撃が自動化して、攻撃される側も自動化せざるを得なくなりますよね。すると“AI対AI”みたいなことになってくるのでしょうか?
三角:
そうなるでしょう。飛んできたドローンを撃ち落とす時など、結局、どちらが計算を早くできるかってことになりますから。守る側も自動化しなければ、やられ放題になるので、AIの導入は必須だと思います。あと、テクノロジーの進化で言うと、非常に重要になるのが量子コンピュータではないでしょうか。
谷脇:
量子コンピュータが登場したら、サイバーセキュリティを取り巻く状況もガラッと変わりそうですね。

“橋渡し人材”の必要性

谷脇:
インシデントが発生した時、現場が認知して、詳細を経営層に上げようとしても、現場の言葉(専門用語)で伝えたら、経営層はなかなか理解できません。
三角:
むずかしいでしょうね。
谷脇:
そこで“橋渡し人材”の必要性が説かれているわけですが、そうした人材は企業内でどのように育成していけばいいでしょうか?
三角:
企業内には3つのレイヤがあって、1つは現場レベルです。現場レベルはテクノロジーも含めて、物を見る視点が自分のミッション、喫緊の事象に集中しがちです。実際に起きてることを中心に対処するので、エンタープライズレベルのインシデントが起こった際には、俯瞰的に状況を見て、総合的な決断をしなければならない。そうなると、経営層のレイヤになってきます。
谷脇:
そうですね。
三角:
インシデントの際には、まずこの(現場レベルと経営層との)ギャップを埋めなければいけないので、双方のあいだに入ってくれる、最近は「戦略マネジメント層」などと呼ばれている“橋渡し人材”(中間レイヤ)が必要になります。
谷脇:
どういう人が適任ですか? 現場で経験を積んだ人が管理職に就いてそういう役割を果たすべきなのか、それともまったく別のところ(社外)から招聘するのか?
三角:
日本の場合、両方あり得ます。現場のセキュリティエンジニアのなかにも経営目線で物事を整理・判断できる人はいます。一方、日本企業のトップには自分の言葉でテクノロジーを語れる人が少ないですが、テクノロジーが好きでビジネス目線で見ることができる経営者もいます。
谷脇:
いらっしゃいますね。
三角:
今、多くの企業でDXをやっていますが、マーケティングをやるにしても“デジタル”マーケティングになりますから、当然、エンジニアも加わります。すると、いろんな部署・レイヤの人が混ざって議論できる混成チームが社内で組まれるようになると思います。
谷脇:
複数の部署が一緒になってどういう対策をするのか、有事の際、経営層にどう伝えるのか、情報開示はどうするのか……等々、みんなで考えていくかたちになるでしょうね。これからDXが進むと、従来の部署間の境界がますます希薄になりますし。
三角:
境界をなくさないと、DXは実現できないんですよ。そんな時に欠かせないのが“橋渡し人材”であり、もう1つ大切なのが「セキュリティ」という言葉が出てきた時に(エンジニア以外の人が)耳を塞がないようにすることです。
谷脇:
その点、日本企業にはまだまだ課題がありそうですね。
三角:
だからセキュリティをやってきた人がビジネスに飛び込んでいくのが近道かもしれません。そのうえで、できるだけ会話を重ねていくしかないと思います。

セキュリティは“ESG投資”

谷脇:
民間企業は、セキュリティに関する情報開示を求められるケースがありますが、日本では開示の義務はまだないですね?
三角:
ありません。
谷脇:
アメリカでは昨年秋、証券取引委員会(SEC)に提出する企業報告書のセキュリティ情報の開示基準が非常に厳しいものに変更されましたし、欧州でもサイバーレジリエンス法の制定など積極的な情報開示に向けた動きが進んでいます。日本はどうすべきですか?
三角:
なかなかむずかしい問題でして、ステークホルダーが情報開示を要求してくるような社会であれば、(情報を)出さざるを得ないのですが……。
谷脇:
海外のステークホルダーを抱えている会社とそうでない会社とでは、有価証券報告書の記載内容もだいぶ異なりますね。
三角:
読み手に応じて内容が違ってくるのです。
谷脇:
リスク要因だけが増幅されて、企業価値が下がってしまうといった不安があるのでしょうか?
三角:
あり得るでしょうね。そこをいかに説明して世の中が納得できるように啓発していくのかということなのですが、もう少し時間がかかりそうです。
谷脇:
情報開示を促進するには、セキュリティ=コストではなく、情報開示が企業価値を高める、言い換えると、企業にとって“投資”であるという認識が広がっていかないとダメですね。
三角:
「ESG投資」(環境:Environment/社会:Social/ガバナンス:Governanceの基準をもとに行なう投資)という考え方がありますが、ひと昔前は「ESG」なんて投資対象にはならなかった。それが今では、そこをやっているところは企業価値が高いと評価されるようになってきました。そして次の段階としては(ESGの)Gにセキュリティが入るかどうかがカギになってきます。
谷脇:
そのためにはステークホルダーの認識が変わっていかないといけないですね。
三角:
そうです。多額のESG投資をしている機関が「我々はセキュリティを重視しています。積極的にセキュリティに投資します」と言ってくれたら、社会的な認識も一気に変わると思うのですが。
谷脇:
おっしゃる通りですね。

サプライチェーンのリスクマネジメント

谷脇:
次はサプライチェーンのリスクマネジメントについてうかがいたいと思います。サプライチェーンというと部品があって、それらを製品に組み込んでいく過程が想像されますが、データなど無体物のフローも上流が滞ると下流にも影響が出るといったことが起こり得ます。こうしたリスクマネジメントはどうすればいいでしょうか?
三角:
技術的なアプローチとマネジメント的なアプローチが考えられます。技術的には(上流が)信頼できるレベルの情報をどこまで出してくれるかということですし、マネジメント的にはビジネスパートナーをどれだけ信用できるかということになります。
サプライチェーンというと本来はコンポーネントの話ですが、AIがそこに入ってきたことで、もとになるデータやソフトウェアなど構成要素がどんどん増えているうえに、検証や評価の基準も確立されていないので、引き続き検討を要する分野です。
谷脇:
セキュリティの3要素として「CIA」(機密性:Confidentiality/完全性:Integrity/可用性:Availability)が挙げられますが、データを食べてデータを生み出すのがAIである点を考慮すると、サプライチェーンの途中でデータが改ざんされていないかを見るインテグリティは特に重要ですね。
三角:
インテグリティは何らかの方法・手段で証明できるようにしなければならないでしょう。

ランサムウェアも対策は同じ

谷脇:
最近でも病院や企業がランサムウェアの被害に遭っていますが、その際、身代金を払うべきか否かということが繰り返し問題になります。その点についてはいかがですか?
三角:
払っても意味がないと思います。(暗号を)解除してくれる保証はないですから。むずかしいのは、情報が盗まれていて、それを「(払わなければ)晒すぞ」と脅迫された時です。自分のものではない、他者の情報ですから……。
谷脇:
辛いですね。攻撃者が裏で「まだまだやるぞ」と脅していたりすると。
三角:
ただ、そうしたケースでも払ったからといって、情報を返してくれたり、開示されないという保証は得られないので、結局(身代金を)払っても意味がないでしょう。
谷脇:
ランサムウェアについては、身代金は払うべきではないというのが政府見解ですし、世界50の国・機関が参加した昨年秋の国際会議でも同様の声明が発表されています。
三角:
基本はそうなると思います。ビジネス上、説明がつかないですし。
谷脇:
実際にどういう原因でランサムウェアに引っかかっているのかというと、攻撃者は標的型メールなどを通じて脆弱性を突いてきますから、これは通常の手口であって、ランサムだから特にここを注意しなければならないといったことではない気がするのですが。
三角:
攻撃者は常に新しい手口を用いますが、要は成功率が高い手段を使うだけなので、ランサムウェアであろうとなかろうと、対策自体は変わりません。ただ、万が一、被害に遭った際、インパクトが大きいものに関しては、より慎重に管理しつつ、堅牢かつセキュアなクラウドに入れるといった対策は講じておくべきでしょう。
谷脇:
そうした情報管理も経営判断を要する重要事項ですね。

セキュリティは不可欠な“安全装置”

谷脇:
最後に小誌の読者にサイバーセキュリティについてアドバイスをいただけますか。
三角:
繰り返しになりますが「エンタープライズリスクマネジメント」をしっかり考えるということです。そして、デジタルを駆使して新しいビジネスにチャレンジする時は、まず目的を明確にすることが大事です。そうすれば、サイバーセキュリティに対する取り組み方も自ずから決まってくるはずです。
新しい分野に投資する際のリスクアペタイトにもとづく“守り”(セキュリティ)は、それ単体ではコストかもしれませんが、ビジネス全体から見ると投資の一環と考えられます。
私が学生だった頃は、百数十万円で自動車が買えましたが、今はそれだと軽自動車すら買えなくなっています。なぜ自動車がそんなに高くなったのかというと、安全性を向上させるためにかかっているコストが増えたからです。車体の剛性強化だったり、自動ブレーキだったり、さまざまな機能を盛り込んで交通事故を起こりにくくすると同時に、仮に事故が起こってもダメージを小さくできるように工夫されているのです。
谷脇:
交通事故の被害は、ずいぶん減りましたね。
三角:
安全装置にかかるコストは、実はめちゃくちゃ高いんですよ。それは“安全性のための投資”なのです。
例えば、個人タクシーの運転手だったら、どの車に乗るのか自分で決めて購入しますが、「安全装置=コスト」だなんて考えませんよね。同様に、ビジネスをトータルで見れば、世の中にこれだけリスクや脅威が溢れているのですから、今やセキュリティはビジネスにとって不可欠なコンポーネントであることが納得していただけると思います。
谷脇:
今の自動車の喩えはすごくわかりやすかったです。本日はたいへん有益なお話をありがとうございました。

IIJ.news トップに戻る

ページの終わりです

ページの先頭へ戻る