特に2020年のオリンピックに向けては、ネットで防御する構えと、そのための一員になるというケイパビリティは組織としても必要です。IPAでもレスキューのように外への支援をしていくファンクションを持っていますが、もう1つ、被害に対して情報をシェアするためにJ-CSIPという仕組みに取り組んでいます。
J-CSIPは、重要インフラといわれている6分野、53企業の方々と、標的型攻撃の情報を共有する仕組みです。もちろん、攻撃の予兆に関する情報を流すこともありますが、メンバーの方々からの標的型攻撃の情報を見て、場合によってはそこにくっついているウイルスの挙動解析などをして、本当に悪さをするウイルスなのかなどの情報をフィードバックしています。
ただ、所内にそういう組織を持っているがゆえに、2014年度だけでも政府機関は508万回のサイバー攻撃を受けています。つまり1日に換算すると1万4000件の攻撃をどこかしらが受けています。9.6秒に1回です。IPAにも相当な数の攻撃が来ています。IPAにはウイルス検体を解析できるセンターがあるので、危険なものがあると経済産業省にいち早く通報し、情報共有するようにしています。IPAにSOCを設置することで、さらに効率化できると考えています。
必要な活動と従事するための体制(IPA提供)
最近は職員教育にも注力しています。セキュリティについてはIPAのどの部署にいる職員も、セキュリティ対策の「イロハ」については当然していなければなりません。そこで毎月一回、実演機能付きの所員向けの研修をやっています。
IPAにはセキュリティセンターがありますから、座学だけでなく、スマホを乗っ取られるとどんなことができてしまうのかを実演することができます。そうすると、みんなもそれを家族や身の回りの人に話したりしてくれます。そういう役割を所員一人ひとりが担ってほしいと思っています。さらに、抜き打ち型の標的型演習なども常に実施し、成績表も張り出しています。
――経営者の中には、まだセキュリティが売り上げに直結しない不要なものと考えている人が多いのではないか。
経営問題に直結する問題としての理解は、大規模な情報流出を契機に広がっています。特に内部不正対策がいい例です。内部不正対策についてもIPAもガイドラインを含めていろいろな研修や講習を担っています。
経営者の幹部の方々を回って説明する機会が多いのですが、各社の最高情報責任者(CIO)、最高セキュリティ責任者(CISO)の方々は「うちは大丈夫だよ」と言われます。それはどうしてかをうかがうと、判を押したように「アクセス管理が厳格で、退職した従業員の情報もすぐに抹消して、通常のパスワード以外にも重要情報に触れる人間には特別なパスワードを設定するなど二重、三重に守っている」からだと答えます。
でも、実際に不祥事を起こす人はそういう権限を持っている人なんですね。権限のない人ではなく、もともと権限を持っている人が、自分の処遇とか評価といった不満から、そういう行動に走っている――その事実を見落としているんです。従業員に「ほんの出来心」を持たせないようにするには、操作の証拠が残るとか、四六時中見張られているとか、緊張感や雰囲気の方が効果があるのに、実際は19位にとどまっています。
セキュリティに関して言えば、起きては困るということは必ず起こるという意識を持ってほしい。それが起きたときに被害が拡大しないためにどうするかというのが、リスク評価の基本なのでしょうね。
従業員にとって、最も抑止力が高い対策は「社内システムの操作の証拠が残る (54%)」 しかし、この項目は経営者、システム管理者では19位。内部不正の対策に、従業員と管理者の意識のギャップが見られた 「組織内部者の不正行為によるインシデント調査 調査報告書(2012年7月)」よりIPA提供
