サイバー攻撃対策の中核はサーバールームから役員室へ変わった

阿久津良和 羽野三千世 (編集部)

2015-12-21 07:00

 日本マイクロソフトは12月16日、「サイバーセキュリティと企業経営リスク」と題した企業向けセミナーを開催。ビジネスリーダーや情報セキュリティ担当者、情報システム担当者を対象に、セキュリティ脅威と企業経営への影響、最新技術を活用したセキュリティ対策を説明した。

日本MSは“セキュリティアドバイザー”を目指す

 最初に登壇した日本マイクロソフト 代表執行役 社長の平野拓也氏は、「過去のサイバーセキュリティ対策は高い壁と深い堀があればよかったが、クラウド時代となった現在は新しいアプローチが必要だ」と、企業セキュリティを城に例えた。


日本マイクロソフト 代表執行役 社長 平野拓也氏

 Bloombergが2015年に掲載した記事によれば、クレジットカード会社がデータ被害で顧客に支払った賠償金額は80億円超。Ponemon Instituteも、企業のデータ被害の平均コストは4.2億円にもおよぶと2014年にレポートしており、サイバー攻撃は企業の経営問題になっている。

 Verizonは2013年に公開した調査レポートによれば、全ネットワーク侵入件数の76%が不正アクセスによるものだった。また、前述のBloombergの記事では、サイバー攻撃者がネットワーク内に潜伏する中央値は200日超だという。これらのデータを提示して平野氏は、「どんなに壁を高くしても侵入されてしまう」と状況を語った。

 国内企業の経営者もセキュリティに対して敏感になりつつあるが、サイバー犯罪はグローバル化しているため、より敏感にならなければならない。次に平野氏が提示したのは、経済産業省やPwC、KPMGなどの調査結果を用いて日本企業と海外企業のセキュリティ意識を比較したデータだ。

 セキュリティ対策を推進する経営幹部の席を設ける企業は、世界では59%にもおよぶが日本企業は27%にとどまる。また、「サイバー攻撃対策を役員レベルで講じるべき」とする考えに同意する企業は、米国企業は88%であるのに対して、日本企業は52%だった。「海外と日本には大きな隔たりがある」(平野氏)

セキュリティ対策に年間11億ドルを投資

 Microsoftは、2000年に世界で4500万台のPCが感染したLOVELETTERウィルスや、2001年のNimdaウィルスの大流行を受けて、2002年に「Trustworthy Computing」を提唱。開発モデルを始めとするセキュリティへの対応を根底から見直している。平野氏は、本社と日本法人のサイバーセキュリティに対する最近の取り組みとして、2013年秋に「Microsoft Cybercrime Center」を設立したこと、2014年2月に同センターの同日本サテライトを設立したことを引き合いに、「セキュリティ対策に年間約11億ドルを投資している」と語った。

 その他にも、自社データセンターの稼働率を99.99%に近づける努力を行っている最中だと紹介し、「Microsoftをセキュリティアドバイザリーの1つとして考えてほしい」と来場者にアピールした。

セキュリティのプロが語るサイバー攻撃対策

 続いて、ラック サイバーセキュリティ本部 理事の長谷川長一氏と、株式会社ディアイティ クラウドセキュリティ研究所 所長の河野省二氏が登壇し、今回のセミナーの議題である「サイバーセキュリティと企業経営リスク」についてディスカッションした。モデレーターは日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏が務めた。


ラック サイバーセキュリティ本部 理事 長谷川長一氏

 長谷川氏は、最新のセキュリティ動向について、「昨今の攻撃は侵入検知やシグネチャ(侵入を識別する方法を定義するルール)では見つからない。常にネットワークの正常状態を把握して、そこから異常を検知して攻撃を見つける」と説明した。

 ラックの調査によれば、以前は重要インフラ系企業への攻撃が多かったが、現在は業種を問わずに攻撃を受けている。この調査で興味深いのはインシデントの再発率だ。

 一度サイバー攻撃の被害を受ければ、それを踏まえて何等かの対策を講じるのが一般的だが、調査によれば、インシデントの再発率は2012年には8%だったところが、2014年には28%まで拡大している。「その時は的確な対策を講じても、数年後にはその対策が通用しなくなる。IT技術の進化は攻撃技術の進化と同義なので、経営者とセキュリティ担当者は、継続して対応していかなければならない」(長谷川氏)

サイバー攻撃対策における経営陣の役割とは


ディアイティ クラウドセキュリティ研究所 所長 河野省二氏

日本マイクロソフト チーフセキュリティアドバイザー 高橋正和氏

 「サイバーセキュリティ問題はサーバールームから役員室に変わった」と高橋氏。長谷川氏も、「某社では、サイバー攻撃を受けてから役員が3時間もの会議を行い、現場はその間止まっていた」というインシデント対応事例を挙げ、経営陣が対策を講じる仕組みや意思決定の基準を持っていない場合の問題点を指摘した。

 河野氏は「(当時最新だった)Windows 8に移行せず、Windows XPを使い続けると1人あたり年間2万円のコストが発生する」と、全体を俯瞰することでコストダウンを実現できる実例を出しつつ、「経営層に必要な情報が上げらないからこういう問題が起こる」と述べた。

 その具体的な方法としてID管理の徹底が重要であると河野氏は語る。これから先、マイナンバー保護など企業側にはより一層のセキュリティ対策を求められるようになる。経営陣は、社員の行動を管理しながら「自社から情報が漏れていない証明」が可能なIT基盤を再設計する必要がある。

 河野氏はまた、セキュリティ対策において「経営者と現場が、異なる役割を理解しなければならない」と考える。経営責任を担う経営層は、サイバーセキュリティ対策の目的を明確化し、ルールを作り、改善していくのが役割だ。現場はそのルールに従った対策を講じつつ、セキュリティ情報を経営層に上げるレポートラインを構築することが求められる。この仕組みさえあれば、経営層は提示したルールに沿って現場が動いているか、さらなる改善ポイントはないかを判断するだけでよく、不要なセキュリティ対策を減らし、予算を削減できるポイントになる。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

自社にとって最大のセキュリティ脅威は何ですか

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]