サイバー攻撃対策の中核はサーバールームから役員室へ変わった

阿久津良和 羽野三千世 (編集部) 2015年12月21日 07時00分

  • このエントリーをはてなブックマークに追加

 日本マイクロソフトは12月16日、「サイバーセキュリティと企業経営リスク」と題した企業向けセミナーを開催。ビジネスリーダーや情報セキュリティ担当者、情報システム担当者を対象に、セキュリティ脅威と企業経営への影響、最新技術を活用したセキュリティ対策を説明した。

日本MSは“セキュリティアドバイザー”を目指す

 最初に登壇した日本マイクロソフト 代表執行役 社長の平野拓也氏は、「過去のサイバーセキュリティ対策は高い壁と深い堀があればよかったが、クラウド時代となった現在は新しいアプローチが必要だ」と、企業セキュリティを城に例えた。


日本マイクロソフト 代表執行役 社長 平野拓也氏

 Bloombergが2015年に掲載した記事によれば、クレジットカード会社がデータ被害で顧客に支払った賠償金額は80億円超。Ponemon Instituteも、企業のデータ被害の平均コストは4.2億円にもおよぶと2014年にレポートしており、サイバー攻撃は企業の経営問題になっている。

 Verizonは2013年に公開した調査レポートによれば、全ネットワーク侵入件数の76%が不正アクセスによるものだった。また、前述のBloombergの記事では、サイバー攻撃者がネットワーク内に潜伏する中央値は200日超だという。これらのデータを提示して平野氏は、「どんなに壁を高くしても侵入されてしまう」と状況を語った。

 国内企業の経営者もセキュリティに対して敏感になりつつあるが、サイバー犯罪はグローバル化しているため、より敏感にならなければならない。次に平野氏が提示したのは、経済産業省やPwC、KPMGなどの調査結果を用いて日本企業と海外企業のセキュリティ意識を比較したデータだ。

 セキュリティ対策を推進する経営幹部の席を設ける企業は、世界では59%にもおよぶが日本企業は27%にとどまる。また、「サイバー攻撃対策を役員レベルで講じるべき」とする考えに同意する企業は、米国企業は88%であるのに対して、日本企業は52%だった。「海外と日本には大きな隔たりがある」(平野氏)

セキュリティ対策に年間11億ドルを投資

 Microsoftは、2000年に世界で4500万台のPCが感染したLOVELETTERウィルスや、2001年のNimdaウィルスの大流行を受けて、2002年に「Trustworthy Computing」を提唱。開発モデルを始めとするセキュリティへの対応を根底から見直している。平野氏は、本社と日本法人のサイバーセキュリティに対する最近の取り組みとして、2013年秋に「Microsoft Cybercrime Center」を設立したこと、2014年2月に同センターの同日本サテライトを設立したことを引き合いに、「セキュリティ対策に年間約11億ドルを投資している」と語った。

 その他にも、自社データセンターの稼働率を99.99%に近づける努力を行っている最中だと紹介し、「Microsoftをセキュリティアドバイザリーの1つとして考えてほしい」と来場者にアピールした。

セキュリティのプロが語るサイバー攻撃対策

 続いて、ラック サイバーセキュリティ本部 理事の長谷川長一氏と、株式会社ディアイティ クラウドセキュリティ研究所 所長の河野省二氏が登壇し、今回のセミナーの議題である「サイバーセキュリティと企業経営リスク」についてディスカッションした。モデレーターは日本マイクロソフト チーフセキュリティアドバイザーの高橋正和氏が務めた。


ラック サイバーセキュリティ本部 理事 長谷川長一氏

 長谷川氏は、最新のセキュリティ動向について、「昨今の攻撃は侵入検知やシグネチャ(侵入を識別する方法を定義するルール)では見つからない。常にネットワークの正常状態を把握して、そこから異常を検知して攻撃を見つける」と説明した。

 ラックの調査によれば、以前は重要インフラ系企業への攻撃が多かったが、現在は業種を問わずに攻撃を受けている。この調査で興味深いのはインシデントの再発率だ。

 一度サイバー攻撃の被害を受ければ、それを踏まえて何等かの対策を講じるのが一般的だが、調査によれば、インシデントの再発率は2012年には8%だったところが、2014年には28%まで拡大している。「その時は的確な対策を講じても、数年後にはその対策が通用しなくなる。IT技術の進化は攻撃技術の進化と同義なので、経営者とセキュリティ担当者は、継続して対応していかなければならない」(長谷川氏)

サイバー攻撃対策における経営陣の役割とは


ディアイティ クラウドセキュリティ研究所 所長 河野省二氏

日本マイクロソフト チーフセキュリティアドバイザー 高橋正和氏

 「サイバーセキュリティ問題はサーバールームから役員室に変わった」と高橋氏。長谷川氏も、「某社では、サイバー攻撃を受けてから役員が3時間もの会議を行い、現場はその間止まっていた」というインシデント対応事例を挙げ、経営陣が対策を講じる仕組みや意思決定の基準を持っていない場合の問題点を指摘した。

 河野氏は「(当時最新だった)Windows 8に移行せず、Windows XPを使い続けると1人あたり年間2万円のコストが発生する」と、全体を俯瞰することでコストダウンを実現できる実例を出しつつ、「経営層に必要な情報が上げらないからこういう問題が起こる」と述べた。

 その具体的な方法としてID管理の徹底が重要であると河野氏は語る。これから先、マイナンバー保護など企業側にはより一層のセキュリティ対策を求められるようになる。経営陣は、社員の行動を管理しながら「自社から情報が漏れていない証明」が可能なIT基盤を再設計する必要がある。

 河野氏はまた、セキュリティ対策において「経営者と現場が、異なる役割を理解しなければならない」と考える。経営責任を担う経営層は、サイバーセキュリティ対策の目的を明確化し、ルールを作り、改善していくのが役割だ。現場はそのルールに従った対策を講じつつ、セキュリティ情報を経営層に上げるレポートラインを構築することが求められる。この仕組みさえあれば、経営層は提示したルールに沿って現場が動いているか、さらなる改善ポイントはないかを判断するだけでよく、不要なセキュリティ対策を減らし、予算を削減できるポイントになる。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連ホワイトペーパー

連載

CIO
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
「企業セキュリティの歩き方」
「サイバーセキュリティ未来考」
「ネットワークセキュリティの要諦」
「セキュリティの論点」
スペシャル
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
AWS Summit
PTC LiveWorx
より賢く活用するためのOSS最新動向
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
米株式動向
日本株展望
企業決算