ある一定の条件で暗号化されたものであればいいという話で、そういうものがきちんと、本当は政府からの指導が出てくれば、多分対策の仕方は変わってくるのだと思います。今はないので、とりあえず事後対応しましょう、といった風潮になっていますので、必死になってさまざまな企業が頑張っています。
村上氏:結局、そういう政策はできないけど、守らなくてはいけないから何とかしましょうという感じで政策を打ち出さざるをえないという背景もあるような気もしますね。あとはアカウンタビリティという意味でのCSIRTという要求も、外圧的にはあると思います。東京五輪に向けてということも当然あるでしょう。ですから、3年後の東京五輪の頃にはCSIRTの範囲や内容が変わっているかも知れませんね。
北村氏:たとえば商工会議所単位でまとめるようなことをしないと、小さいところは厳しい。
大成建設 社長室 情報企画部部長 Taisei-SIRTリーダー 北村達也氏
村上氏:そもそも、中小企業の底上げをしないと日本全体のレベルが上がらないというのが、ニュアンスとして私には理解しにくくて。日本の事業やGDPを動かしている企業が一体どれくらいあるのかというと、一部上場だと考えたら3000社ほどです。それが全体のどれくらいを占めているのか。
そこを守れば被害範囲を相当カバーできるのか、あるいは中小までレベルを高くしないと、実は高いレベルの企業も狙われるという想定で底上げしているのか。いろいろな見方があるとは思います。
北村氏:「守られていないインフラ」がそこにあるということが問題になるかも知れませんね。
村上氏:IoTは、もう課題として顕在化していますから。機器の問題ではなくて、IoTを使ってサービスがどんどん立ち上がっていく中で、サービスを提供するキャストがいっぱいいます。誰がどの範囲まで責任を持つのということは、もっと議論されるべきという気がします。
IoTなど新技術への対応もそうですが、いろいろなセキュリティ対策を考えても抜け道があるので、情報漏えいはなくならない。だから、インシデント対応も考えてないといけない。原因はマルウェアだけではないですよね。
北村氏:先ほどのAIとかそういうのは機械にやらせても、最後は人間ですからということはあります。そこをどう押さえるかという。
茂岩氏:ある程度機械で読み取って楽をしても、最後にそれが本当に安全かどうかは人が見ないといけなかったり。ケースバイケースだったりすると、それが何を扱っているか、本当に知っている人でないとできないというところがあります。
村上氏:意外と難しいのは、インシデントをいつ終息させるのか。対応対策をして、何かあったらリカバリすればいい。でも本当にこれで終わりなのか、もう問題はないのか。この体制をいつまでやるのか。恒常的な組織があれば、普段の業務の中で継続してみていけますが、バーチャル組織の場合だと、いつ解散させたらいいのかということは悩みます。――悩みは尽きませんが、ぜひこうした話を今後も多くのCSIRTの方々と考えたいと思います。
<了>