地震とサイバー攻撃はどちらが怖いか--PwC調査で浮かんだ“示唆”

　PwC JapanグループのPwC コンサルティング、PwC サイバーサービス、PwC あらた有限責任監査法人は6月15日、「グローバル情報セキュリティ調査 2018（日本版）」を発表した。そこでは「可用性」がキーワードに挙げられ、事業継続の視点からセキュリティ対策を考える必要性などが提起された。

　この調査は、PwCグループが企業の最高情報責任者（CIO）などを含む経営層を対象に毎年実施している。20回目となる今回の調査は4月24日から5月26日にかけてオンラインで実施され、122カ国9500人上（日本は257人）が回答した。

業種別・2016年と2017年のインシデント検知数の変化。減少した業種は増加した4業種よりも監視対策の強化が進み、4業種も遅れて体制が整備されたことで、結果的に検知数が増えた可能性があるという（PwC Japan提供）

PwC コンサルティング パートナーの山本直樹氏

　2017年の世界全体の傾向は、セキュリティインシデントの検出が2016年比で30％減少した。業界別では、エンターテインメント・メディアと通信で50％以上減少した一方、ヘルスケアや製薬、製造（自動車を除く）、公共では上昇したという。推定損害額も同様の傾向にあり、検出や損害が減少している多くの業界が、セキュリティ投資を大幅に減少させていることも分かった。

　結果について、PwC コンサルティング パートナーの山本直樹氏は、サイバー攻撃が企業を狙うより不特定多数を相手に、仮想通貨の発掘など簡単に収益を得られる傾向に変化していると解説。しかし、総じて脅威の衰退が確認されている訳ではないことや、IoTなど新たな投資領域も拡大していることから、継続的なセキュリティの取り組みが必要だと指摘している。

日本企業に関する2つの示唆

　加えて山本氏は、今回の調査から日本企業に関して「可用性」と「自信」の2つの示唆が浮かび上がったと話す。「可用性」では、重要なセキュリティ対策に「サプライチェーンのセキュリティ基準の定着」を挙げた割合が、世界平均の49％に対し、日本は60％に上った。「自信」では、「とても自信がある」「やや自信がある」の合計が世界平均の74％に対し、日本は38％にとどまった。

　「可用性」に関する考察では、2017年5月に発生したワーム型ランサムウェア「WannaCry」の流行が影響していると見る。WannaCryの被害は海外で目立ったが、国内でも自動車メーカーの工場が操業停止に追い込まれるなどの事態が起きたことで、これまで「情報の秘密をいかに守るか」が重視されたセキュリティ意識に、「業務をいかに止めないか」という点も加わり始めているという。

情報セキュリティの3原則「機密性」「可用性」「完全性」では、これまで「機密性」重視の傾向が強く、ランサムウェアによる事業停止被害などで「可用性」への意識も高まり始めているという

　山本氏は、PwCが2014年に実施した「IT-BCPサーベイ」の報告書を引用し、日本企業では自然災害リスクの観点から取り組まれている事業継続の計画（BCP）をサイバーセキュリティに応用することをアドバイスした。IT-BCPサーベイは、2011年の東日本大震災を踏まえて実施したといい、この調査では50％が想定リスクに「地震」を挙げ、「サイバー犯罪」は11％だった。山本氏の所感では、WannaCryの流行からBCPとしてのサイバーセキュリティ意識が高まりだしたとしている。

　サイバーセキュリティのBCPでは、自然災害のBCPとの共通点と相違点を踏まえ、相違点を補完しながら整備する方法が1つにある。例えば自然災害のBCPでは、地震リスクを想定して東京と大阪でITシステムを冗長化するというケースが多い。しかしワームのようなマルウェアの感染リスクを想定すると、地理的にシステムが分かれていようが、ネットワーク接続されている以上は、ほとんど意味がない。

　またサプライチェーンに関して、自然災害のBCPでは平時から調達先を広げておき、どこかが被災しても別の調達先に発注量を増やすことで事業への影響をとどめる。サイバーセキュリティのBCPでも、例えばある調達先がランサムウェアに感染して事業が停止した場合に備え、平時から調達先を広げおく方法が有効になる。ただ、ネットワークを通じて影響が拡大するリスクがあるため、ネットワークのセグメンテーションや監視などを設計時に十分考慮しておかなければならないという。

災害BCPとサイバーセキュリティのBCPの比較ポイントの一例

　自然災害やサイバー攻撃のリスクを踏まえた事業継続としては、例えば、サプライチェーンを含めたITシステムをグローバルのクラウドサービスで運用する方法がある。データセンターが世界中に分散していれば、まず地理的な対応がしやすい。サイバー攻撃のリスクも、一般的にユーザー企業が自前で多くの対応をこなすよりもクラウド事業者側がなされている部分が多く、リスクを軽減しやすいとされる。

　ただし自然災害リスクを重視したBCPでは、よく「地震の発生確率は数百年に一度。東京と大阪でシステムを冗長化したからもう安心だ」と、取り組みを実質的に止めてしまうようなことが多い。一方でサイバー攻撃のリスクは、攻撃手法が常に変化するなどの性質から継続的な取り組みが欠かせない。こうしたBCPに対する意識のギャップを変えられるかも大きな課題となる。