多様化し、巧妙化し、そして深刻化する情報セキュリティの脅威。その脅威に日夜さらされながらも、脅威から身を守る実効性の高い対策を講じあぐねている企業/組織は少なくない。では、企業/組織を情報セキュリティの脅威から守るために、今、何を、どうするのが適切なのか―― 以下、その答えを、日本IBMのCISO(最高情報セキュリティ責任者)、我妻三佳氏と、情報通信研究機構(NICT)でサイバーセキュリティ研究を牽引する井上大介博士の2氏に求める。
ITだけでは防ぎ切れない
―― 情報セキュリティの脅威が拡大し、深刻化しているということは、おそらくメディアの報道なりを通じて多くの人が認識しているはずです。その一方で、情報セキュリティをどう強化するかの答えをつかみあぐねているお客様も少なくありません。このような状況がなぜ生まれるのかについて、まずは、CISOの実務を経験されてきた我妻さんにお聞きしたいのですが。
我妻氏(以下、敬称略):情報セキュリティ対策の明確な方向性を見失っている企業/組織があるとすれば、その大きな要因は、経営層が情報セキュリティ対策の本質やリスクについて正しく理解せず、情報セキュリティを単なるITの問題ととらえ、CIO/IT部門にすべてを任せようとする姿勢にあると思います。
―― それはどういうことでしょうか。
我妻:CIO/IT部門に情報セキュリティ対策を一任すると、どうしても「ITだけで情報セキュリティを確保しよう」といった考え方が先行しがちです。ただし、ITによるセキュリティ対策には際限がなく、やればやるほどコストがかかり、投資効果が見えにくいだけに、本当にそれだけの効果があるのか、という疑問に陥ります。
そうなってくると、「ITだけですべての穴を塞ぐのは不可能ではないか」という話が当然浮上してきます。情報セキュリティに関する企業ガバナンスの取り組みとして、セキュリティ上の規則/ルールは整備されていることが多いのですが、IT施策を補完する"つなぎ"の役割として、セキュリティ上の規則/ルール を再度見直す・整えるという方向へと転じていくわけです。
もちろん、CIOやIT部門が懸命になってルールを強化したところで、それを従業員に守らせなければ意味を成しません。ですが、ITリテラシーレベルが異なるすべての従業員に同じルールを守らせることは、とてもCIO/IT部門だけの手に負えるような仕事ではありません。そのため、ルールをどう社内に浸透させるかで行き詰まったり、IT上の施策とルールとの適切なバランシングに苦慮したりといった状況が、日本の企業/組織の間に間々見受けられているのではないでしょうか。
井上氏(以下、敬称略):我妻さんのご指摘のとおり、情報セキュリティ上のルールは、策定することよりも、策定後にどう回していくかのほうが重要であり、大変です。それをCIOやITの現場に押しつけてしまうのは正しいことではないでしょう。
―― これは先の我妻さんのお話に関連することなのですが、日本の場合、IT部門も含めて、「絶対に破られない仕組み」を作ろうとする意識が中に強くあるように思えます。それがかえって、情報セキュリティ対策の柔軟性を損なわせ、IT現場の負荷を必要以上に押し上げている気もするのですが。
我妻:確かに日本では、脅威は水際で(外敵の侵入を)100%防ごうという発想が従来から浸透しており、テクノロジーに100%の完璧さを求める傾向も強く見受けられます。
ところが、ITにも限界はあり、ファイアーウォールやアンチウィルス・ソフトをすり抜ける脅威が現実には大多数を占めるという現状もわかってきています。従って、そうした脅威の存在を認めたうえで防御の考え方を抜本的に見直す必要があるでしょう。端的に言えば、侵入される・脅威が現実の問題となり得ることを前提に、その結果もたらされるインパクトをどう最小化するかが大切なポイントになってきたということです。
井上:私も同感です。インターネットと組織との境界での防御――つまり、境界防御で外敵の侵入を100%防ぎ切るのは、もはや不可能です。例えば、昨今話題の標的型攻撃のメールは、システムの脆弱性ではなく人の脆弱性を狙ってきます。
もちろん、少人数の組織であれば個人の過失を防ぎ、標的型攻撃から身をかわすことができるかもしれません。ですが、社員の数が数千、数万に及ぶと、そのすべての動きを制御し切ることはまず不可能です。ですから、ITとルールによって守れるところは守り、そのうえで、起きてしまった事態のインパクトをどう最小化するかが、これからの情報セキュリティ対策のキモと言えるのです。
