蟇田(ひきた) 昨今、サイバー攻撃により、日本の中央官庁、政府機関、企業等に被害が頻発しています。これから日本では2020年に向け、サミット等、海外から注目されるイベントが多数あり、今より熾烈なサイバー攻撃が予想されます。西本さんは、どうお考えですか。
西本 これまでの海外の事例を見ても、国際的なイベントにあわせた攻撃が多く、日本でもより熾烈なサイバー攻撃があって当然です。PCやサーバー等の情報系だけでなく、企業の基幹システムや制御系システムも十二分に注意が必要です。特に、最近猛威をふるっている標的型攻撃への警戒は怠れません。海外のプロが攻撃者なので、社内ネットワークへの侵入等を完全に遮断するのは困難。また、昨今の中央官庁への攻撃は、標的型攻撃とは異なりますが、象徴的な意味合いもあり、国の威信や企業ブランドの問題としても見過ごせません。こうした攻撃の存在は、官民一体で早急に対策を強化しろという警鐘とも言えます。
DNPから標的型攻撃への新しいエンドポイント対策ソリューション「Traps」
蟇田 同感です。DNPは、標的型攻撃の対策ソフトとしてパロアルトネットワークス社の「Traps(トラップス)」というエンドポイント対策(※1)製品を代理店販売しています。今、多くの企業はファイアウォールやサンドボックス型ツール(※2)等の入口対策をしていますが、攻撃者は当然これらを回避してきます。また、ランサムウェア(※3)による攻撃等は、出口対策では検知不能。TrapsはPC上に常駐するソフトウェアですが、従来のアンチウイルスソフトとは対処法がまったく違う考え方の製品です。標的型攻撃では、マルウェア感染直後の段階では情報は流出せず、多くは攻撃者による複数の工程を経てから流出します。この過程で必ず使われるプログラム上のテクニックが20数種類あり、Trapsはこのテクニックを検知すると、被害発生前に動きを止めてくれます。
※1 エンドポイント対策:PC等の端末上でのセキュリティ対策
※2 サンドボックス型ツール: 保護された領域内で外部から受け取ったプログラム等を動作させ、マルウェアか否かを判定するセキュリティ対策
※3 ランサムウェア:マルウェアの一種。PC内のファイルを強制的に暗号化するなどしてアクセスを制限する。ユーザに対する身代金請求などの犯罪に使われる。
西本 なるほど。城の守りで例えれば、大手門の門番がアンチウイルスソフトで、札付きの悪人さえチェックすれば、殿様は安泰と考えたのが従来の対策。Trapsは善人を装って大手門から入った未知の悪人も、不審な動きをしたらすべて捕まえるというものですね。つまり、「多層防御」を構築するのが狙い。ところで、そのTraps、お客様の反応はいかがですか。
蟇田 Trapsは標的型攻撃への非常に有効な対策だと評価していただき、特にシステム部門や経営層の方が興味を持たれます。お客様も、ファイアウォール等の入口対策では防ぎきれないと理解し始めていますね。昨今の標的型メールは入口を突破してきます。不審なメールの添付ファイルは開かないよう教育はしていても、社内で擬似的な標的型メールをテスト配信すると、必ず誰かが開けてしまう。では、どう手を打つのか。そこで、侵入された後でも悪意ある動きを止めてくれるTrapsが有効だと評価されるのでしょう。ただ、今後は未知の攻撃手法が出てきます。その備えとして、攻撃を素早く検知して、影響範囲を特定し、可能な限り早期に回復させる、いわゆるCSIRT(シーサート:Computer Security Incident Response Team:コンピュータやネットワークを監視し、発生した問題に対処する組織)の重要性が増してきます。DNPでは、CSIRTのようなサイバー攻撃に対処する要員養成プログラムも手がけています。
西本 実際、標的型メールだけでなく、ホームページを閲覧しただけでウイルス感染する事例も多々起きており、いずれにせよ、感染に気づかずに情報が盗まれることへの警戒は必須で、こうしたケースにきちんと対処するプロを養成する取組みは重要です。
コストから投資へ、情報セキュリティは最大の経営課題
蟇田 ところで昨年末に政府が「サイバーセキュリティ経営ガイドライン」を公開しまして、経営者の方とお会いすると、異口同音に今年は情報セキュリティが最大の経営課題だとおっしゃいます。そこで、多層防御が話題になるのですが、対処の仕方が解らない。そのあたりのご理解を少しでも深めるお手伝いが、私たちの役割だと思います。
西本 サイバーセキュリティ経営ガイドラインは、企業にとって非常に重い意味があります。また、一昨年、個人情報保護法も改正され、社内の安全管理措置の強化としてサイバー攻撃への新たな対策も盛り込まれました。さらに今、経営者は現状を適切に把握し、ITに関する防御ソフトだけでなく、情報の「守り方の知恵」を多層的に考える責務があります。情報を扱う従業員の管理や教育等、技術的・制度的な仕組みを構築し、それらを総動員した対策を講じないと、経営責任を問われかねません。
蟇田 そうですね。DNPはICカードの開発も手がけており、工場の物理的な対策はもちろん、従業員の教育も含めて永年、経営課題としてさまざまなセキュリティ対策に取組んできました。私たちは従業員のモラルも重要だと考えます。
西本 情報セキュリティ対策では、従業員のモラルの向上や意識改革は不可欠です。従業員が高いモラルを持たずに、企業の大切な「情報」を扱うのはもってのほか。また、これだけITが発達すると、部署を超えてすべての従業員が正しい情報リテラシーを持ち、いかに安全に情報を扱えるかが企業力として問われる時代だと感じます。
蟇田 意識改革と言えば、日本の経営者は、情報セキュリティを「コスト」として捉え「投資」とは考えない方が多い。西本さんはどう思われますか。
西本 多くの経営者はITを過小評価しています。セキュリティ投資は、費用対効果が見えにくいですが、継続しなければ意味がありません。例えば、アメリカでは、POSシステムへのサイバー攻撃で、大量のクレジットカード情報の流出事故が発生しています。実はPOSシステムを乗っ取ると犯罪者は好きな時に店舗業務を止められます。つまり、脅威はクレジットカード被害だけでは済まない。一瞬で収益を失う上に、上場企業が永年築き上げたブランドさえ失う恐れがあり、その損害は計り知れません。だからこそ、情報セキュリティは「投資」と考えるべきなのです。ITは驚異的な速度で進化しており、ITで、ヒト・モノ・企業がすべて「つながる時代」です。もし、サプライチェーンのひとつにセキュリティ事故が起きると、他の企業も被害を被る可能性がある。経営者は情報セキュリティこそ、今、最大の経営課題と考えてほしい。話は変わりますが、なぜ、印刷会社であるDNPさんが「情報セキュリティ事業」なのですか。
セキュリティのノウハウを140年間積み上げてきたDNP
蟇田 私は情報セキュリティこそ、DNPの事業の根幹だと考えます。創業(明治9年)以来140年間、お客様からお預かりしてきた情報は、新車の写真等の未公開情報や半導体のCADデータ等の技術情報、あるいは携帯電話のご利用明細に必要な個人情報もしかり、すべてが重要情報です。当然、これらの情報は慎重かつ、適正に扱うのが鉄則。だからこそ、工場の物理セキュリティはもちろん、社内規定、社員教育、作業フローに至るまで、重要情報を守る仕組みを工夫しながら構築し、ノウハウを積み上げてきました。DNPの製品には、こうしたノウハウが付加価値として含まれています。ですから、情報セキュリティ事業への参入は必然であり、今はそのノウハウをお客様のセキュリティ強化に役立てています。
西本 そうした仕事を明治9年から続けてこられたわけで、情報セキュリティ事業に参入するのも頷けます。
情報流出事故は対岸の火事ではない
蟇田 最後に、これから日本企業が、セキュリティにおいて注意するポイントや、力を入れるべき対策をお伺いしたいのですが。
西本 昨年、サイバー攻撃により、私たち国民の大切な個人情報が流出した事故の詳細な報告書が公開されました。これは、すべての日本企業にとって有益な情報です。しかし、多くの企業の方は他人事のように思われています。そうした方には、報告書にあるような再発防止策を、ご自分の会社で出来ていますかと、問いたい。もし、まだならご自分の会社も危ないという認識を強く持つべきです。つまり、あの報告書で企業が取組むべき、最低限の情報セキュリティ対策が見えたということ。もし、取組みを怠り、同様の事故を起こせば経営責任は免れません。IT時代の企業経営者は、ITが解らないでは済まされないのです。
蟇田 本日は、貴重なお時間を割いていただきありがとうございました。
