ICカード事業から広がったDNPの情報セキュリティ事業
西本 DNPさんは印刷会社ですが、情報セキュリティ分野に参入したきっかけを伺えますか。
村本 DNPは、今まで通帳やキャッシュカードをはじめとする重要印刷物や個人情報等、お客様の大切な情報を扱ってきました。そして、1980年代前半のICカードの開発をきっかけに、ICチップ上で動作するOSやアプリ、さらにはPCからICカード内の情報の書き込みや、ICカードに演算処理させるドライバも自社開発するようになりました。ですから、情報セキュリティ分野は決して飛び地ではなく、情報管理の経験を活かした分野だと考えています。
西本 そうですか、印刷産業はある意味で情報産業ですね。明治9年の創業から140年間も情報管理に取組まれてこられた。情報を守ることに関しては先駆者なのかも知れません。ICカードにも情報管理の概念が必須ですから、スムーズに参入できたわけですね。
村本 ICカードとは認証技術です。モノやヒトが正しい相手であるか、データに改ざんがあるか否かを証明するための技術ですから。ICカードはクレジットカードやIDカード、さらには電子マネーとしても普及し、既に情報セキュリティのキーデバイスになっています。
西本 すると、現在、情報セキュリティ分野の商材は、やはりICカード周りが中心ですか。
村本 いえ。情報セキュリティを高いレベルで維持するには、ICカードや入退室管理、監視カメラといった物理セキュリティだけでは不十分です。企業は常にサイバー攻撃の脅威に直面しており、ネットワーク上のセキュリティ対策も必要。内部犯行やミスによる情報漏洩を防ぐには、守るべき重要情報を定義し、取扱いルールを定め、PCだけでなくスマートフォンやタブレット等のデバイスに対する未知の脅威の検証も欠かせません。
西本 そうですね、ITはどんどん進化し、ある一時期の技術環境を基準にしたセキュリティでは対応しきれない。だから、PDCAを繰り返すことが重要だということですね。
村本 はい。セキュリティは技術の進化を常に追いかけるのが宿命。現在、DNPでは物理セキュリティはもちろん、Webサイトや社内ネットワークの脆弱性に対処する製品・サービス、さらには情報セキュリティコンサルティングや社員教育にまで守備範囲を広げています。
西本 つまり、情報セキュリティを構成する物理的対策、組織・人的対策、技術的対策をすべて提供できるわけですね。
サイバー攻撃にマニュアル的な対処は通用しない
村本 ところで、これからの日本企業が抱えるセキュリティの課題をお伺いしたいのですが。
西本 日本の組織はマニュアル通りに対応するのは得意です。しかし、近年被害が急増しているサイバー攻撃には通用しない。想定外の攻撃への対処が必要ですから。そうなると情報を日々収集しながら、サイバー攻撃へ臨機応変に対処できる人材の養成が求められます。その人材は、企業のIT運用者やセキュリティを指揮する方が最適です。もちろん、臨機応変に対処するには訓練が必要。それも想定外の状況のなかで。私としては、待ったなしで取り組んでほしい課題ですが、村本さんはどうでしょうか。
村本 同感です。政府の発表では、情報セキュリティ技術者はスキル不足も含めて24万人も足りない状況です。特に、サイバー攻撃にチームで対処する、いわゆるCSIRT(シーサート:Computer Security Incident Response Team:コンピュータやネットワークを監視し、発生した問題に対処する組織)に必要な人材は危機的に不足しています。これまで企業は、セキュリティを監視するSOC(ソック:Security Operation Center)という機能を外部委託するのが一般的でした。今後は、このSOCと連携するCSIRTを社内に持たないと、急増するサイバー攻撃に対処するのは困難だと考えます。
西本 問題は、外部委託したSOCからの情報を社内で活用できる人材が乏しいということ。そうした問題の解決にはやはり、社内でサイバー攻撃に素早く対処できる要員、CSIRTを養成するのが合理的だと思います。
急がれるCSIRT要員の養成
DNPの新たな回答「TAME Range」
村本 昨今のサイバー攻撃の多くはプロの仕事であり、100%の防御は不可能。侵入を前提にした対策が求められます。つまり、侵入を許しても、素早く検知し、影響範囲を特定し、被害を最小限に抑えるCSIRT要員が必要です。しかし、現状、人材確保は難しい。そこでDNPでは、CSIRT養成プログラムの提供を開始しました。これは世界トップレベルのサイバーセキュリティ技術を持つIAI(イスラエル・エアロスペース・インダストリーズ)の「TAME Range(テイムレンジ)」という訓練システムで、DNPは代理店販売しています。また、今年3月に、TAME Rangeの訓練プログラムが学べる「サイバーナレッジアカデミー」を設立しました。講習は5日間コースで、7割が実戦訓練です。訓練では模擬社内IT環境のなかに本物のマルウェアを侵入させ、4人1組のチームで攻撃に対処します。その際、対処を指揮するリーダー役と対処要員の役を交代しながら訓練します。ちなみに、ソフトは最新の攻撃手法に対処するためにアップデートされていきます。
西本 日本人は、サイバー攻撃のように人が相手だと対処するのが苦手です。最近でも、標的型メールで外国人がつたない日本語で書いたようなものがあって、皆さん「そんな稚拙な攻撃にだまされない」と言うのですが、そこが危ない。つまり、油断を狙っている。それと、日本ではサイバー攻撃の訓練において、シナリオ通りに上手くいくのが前提だと考えます。人を相手にする訓練では臨機応変の対応が肝。実戦をやらないと身に付かない。しかも繰り返して。TAMERangeは、上手くいかないのを前提に考えているところは、非常に効果的です。訓練で失敗するのは悪いことではなく、課題が見つかったと喜ぶべきです。
村本 ただ、どんなに優秀なCSIRTがいても、インシデントの発生頻度が高いと対処が追いつかない。そこでDNPでは、パロアルトネットワークス社の「Traps(トラップス)※」というソリューションを販売し、インシデント発生数の極小化にも取組んでいます。
※ Traps: 社内ネットワークをすり抜け、PC等のエンドポイントまで侵入したマルウェアが、攻撃動作を行おうとした瞬間に攻撃を検知して阻止する革新的なソフトウェア。
西本 なるほど、インシデントへ素早く対処する仕組みと、極小化する両方を考えているわけですね。ところでDNPさんは、TAME Rangeを購入された企業に具体的な支援等をお考えですか。
村本 TAME Rangeは決してフォローなしのプログラムではありません。導入初期の段階にインストラクターを派遣し、社内での教育・訓練の担当者の育成を支援します。また、この製品は大きな投資を伴いますので、そこまでの投資は難しいというお客様には、開校した「アカデミー」がお役に立ちます。
西本 企業の方たちの「アカデミー」についての反応はどうですか。
村本 はい。実は昨年7月から仮設環境にお客様をお招きして、デモンストレーションをご覧いただき、「ぜひ、参加したい」という声も多数いただいております。一方、訓練する模擬社内IT環境がお客様の会社と同一でなくて、役に立つのかという質問がございました。自動車教習所で免許を取った車と愛車が違っても問題ないのと同じで、実戦訓練で応用力が身に付けばどんな環境にも対処できるようになります。
大切なのは日々の情報収集、人の訓練、そして組織編成の見直し
村本 最後になりますが、これからの日本企業は、どのような姿勢でサイバー攻撃への対処、セキュリティの向上を図っていけば良いのでしょうか。
西本 CSIRTの話と関連しますが、日々の情報収集が大切です。私はよく災害対策に例えます。まず、防災責任者が現状を調べ、防災計画を練って予算をつくり、ひとまず安心する。ところが近年の異常気象等により想定外の事象が頻発します。そこで、日々の現場巡視を強化する等、少しの異変が大事になる前に手を打つことが重要なのです。その部分がCSIRTの日々の役割。それでも、サイバー攻撃を100%は防げない。災害でいうと堤防の決壊や土砂崩れ等です。CSIRTはこうした際にも最前線で戦い、被害を極小化し、次に備えて対策を練ってくれます。しかし、企業内の組織が縄張り意識等で硬直化していると機能しない。企業にはセキュリティ体制やそこで動く人が機能するように、組織編成を見直すことが求められます。人の訓練も大切であり、一般従業員の意識改革もしかりです。
村本 本日は、貴重なお時間を割いていただきありがとうございました。
