さまざまな企業が事業停止に追い込まれるなど、
猛威を振るうサイバー攻撃。
新たな災害とも言える脅威に対しては、
攻撃を受けても
事業を安定して継続させることに重点を置いた
「サイバーレジリエンス」
への取り組みが重要となる。
従来の対策とともに求められる
「防災・減災」への意識とは。
奈良先端科学技術大学院大学の門林雄基氏に、
これからの企業に求められる、
サイバーレジリエンスの考え方を聞いた。
サイバーレジリエンス広告特集
制作:東洋経済ブランドスタジオ
サイバー攻撃対策に
求められる 「防災・減災」 の意識とは
ADVERTORIAL OF
CYBER RESILIENCE
さまざまな企業が事業停止に追い込まれるなど、
猛威を振るうサイバー攻撃。
新たな災害とも言える脅威に対しては、
攻撃を受けても
事業を安定して継続させることに重点を置いた
「サイバーレジリエンス」
への取り組みが重要となる。
従来の対策とともに求められる
「防災・減災」への意識とは。
奈良先端科学技術大学院大学の門林雄基氏に、
これからの企業に求められる、
サイバーレジリエンスの考え方を聞いた。
サイバーレジリエンス広告特集
制作:東洋経済ブランドスタジオ
INTERVIEWEE
奈良先端科学技術大学院大学
サイバーレジリエンス構成学研究室
教授
門林 雄基 氏
CHAPTER 01
サイバー攻撃の脅威はかねて存在し、多くの企業ではある程度のセキュリティ対策を実施しているはずだ。しかし、企業を襲うサイバー攻撃は高度化しており、被害が後を絶たない。ビジネスを守るには、従来のセキュリティ対策を超える新たな考え方が求められている。
奈良先端科学技術大学院大学 サイバーレジリエンス構成学研究室 教授の門林雄基氏は、企業経営者はサイバー攻撃に対して、3つの観点で意識を変えなければいけないと指摘する。
1つ目は、漠然とした楽観主義だ。経営者には、いまだサイバー攻撃に対する具体的なイメージを持てていない人が多いと門林氏は話す。
「自分たちに近い業界・業種でサイバー攻撃が明るみに出ない限り、自分事化することができない経営者は少なくありません。例えば、少し前にある社会インフラのシステムがランサムウェアの被害を受けましたが、この一件はどんな業界でもターゲットになりうることが実証された象徴的な事例です。多くの企業が被害を受けた後で慌てて対策を取ろうとしますが、それでは遅すぎます」
攻撃の手段が巧妙化しているのも特徴だ。サプライチェーンの末端に存在する小さな企業に侵入し、取引先をたどって最上流の大手企業へ身代金を要求するランサムウェア攻撃を仕掛けるケースなども起こっている。
「大きなサプライチェーンを抱える企業はリスクを十分認識しており、取引先に対してセキュリティの認証を要求するケースも増えています。ですが、攻撃の手口も高度化されていて、見積もり依頼のメール偽装などがほぼ本物と同じ内容で行われるなど、攻撃を完全に防ぐことは難しくなっています」(門林氏)
もはや企業の大・小、業種・業態を問わず、すべての企業がサイバー攻撃の標的になりうるのが現状だ。「うちの会社は取られて困る情報がないから心配ない」と考えていると、大口の取引先から「切られる」という重大リスクを招くかもしれない。
2つ目は、サイバー攻撃によって受ける被害は、事業継続において致命的なダメージにつながるということだ。
「ある企業では、すべてのシステムの復旧に2カ月以上を要したケースがあるなど、大規模なサイバー攻撃の被害から事業やサービスを通常稼働まで戻すには、膨大な時間がかかるケースが多いです。サイバー攻撃は個人情報流出の被害だけでなく、企業活動そのものを停止に追い込む『破壊力』があることを、経営者は再認識する必要があります」(門林氏)
そして3つ目は、どんなに対策を施しても攻撃を防ぐことは難しいということだ。門林氏は、攻撃対象になるインターネットへの接続を前提とした機器が急増していることが、その要因の1つだと話す。
「企業では多くのPC・スマホなど、非常に多くのネットワーク機器が使われています。その一つひとつに対してセキュリティの設定項目が何十というステップで存在しますが、全社のセキュリティを保つには、この掛け算で何千もの設定が必要です。家庭の防犯に例えると、窓が数千箇所ある家の戸締まりをしなければいけない状況です。うっかり1つでも窓が開いていれば、そこから攻撃を受けてしまいます」
CHAPTER 02
もはやサイバー攻撃を完全に防御することは難しい。その前提で考えたとき企業に求められるのは、攻撃を受けても被害を最小限に抑え、事業を継続させる「サイバーレジリエンス」への取り組みだ。レジリエンスとは、「復元力」「回復力」などと訳される。サイバー攻撃から企業や組織を守るセキュリティ対策に加えて、もし攻撃を受けた場合にも、それに対処し、回復する能力を指す。
NIST(米国立標準技術研究所)では、サイバー・セキュリティ・フレームワーク(CSF)の中で、セキュリティ事象への特定・防御・検知・対応・復旧の5つの取り組みを繰り返してレジリエンスを高めると記している。これを参考にサイバーレジリエンスの構築を進める企業も多い。
「従来のセキュリティ対策は、特定・防御・検知の3つに偏っていました。つまり、マルウェアを見つけて駆除すれば終わりだったのです。しかし現在はこれに対応・復旧という考え方を加え、実際に攻撃を受けたときも事業の継続に取り組むことが求められています」(門林氏)
防御への取り組みから、攻撃を受ける前提でダメージコントロールへと意識を広げるに当たり、企業はどう対応するべきか。門林氏は「防災・減災」の意識を持つことが必要だと語る。
「前述したとおり、サイバー攻撃は企業の想定を超えた『災害級』の被害をもたらします。これに対抗するには、つねに自分たちが攻撃対象となっていると捉え、自社の体制を整備することが不可欠です。自然災害が多い日本だからこそ、防災意識は文化に深く根ざしています。サイバーの世界でも被害を想定した対応を考え、被害からの復旧を速やかに進めるための準備を日頃から行うべきです」
CHAPTER 03
とはいえ今稼働しているセキュリティ機器やソフトウェアを、いきなりすべて切り替えるのはハードルが高い。従来のものをそのまま使用することを前提としたうえで、サイバーレジリエンスを高めるにはどうするべきか。門林氏は、攻撃を想定した訓練を繰り返すことが最も有効だと話す。
「大事なのは、攻撃を受けたときに決して慌てないことです。非常時にはパニックになり、指針を定めないまま場当たり的に対応しがちですが、それでは回復までにかかる時間が大幅に延びてしまいます。現状を正確に判断し、自分たちのシステムの問題は自分たちで直す、直せると落ち着いて行動できる人を中心に、チームで対応すべきです」
訓練を繰り返すことで、異常を見つけて社内で共有する運用が根付く。それが大規模な被害に至る前に、攻撃を察知する文化につながると門林氏は話す。
「例えば製造業では、ラインが止まるほどの問題が起こっていなくても、徐々に製品の不良率が増えて、クレームが多くなるケースがあります。これも、企業に気づかれないような規模に調整された、サイバー攻撃の場合があります。このとき、何かがおかしいと現場の社員が考え、社内で情報を共有できる体制が整っていることが大事です。大きな被害につながる前に、原因を特定することができます」
またサイバーレジリエンスを高めるための訓練は、毎回攻撃対象を変えて、社内のあらゆるシステムに対して繰り返すべきだと門林氏は言う。実際に、社内システムへの模擬攻撃を組織的に実施して、サイバーレジリエンスを高めているグローバル企業もある。
「この企業は社内にサイバー攻撃を仕掛ける専門チームを持ち、24時間365日、社内システムのどこを攻撃しようか考えています。ターゲットが決まれば、本番稼働しているシステムに対して、業務に影響が出ないギリギリの線を狙って攻撃し、対象部門の対応を観察するのです」
攻撃は完全な抜き打ちで行われる。丸1日対応に追われたチームのメンバーに対して、最後に「これは訓練でした」と伝えるのだそうだ。
「それでも怒る人は一人もいません。この企業のトップが定めた『セキュリティは最初に取り組むべき仕事』という理念が浸透しているからです」(門林氏)
CHAPTER 04
なぜ、この企業はここまでしてレジリエンスを高めようとしているのか。門林氏はこう説明する。
「この企業は、レジリエンスを高めることで防災・減災ができる体制づくりを進め、サービスをつねに安定的に稼働させることが顧客からの信頼を得るための第一の手段、と考えています。サイバーレジリエンスの向上が、競争優位を築くための強力な武器だということを理解したうえで、自社の成長戦略の中心に据えているのです」
このような大がかりな仕組みをいきなりつくることは難しいかもしれないが、防災・減災の意識を持っていれば、攻撃を受けたときも落ち着いた対応が取れるはずだ。そしてそれは、他社との競争を勝ち抜くカギにもなりうる。最後に、門林氏は経営者に対して、サイバーレジリエンスの重要性を次のように語った。
「サイバー攻撃は、企業の事業継続にとって大規模な自然災害と同等のリスクです。それだけの感度を持ってぜひ取り組んでもらいたいですね。大きな被害を受けてからの回復費用のほうが、企業にとって間違いなく大きなダメージになります。『転ばぬ先のつえ』として、サイバーレジリエンスへの投資を最優先に考えてほしいと思います」