AD

Security with Microsoft

episode 3 session 5 セキュリティ問題は株主代表訴訟につながる セキュリティパートナーを活用できる基盤と体制づくり

日本マイクロソフト

「サイバーセキュリティの脅威が変化することで、私たちも考え方の修正を迫られた」とセキュリティ対策のプロフェッショナル、神吉敏雄氏は語る。対応に追われる一方で、業界の慢性的な人材不足などから、その対応も容易ではなくなっているという。解決のためにはどのような選択肢があるのだろうか。制作:東洋経済企画広告制作チーム

先進的な欧米企業の対策の1つに集団訴訟

 企業のセキュリティ対策について、日本よりも欧米のほうが進んでいると感じる人も多いでしょう。それには背景があります。まず米国の場合、連邦法や州法など、さまざまなサイバーセキュリティ法の存在があります。セキュリティ対策が進むいちばんの理由はこれらによる集団訴訟です。

 米国で大規模なIDの漏洩などが起きると、被害を受けた消費者が集団訴訟を起こします。IT部門が「問題がある」と報告しているのに、経営陣が対応しなかったということになれば、取締役の善管注意義務が問われ、株主代表訴訟にも発展しかねません。当然ながら、経営幹部は「どれだけコストをかけてでもセキュリティ対策をやれ」という話になるのです。そうでないと自分が火の粉をかぶることになるからです。

 米国のもう1つの特徴はセキュリティ技術者が豊富であることです。地方の小さな町のコミュニティーカレッジにもサイバーセキュリティ学科やコンピューターサイエンスの学科があり、そこの卒業生を町のセキュリティ会社が採用しています。このあたりが、対策が進んでいく理由なのだろうと思います。

 一方で欧州の場合には、GDPR(General Data Protection Regulation =EU一般データ保護規則)の存在が大きいです。欧州でも個人情報漏洩に際して、集団訴訟が起きています。注目すべきは、原告が要求する損害賠償金額が被告企業の売上高の4%と巨額になっていることです。それは本来GDPRの「制裁金」の上限なのですが、損害賠償金額にすり替わってしまっています。大企業はこういうリスクを負いたくないので、サイバーセキュリティ対策を進めています。

神吉 敏雄

三井物産セキュアディレクション
代表取締役社長
神吉 敏雄

かつての対策ではもはや太刀打ちできない

 この10年ぐらいの間のサイバーセキュリティの変化についておさらいをしてみましょう。実は2009年ごろからサイバーセキュリティの世界が大きく変わっています。マルウェアの脅威が増大しているほか、攻撃対象がITだけではなく制御システム(OT)になってきた。また、想定される被害も情報漏洩だけではなく、システムの停止、破壊、脅迫などに変わってきています。

 これらの変化によりセキュリティ業界も考え方の修正を迫られることになりました。例えば、戦いの場所です。かつては、お客様のネットワークの出入り口を守っていればよかったのですが、最近ではそれを簡単にマルウェアがすり抜けるようになったために、お客様のネットワーク内部も含めて検知・防御しなければならなくなりました。また、マルウェアはメールに添付されて飛んできます。つまり、ユーザーのPC、エンドポイントが戦いの主戦場になってきたのです。

 また、検知の手法も以前はパターンマッチングだったものが、振る舞い検知や相関分析など、より複雑なことをしなければ検知ができなくなっています。

 セキュリティ業界の専門部隊や人材についても変化しています。セキュリティ会社は通常、24時間ネットワークを監視するSOC(セキュリティ・オペレーション・センター)と呼ばれる部隊を持っています。最近ではこれに加えて、スレット(脅威)ハンティングチームが必要になってきています。必要とされる人材も、従来のホワイトハッカーやSOCの人材などに加えて、マルウェア解析者、スレットハンターなどに多様化してきています。

グローバル企業が行っているセキュリティ対策とは

 欧米の大企業がお金をかけるということもあり、米国やイスラエルなどを中心にたくさんのセキュリティのベンチャー、スタートアップ企業が出てきています。まさに百花繚乱といったところです。それに伴い、セキュリティ対策はますます複雑化、高度化、高額化しています。

 セキュリティに関するソリューションを歴史的に見ると、1990年代のウイルス対策ソフトに始まり、ファイアウォール、認証強化製品、ID管理製品、プロキシへ。さらにその後はIDS(不正侵入検知)やIPS(不正侵入防御)といった製品へと広がっていきました。

写真

 今ではそこに、スレットハンティングというマルウェアをどうやってつかまえるのかという概念が出てきています。具体的なソリューションとしてはサンドボックス、EDR(エンドポイントでの検出と対応)などです。また、SIEMと呼ばれる、さまざまな機器やソフトウェアのログを統合管理するツールも注目されています。多様なセンサーから上がってくるアラートを集中管理し、分析することでインシデントを抽出し、対応しようとするものです。先ほど述べた「スレットハンティングチーム」はこれらの分析、対応を行うプロフェッショナルの集団です。

 グローバル企業の理想的なセキュリティ体制としては、アジア・太平洋、欧州・中東・アフリカ、北米・南米などのネットワークごとに現地のSOCとなるセキュリティサービスの会社に委託をし、最終的にはSIEMにデータを集めて、日本の企業であれば日本にあるスレットハンティングチームが判断をするという形でしょう。

安全を追求するならパスワードはなくすべき

 ただし、一部の超大手企業を除けば、一般的な企業がこのような体制を自前で構築するのは容易ではありません。コスト面に加え、最近では、業界全体の人材不足により、セキュリティ運用を引き受けてくれるセキュリティ会社すら確保できないという状況にもなっています。

 さらに日本企業においてよく見聞きする課題として、ITネットワークが未整備であることがあります。例えば、社内のインターネットの出入り口となるゲートウェイを絞らないままセキュリティ会社に依頼されても、セキュリティ会社も困るでしょう。また、エンドポイントが主戦場と言いましたが、社内PC仕様が統一されていないとセキュリティソリューションは導入できません。

 セキュリティ人材もコストも限られている中で、日本企業はどのような取り組みをすべきでしょうか。その答えの1つとなるのが、マイクロソフトの製品を活用することです。Office365のクラウド側のセキュリティとWindowsのエンドポイントのセキュリティが担保されることに加えて、「Windows Defender Advanced Threat Protection(ATP)」なども製品を導入するだけで利用できます。

 すでに利用しているPCに、何らかのセキュリティソフトウェアを配布するのは社内トラブルの原因になりますが、Windowsのアップグレードなら導入も容易です。クラウドのAzureなどもそうですが、自社でかけるリソースをできるだけミニマイズして実効性のある対策に短期間で持っていくことを狙ったほうがいいと思います。私たちセキュリティのプロの間でも、そのような方向に進むところが増えています。

 セキュリティにどこまで投資するのか、という議論がつねに出ますが、これは単純な話で、「経営トップが判断してください」ということになります。というのも、セキュリティの事故が起きた場合、どこまで損失に耐えられるのか、レピュテーションリスクをどうするかはまさに経営判断だからです。

1 2 3 4 5
episode 1中小企業が
サイバー犯罪で
狙われる理由本丸は大企業、
突かれるは「中小の脆弱性」
episode 2仕事を劇的に変える
「Office×AIの破壊力」Windowsサポート終了を
「チャンス」に