[イスラエル電力公社 Head of Cyber entrepreneurship & business development Y. Shneck氏とサイバーセキュリティ企業CyberGym CEO O. Hason氏に聞く!]

企業はサイバーレジリエンスにどう取り組むべきか(後編)

― Cyber Everywhere、Cyber by Design時代の企業防御策 ―
2019/04/03
(水)
インプレスSmartGridニューズレター編集部

サイバー攻撃の件数が2017年で年間1億9,000万回、月平均1,500万回、最高月間攻撃数7,000万回(2017年5月)にも及んでいるイスラエル電力公社(IEC)。2018年はすでに2017年を超えた攻撃数で、月に1,000〜3,000件のアタックがあるという。それなのになぜサイバー攻撃を防御できているのか。どのような対策をとっているのか。
同社はサイバー攻撃の成功の多くが人的要因に起因しているという考えのもと、カスタマイズしたトレーニングを全社的に行っている。
ここでは前編(3月号)に続き、サイバーセキュリティの先進国であるイスラエル電力公社とセキュリティベンチャー企業「CyberGym」の取り組みについて、お聞きした。
2020年には、日本の情報セキュリティ人材の不足数が20万人弱に拡大すると経産省は公表している(2016年6月)。両者の取り組みは、日本企業にとっては大いに参考になるだろう。

企業におけるサイバー攻撃防御の最良の方策とは?

─編集部 日本では、2020年の東京オリンピック・パラリンピックをはじめとするさまざまな国際的イベントを控え、日本の国民生活と社会経済活動が大きく依存する重要インフラのサイバーセキュリティ対策が急がれています(表1)。

表1 日本の重要インフラの14分野(対象となる重要インフラ事業者等と重要システム例)

表1 日本の重要インフラの14分野(対象となる重要インフラ事業者等と重要システム例)

※1 ここに掲げているものは、重点的に対策を実施すべき重要インフラ事業者等であり、行動計画の見直しの際に、事業環境の変化およびITへの依存度の進展等を踏まえて、対象とするものの見直しを行う。
出所 「重要インフラの情報セキュリティに係る第4次行動計画」 平成30年7月25日(平成29年4月18日の改定)、サイバーセキュリティ戦略本部

 企業がサイバー攻撃を防御するための方策について教えてください。

Mr. Yosi Shneck

Shneck 3つの重要な要素があります。「技術」「人的要因」「ポリシー&プロシージャ (方針と手順書)」です。これらの3つを効果的に活用できるようなトレーニングが重要だと考えています。

 さらに、サイバーバイデザイン(Cyber by Design)、つまり、システム開発においても実際のプロセス構築においても、サイバーの観点からシステムデザインを構築することが非常に大事だということです。

 サイバーのリスクアセスメント注1をしながら、そのようなデザインを構築することによって初めて、インシデントが起きたときの対応が柔軟にできるようになります。

 会社の存亡を左右するようなサイバー攻撃は常に存在しているのです。ですから、サイバー攻撃は、組織全体、つまり経営層から一般社員までの全社員が考えるべき問題なのです。

日本企業のサイバーセキュリティに対する問題意識・対策(防衛力)は?

─編集部 サイバーセキュリティ先進国のIECから見ると、日本企業のサイバーセキュリティ対策はどのように見えていますか?

Shneck 私は、ここ2年ほどの間に、日本のさまざまな企業の方とお会いする機会がありましたが、2年前と比べると格段に意識が変わってきています。

 と言いましても、日本とイスラエルとの状況を比較すると、大きなギャップがあります。そもそも脅威自体が両国では異なるので一概に比較できませんが、1つ言えるとすると、日本ではスクールトレーニングやクラストレーニングに適切な投資をしていますが、現実世界を模倣した実践トレーニング(実践的なシナリオや訓練)では、かなり大きな差があると感じています。

 その点が、日本企業には必要なところだと思います。

─編集部 他にありますか?

Shneck 各種製品やツールは、特定の機器に対する防御を目的としているもので、これらの機器で穴(脆弱性)を埋めていくことが可能です。しかし、実はこれは次のステージへの前段階であり、全体としてどう考えるか、ということが重要なのです。

 ソフトウェアとハードウェアやネットワーク、働く人々などを、システム全体を統合した中で、レジリエンス、つまり、サイバー攻撃が起きた場合にどのように対応し、いかに早く復旧させるかという、抵抗力や柔軟性が重要なのです。

 この点も、日本の企業にはまだ足りていない部分ではないかと感じています。

 つまり、個々のシナリオ(シナリオリスクアセスメント)ではなくて、全体のプロセスの中でシナリオを1つずつ捉えていく(プロセスリスクアセスメント)という考え方が、日本のインフラ企業には大事ではないかと思います。


▼ 注1
リスクアセスメント:業務や職場の潜在的なリスクを事前に洗い出し、評価、解決するまでの手順を作成すること。

ページ

関連記事
新刊情報
本書は、ブロックチェーン技術の電力・エネルギー分野での応用に焦点を当て、その基本的な概念から、世界と日本の応用事例(実証も含む)、法規制や標準化、ビジネスモデルまで、他書では解説されていないアプリケー...
5Gの技術からビジネスまですべてがわかる 5Gは社会や産業に何をもたらすのか? といったビジネス関連のトピックから、その変革はどのようなテクノロジーに支えられているのか?といった技術的な内容まで、わ...
本書は、特に産業用の5G/IoTの利用について焦点を当て、MWC19 Barcelona での産業用IoTに関する最新動向や、国内外の最新動向の取材をもとに、5Gの市場動向やビジネスモデルをまとめた解...