企業におけるサイバー攻撃防御の最良の方策とは?
─編集部 日本では、2020年の東京オリンピック・パラリンピックをはじめとするさまざまな国際的イベントを控え、日本の国民生活と社会経済活動が大きく依存する重要インフラのサイバーセキュリティ対策が急がれています(表1)。
表1 日本の重要インフラの14分野(対象となる重要インフラ事業者等と重要システム例)
※1 ここに掲げているものは、重点的に対策を実施すべき重要インフラ事業者等であり、行動計画の見直しの際に、事業環境の変化およびITへの依存度の進展等を踏まえて、対象とするものの見直しを行う。
出所 「重要インフラの情報セキュリティに係る第4次行動計画」 平成30年7月25日(平成29年4月18日の改定)、サイバーセキュリティ戦略本部
企業がサイバー攻撃を防御するための方策について教えてください。
Shneck 3つの重要な要素があります。「技術」「人的要因」「ポリシー&プロシージャ (方針と手順書)」です。これらの3つを効果的に活用できるようなトレーニングが重要だと考えています。
さらに、サイバーバイデザイン(Cyber by Design)、つまり、システム開発においても実際のプロセス構築においても、サイバーの観点からシステムデザインを構築することが非常に大事だということです。
サイバーのリスクアセスメント注1をしながら、そのようなデザインを構築することによって初めて、インシデントが起きたときの対応が柔軟にできるようになります。
会社の存亡を左右するようなサイバー攻撃は常に存在しているのです。ですから、サイバー攻撃は、組織全体、つまり経営層から一般社員までの全社員が考えるべき問題なのです。
日本企業のサイバーセキュリティに対する問題意識・対策(防衛力)は?
─編集部 サイバーセキュリティ先進国のIECから見ると、日本企業のサイバーセキュリティ対策はどのように見えていますか?
Shneck 私は、ここ2年ほどの間に、日本のさまざまな企業の方とお会いする機会がありましたが、2年前と比べると格段に意識が変わってきています。
と言いましても、日本とイスラエルとの状況を比較すると、大きなギャップがあります。そもそも脅威自体が両国では異なるので一概に比較できませんが、1つ言えるとすると、日本ではスクールトレーニングやクラストレーニングに適切な投資をしていますが、現実世界を模倣した実践トレーニング(実践的なシナリオや訓練)では、かなり大きな差があると感じています。
その点が、日本企業には必要なところだと思います。
─編集部 他にありますか?
Shneck 各種製品やツールは、特定の機器に対する防御を目的としているもので、これらの機器で穴(脆弱性)を埋めていくことが可能です。しかし、実はこれは次のステージへの前段階であり、全体としてどう考えるか、ということが重要なのです。
ソフトウェアとハードウェアやネットワーク、働く人々などを、システム全体を統合した中で、レジリエンス、つまり、サイバー攻撃が起きた場合にどのように対応し、いかに早く復旧させるかという、抵抗力や柔軟性が重要なのです。
この点も、日本の企業にはまだ足りていない部分ではないかと感じています。
つまり、個々のシナリオ(シナリオリスクアセスメント)ではなくて、全体のプロセスの中でシナリオを1つずつ捉えていく(プロセスリスクアセスメント)という考え方が、日本のインフラ企業には大事ではないかと思います。
▼ 注1
リスクアセスメント:業務や職場の潜在的なリスクを事前に洗い出し、評価、解決するまでの手順を作成すること。
