まずは日本企業が“おざなり”にしがちな「リスクの把握」を
セキュリティコンサルタントで前内閣サイバーセキュリティセンター 内閣参事官の結城則尚氏は、「組織固有のリスクを踏まえたサイバーセキュリティ対策」と題して講演した。国内のサイバー政策の動向としては、2000年の省庁のホームページ改竄を発端にサイバーセキュリティ政策が始まった。システムへの依存度が高まり、サービス停止が社会の混乱を巻き起こす。近年はランサムウェア感染の被害が見過ごせなくなった。
セキュリティコンサルタント(前内閣サイバーセキュリティセンター 内閣参事官)
結城則尚氏
これらに対し2015年1月にサイバーセキュリティ基本法ができ、2022年6月に重要インフラ行動計画が策定された。サイバーセキュリティの議論は「真っ只中の状況」だと結城氏は言う。また国際動向としては米中対立、新型コロナウィルスのパンデミック、ロシアのウクライナ侵攻などがあり、国家レベルのサイバー攻撃やランサムウェアで資金調達する動きが出ている。このような状況の中、サイバー攻撃の実害が2018年頃から発生しており、2020年くらいからランサムウェアの被害が発生している。これらへの対策は「組織全体で取り組まなければなりません」と言う。
2021年のランサムウェア攻撃の被害額として、7億5000万円あまりの特別損失が計上されている。サイバー攻撃への対処には、大きくコストがかかるとCIOやCSOは認識し始めた。2022年11月に大阪急性期・総合医療センター、2023年7月には名古屋港統一ターミナルシステムがランサムウェアに感染し業務、サービスが停止した。前者は復旧に約2ヵ月半かかり、後者は3日で復旧。復旧時間が短くなったことは評価できるが、社会インフラではより迅速な復旧が望まれる。
従来のサイバー攻撃は、アンチウイルスやファイアウォールがあれば防げた。その後脅威は高度化し、システムの使い方も変化。その結果リスクも変わっているという。2015年以降は様々なものがインターネットでつながり、リスクが高まっている。工場などは外部とつながらない前提の対策だったが、それが崩れ、攻撃にさらされている。関連会社を踏み台にするサプライチェーン攻撃のリスクもあり、こういった環境の変化に柔軟に対応できなければならないと結城氏は言う。
今後サイバーセキュリティは、組織論で考えるべきだ。2000年代はネットワーク管理者などが対策するだけだったが、今は経営リスクと捉え対策しなければならない。現在はITシステムの障害が国民の財産や生命にも影響する時代であり、企業の外部調達などが高度化し一つの組織だけでの対策では終わらないことも考慮する必要がある。
対処にはネットワークの防御とネットワークオペレーションを一体化した対応がいる。何らかの機器を入れて終わりではなく、運用も合わせて見る。とはいえログを取得しリアルタイムに人が監視するのは難しい。そこは機械学習の技術を適用し、リアルタイムのダッシュボードで監視する。今後はそのような「情報中心のセキュリティが大事になります」と結城氏は言う。
そしてリスクを把握することが重要であり、そのためには目的に対する不確かさの影響である「ISO31000」と、被害のひどさ×発生頻度による安全のガイドライン「ISO/IEC Guide51」の組み合わせが現実的だ。そしてリスクを把握するには「プロファイル(特定)」することが必要となる。これを日本企業は、おざなりにしてきたところがあるとも指摘する。
今後やるべき待ったなしなのは、従来の正攻法の対策で時間を稼ぎつつランサムウェアの脅威への対策をすることだ。ランサムウェア攻撃のほとんどは既知の脅威であり、適切なバックアップとリストア、流出データの把握により数時間で復旧可能だ。手間とコストのかかる災害対策の前に「ランサムウェアの攻撃を受けても迅速に回復できるようにするところから、まずは始めるのが良いでしょう」と、結城氏はアドバイスする。
