なぜ、現場と経営層のセキュリティ観は、ここまで乖離するのか?
マイクロソフトテクノロジーセンター セキュリティアーキテクト
蔵本雄一さん
― まずは、今回セミナーを始めるに至った経緯をお願いします。
蔵本 僕はこんな本を書いているんですよ。
―『もしも社長がセキュリティ対策を聞いてきたら』ですね、ええ、はい。
蔵本 何がすごいって、翔泳社さんのサイトでいきなり、日経BPの本を紹介するっていう。めちゃくちゃ不届きな。すんません、翔泳社さん、小泉さん、すんません。
― いいえ、まったく構いませんよ。どうぞうどうぞ。
蔵本 それでですね、今はセキュリティってすごく盛り上がってて、ワークスタイル変革なんかと同じで、経営層が気にするようになった。
― なぜ、経営層が気にするようになってきているのでしょうか。漏洩事件が怖いから、というのは今に始まったことではないし……
蔵本 セキュリティと経営という観点で考えたら、上場企業の60%くらいが有価証券報告書の中の事業リスクっていう欄にサイバーセキュリティリスクを開示しているっていうデータがありますね。書いてある内容が何年間か変わってないとかの指摘もありますけど、有価証券報告書の中にセキュリティが入ってるっていうのは進歩やと思うんですよ。セキュリティ対策っていうと、保険ですよねっていうイメージを持たれている方も多いと思うんですけど、今は違うんです。
― これまでのいわゆる「保険」的な位置付けからどのような位置付けになったんでしょうか。
蔵本 下手したら予算の出どころが変わっている企業もあるくらい、セキュリティのポジションが変わってきてます。どう変わったかっていうと、自社の株価を安定させたり、あるいは自社のセキュリティ対策がイケてるっていうことを、ステークホルダーの方や株主の方にアピールすることで株価を上げるための戦略的な投資としてセキュリティ対策というのを考えている企業も出てきてますね。
― それはかなり大きな変化ですね。
蔵本 「1円にもならないよね?」とかじゃないんです。そういうことを言っていると株主総会で株主にツッコまれて大変な目に遭っちゃうケースもあります。万が一情報が漏れて株価下がったら株主の人が損するじゃないですか。株主さんにとったら他人事とちゃいますからね。というわけで、セキュリティの位置付けがかなり変わってきてると。IR情報になってきてるということなんですよね。これは非常に重要な変化です。
― やみくもな「漏洩こわい」から、IR情報としてのセキュリティ対策へ。経営層がやっと興味を持ち出したということですね。
蔵本 そういう背景もあって、経営層にどうわかってもらうのか、というのは重要なテーマやと思っています。というのも、現場と経営層で言ってる話が、めっちゃ乖離しているんですね。話が全く通じてないケースもあるあるです。経営層が現場を理解するか、現場が経営層を理解するか?
― どっちも必要そうですね。
蔵本 経営層がセキュリティ勉強して、現場が経営を勉強するというお互いの歩み寄りがベストやと思いますけど、そんな事ができるんやったら苦労はしてへんわけです。まずは、現場のエンジニアが経営層にわかる話し方を押えれば、かなりイケるはずなんです。僕も最初はポイントがわからなかったんですけど、何を伝えれば良いのか、どう伝えれば良いのかが、最近、ようやくわかるようになってきた。で、そのノウハウをお教えしますというセミナーです。
― 話し方。なるほど。たとえば、どんなポイントがあるんですか?
蔵本 たとえば、エンジニアがやってしまいがちなのが、事象の説明はするけど、それによってビジネス上どういう不利益を被るのかまで説明できないとかですね。いくつかポイントがあって。それができるだけで、伝わり方が劇的に向上する、というポイントをお教えします。
マイクロソフト蔵本雄一が教える!マネジメントのためのサイバーセキュリティ講座
詳細、お申込みはこちらからどうぞ。
「正しく怖がる」こと、「自社のビジネスにどう影響があるのか」伝えること
蔵本 サイバーセキュリティを考える前にまず何が大事かって、僕いつも言っているんですけど、「正しく怖がる」ということです。これはいろんな人たちが結構言ってますね。これ、みなさんの会社に、いろんなセキュリティのベンダーさんがいらっしゃってですね、今の世の中はこんなになっておると。ひいては、今のこのセキュリティ対策では、全然足らんと。だからこういうものを買わんとあかんっていうことを、みなさんもよく言われると思うんですけど。
― ありますね。
蔵本 それがホンマにみなさんの環境にとって、いるのか、いらんのかっていうのを判断するのは最終的にみなさん自身しかいないんですね。うちにそれはいらんと言うのか、いや、やっぱりいるわってなるのかは、正しく怖がることができているのかっていうことがすごく大事になってきますし、逆にそれが出来てないと判断しようがないんですよね。
― 正しく怖がるためには、どのような攻撃が起きていて、その攻撃によってどういう不利益を被るかを知る必要がある。
蔵本 そう。経営層とかに伝えるときは、自分の会社のビジネスにどういう風な影響があるんや、ということを伝えることが大事ですね。「このままではマルウェアに感染してしまいます」とか、「ハッキングされてしまう可能性があります」って言ってもそれはただの事象の説明やから、それから守りたいから予算をくれと経営層に言っても、なかなか予算が出ないですよね。単なる事象の説明じゃなくて「自社のビジネスにどう影響があるか」、これを説明していないケースがすごく多いんですよ。経営層が知りたいのは、「マルウェアに感染する可能性があるか」、「ハッキングされる可能性があるか」じゃなくて、「それが起こったらビジネスにどう影響があるか」なので、ここを説明せんと予算は出ないですよね。
事象の報告だけでは、意思決定の材料になってないんですね。つまり、「これを対策しないと、こうこうこういう状態になっていくら損しますよ」とか、「ライバル会社でこれくらい損をしたっていうケーススタディありますよ」とかいう話をせんとあかんということなんですね。自社のビジネスへの影響を常に意識して伝えるということです。
― 正しく怖がる、自社のビジネスにどう影響があるか伝える。
蔵本 そう、まず正しく怖がって、何がリスクなのかをちゃんと把握する。これで、投資がちゃんと妥当かどうかをみなさんが判断するわけですよね。で、予算を取ってくるときになったら、自分の会社のビジネスに、それがどういう影響があるのかっていうことをちゃんと盛り込んで経営層にお話をしていく。ということが、めちゃくちゃ重要なポイントになってきます。
― そのあたりの話も、くわしくセミナーで聞けるということですね。
マイクロソフト蔵本雄一が教える!マネジメントのためのサイバーセキュリティ講座
詳細、お申込みはこちらからどうぞ。
標的型メール訓練などの壮大な勘違いをいかに是正するか
― セミナーでは、壮大な勘違いの下に行われるセキュリティ対策についても解説いただけるようですね。
蔵本 はい。いくつか、勘違い的なお話をちょっとしようかと思うんですけど。まずメールの話からいきましょか。みなさんご存じかと思うんですけど、いわゆる標的型メールっていうのが飛んできますよね。
― ええ。標的型攻撃ですね。
蔵本 そうするとですね、メールで攻撃が来るんやから、変なメールを開かんように訓練して周知徹底したらええんちゃうか、というのがまずぱっと思いつくんですね。
― 標的型メールを開かなければいいわけだから、開かないように社員を訓練しよう、となるわけですね。
蔵本 そういう流れですね。で、開封率を下げることにやっきになってしまうと。問題はそれでホンマに効果があるんかってことですけど、例えば、訓練しまくった甲斐あって開封率1%の社員育成に成功したとして考えてみましょか。1000台のPCがある環境で開封率1%ていうと10台やられる計算になりますよね。
― そうなりますね。
蔵本 最近のサイバー攻撃って、やられた後に公表されているレポートとか読んだらわかりますけど、最初にやられたPCを踏み台にして別のPCにどんどん感染を広げていくんですよ。という事は、1000台のPCでメールを受信して、そのうち1%の人らが開封してしまって、10台感染したとすると、攻撃者的にはその10台を足掛かりにして感染を広げていけばいいって事になりますよね。だからこれ、標的型メール訓練をやってですね、「うちではメールの開封率が10%から1%に下がりました!」ってなっても、期待しているようなセキュリティ対策の効果は出ないんすよ。最初の足掛かりは減りますけどね。
― そうですね。
蔵本 ちなみに攻撃くらってからどれぐらいの時間で他のPCに感染が広がるかって知ってはります?
― いえ、どれぐらいですか?
蔵本 8時間以下と言われてます。
― はやい…。
蔵本 そうなんすよ。ということは、開いてしまったら開いてしまったとちゃんと報告して、どれぐらいの時間で事故対応チームが対応してくれるかってことがすごい重要だと思うんですよね。でも、ほとんどの標的型メール訓練ではそんなことやってない。メール開いたら怒られる。怒られるから報告しない。ってめっちゃ悪循環ですよね。
― じゃあ、標的型訓練ってやりかたは、ほとんど間違ってる…。
蔵本 ……ということなんですよね。だから、「うちの会社はどんなメールがきても、メール、絶対見ぃひんぞ」みたいな会社があれば別ですよ(笑)。でもそれじゃ仕事になりませんからね。だからこれ、開く前提で考えましょうねっていうことなんです。いろいろ判別が難しくなっていく標的型メールを人間が判別して開封したら怒られるっていう対策よりも開封する前提で対策する方が合理的ですよね。
― なるほどー。で、こういう勘違いが蔓延していると。
蔵本 よくよく考えたらみんないろいろ当たり前のように言っているけど、ちょっとほんまに正しいの?っていうのが、あるんですね。たとえば、ウイルス対策ソフトも業界ナンバーワンの検知率だったとしても100%じゃないですからね。という事は結局感染する前提での対策をする必要があるんですよね。検知率いいやつ入れているから俺の会社は無敵だみたいな論理は通じないわけですよ。僕はよく車で例えるんですけど、みなさん車乗るとき、事故らんように気を付けて運転しますけど、万が一に備えてシートベルトとかエアバッグありますよね。今のサイバーセキュリティも全く同じ事が言えると思うんですよ。でもなんでか知らんけど「とにかく事故るな!」みたいになってしまってる。
― そういう勘違い、わかっていても是正できないみたいなこともあると思うんですよ。あの、パスワード後送します、とか、意味がないなと思いつつ、送ってしまう。どうしたらいいのか……そんなことについてもセミナーで学べる…?
蔵本 もちろんです。
マイクロソフト蔵本雄一が教える!マネジメントのためのサイバーセキュリティ講座
詳細、お申込みはこちらからどうぞ。
いま、サイバー犯罪の世界はどうなっているのか?
― サイバー犯罪の最新動向というか、いま、アンダーグラウンドではどのような事態になっているんですか。
蔵本 色んなタイプがありますけど、やっぱり今日の攻撃者の目的は、金。世の中ゼニや、なんぼ儲かんねん、という話が多いですね。
― 自己顕示をしていた美しい時代は終わったと。
蔵本 で、マネタイズできるものの例、これもけっこう勘違いをされている方が多くて、まず、「直接的な金銭」は、わかりますよね。
― フィッシングとか、ランサムウェアですね。
蔵本 感染したらファイル暗号化して、復号してほしかったらお金払ってねっていうやつ。こういうのは直接的な金銭なので、すごくわかりやすい例ですよね。あとは、機密情報ですね。みなさんの会社の中にある重要な情報をハッカーが持ち出して、これを売り飛ばすっていうわけですよね。
― 個人情報とかですね。
蔵本 この辺までは、みなさんわかるんですよね。で、こういう話をしていると、必ず「いや、うちの会社って別に重要な情報ないから、うちなんか狙うやつおらんよ」って話になってくるんです。
― あるあるですね!
蔵本 「直接的な金銭」とか「機密情報」は自分が被害者になるからイメージしやすいんですけど、自分が加害者になってしまうパターンがイメージできてない場合によく出る話ですね。自分が加害者になってしまうパターンでいうと、例えば「パソコンの操作権」が抜けているんですよね。要は、乗っ取ったパソコンを外部から自由に遠隔操作をするっていう事ですけど、この「パソコンの操作権」って売れるんですよ。
― 「パソコンの操作権」を売る?
蔵本 たとえば、僕がハッキングしたいと思ったとしますよね。でも僕が、僕の自宅からどっか攻撃したら、すぐプロバイダとかに問い合わせられて僕がやったってバレるじゃないですか。だから誰かを間に挟むんですよね。誰かを間に挟んで、そいつを踏み台にして攻撃するんです。そうすると攻撃がバレたとしても、僕じゃない、僕が操作してた誰かが疑いをかけられるわけですよね。トカゲのしっぽ切りみたいな。だから、攻撃をする人っていうのは遠隔から操作できるパソコンの操作権がほしいんです。操作権で身近なものだと迷惑メールはわかりやすいですね。あれなんかもボットとかで乗っ取ったパソコンにスパムメール出せっていう命令を出して、乗っ取られたみなさんの端末からスパムメールがボンボンでるわけですね。要は操られるわけです。だからこの操作をするっていう、操作権も売れます。
― なるほど。被害者だけでなく、間接的に加害者になる可能性もあるということですね。
蔵本 そうです。「被害者」と「加害者」っていう2つの観点から考える必要があります。被害者になるケースは容易に想像つくんですけど、でも、こっちが加害者になるケースもやっぱり重要ですね。グループ企業が攻撃されるときのあるあるですけど、グループの本社ってお金も人もたくさんいるから強いじゃないですか。
― そうですね。
蔵本 攻撃者が最終的に本社に侵入したいとしても、攻撃者はいきなり直接本社に侵入する必要はなくて、グループの末端のセキュリティレベルの低いところから侵入したらいいわけですよね。で、そっから逆流していくと。滝登り的な。要はグループ企業の1つが加害者になってグループがやられてしまうパターンですね。
― なるほど、確かに攻撃者は弱いところを狙えばいいですもんね。
蔵本 そうなんですよ。で、さらに「うちの会社なんか狙わないよ」っていうお話はもう1個観点があって、サイバーセキュリティの攻撃って乱暴に2つに分けると、僕がよく言うのは、空爆とスナイパーっていうのが2個あるっていう話をするんです。空爆っていうのは、この辺の地域に爆弾をいっぱい落としてやろうみたいな攻撃ですよね。で、あいつの政府の要人だからスナイパーを雇って、高いお金を払って攻撃してもらおうみたいなやつがスナイパー攻撃ですよね。で、自分は一般市民だからスナイパーに狙われることはないっていうのが、まあ、「重要な情報ないからうちは狙われない」って言う人の理屈なんですけど、ふつうに空爆で巻き込まれますよね。知らないうちに空爆に巻き込まれて情報漏えいしてたり、踏み台にされて自らが攻撃したことも気づかないまま、やられているケースっていうのも、やっぱりもちろんあるわけですよね。なので、「空爆」と「スナイパー」の両方の観点でちゃんと考えておくのはホンマに大切です。
― 「うちは大した情報がないから狙われない」というエクスキューズはまず成り立たないということですね。
攻撃者は本当に、本当にお金がほしい
― セミナーでは、感染したらどうなるかとかも学べるということで、ちょい見せ的に、どんなものか、見せていただけませんか。
蔵本 じゃあ、さっき、攻撃者はとにかく金が欲しいっていう話をしたんですけど、どんだけ金が欲しいかっていう例として、ランサムウェアの画面をお見せしますね。
蔵本 これ、今はもう既に複号鍵が出てるんですけど、Tesla Cryptっていうランサムウェアに感染してみた時の画面です。仮想マシンを1台無駄にしました(笑)。
― おつかれさまです!
蔵本 これ、感染するとこんな画面がでてくるんですね。で、まずこれ、感染すると、ファイルを暗号化するんですけど、はじめは、「元に戻してほしかったら500ドル払ってね」って出てきます。さらにですね、これ時間なんですね。160Hって書いてありますけど、この160時間が、カウントダウンされていて、ゼロになったらどうなるかというと、2倍の1,000ドル払えって書いてますよね。まあ、戻したるから、はよ金払えってことですね。
― はやくお金を払わないとどんどん上がっていく。ファイルは元に戻せない。
蔵本 で、ファイル戻してもらわないといけないから払うかってなったときに、これ、ビットコインでお金払うんですね。でも、ビットコインの払い方なんか、正直そんなに使ったことないから、僕もわかんないです。で、ビットコインで払えっていうのはわかったけれども、ビットコインでの払い方がわからないから払えない。じゃあ、マシン、フォーマットしてあきらめますってなってしまうと、それはそれで、ランサムウェアを作っている人からしたら都合が悪いですよね。お金にならない。だからどうしたかっていうと「Support」っていうボタンがついているんですね、これ(笑)。払い方はサポートしたるから払えと。
― おお、行き届いている!(笑)
蔵本 問い合わせ受けてまで金が欲しいんですよ、彼らは。今までのマルウェアのイメージとだいぶ違うのが分かってもらえるかと。さらにこの隣のボタンにも注目なんですね。「Decrypt 1 file for FREE」ってボタンがありますね。
― ありますね。
蔵本 ここをクリックすると、ファイルが選択できるようになるんですけど、これ、1個だけファイル選べるんですね。1個選んだらどうなるかっていうと、1個だけお試しで元に戻してくれるっていう、体験版の機能がついてる。
― やさしい(笑)。
蔵本 変なフリーウェアとかシェアウェアより、全然親切なんですね。お金をいただけるならがんばります私ども、みたいな感じなんですね(笑)。こうやって、金がそんなに欲しいんかお前らっていう話になるんですけど、それが現状なんですね。
― 本気で、誠意を込めて、お金を取りに来ている。
蔵本 お金関連で言うと、脆弱性を狙った攻撃でゼロデイというのがありますよね。攻撃コードはあるけど、パッチとか出てない状態のやつですね。こういう、ゼロデイ買いますっていうところもあります。例えばZerodiumっていうところがそうですね。こんな価格表まであります。iOSのゼロデイの価格なんか見てもらったらビビると思うんですけど、150万ドルですよ。
― 150万ドル……
蔵本 この価格表によると、iOSのゼロデイは都内の高級マンション住めるやん!っていう費用感ですよね。ちなみにこれ、TrustWaveというところが出した調査結果なんですが、「攻撃者は1425%の費用対効果がある」というデータがあります。投資対効果が10倍超えてるんですよ。だいたい15倍くらい。だからもし僕が1万円でマルウェアを買ってみなさんのところにマルウェアを送り付けたら、僕は14万2500円稼げるという、そういうデータです。投資したら儲かる。だからものすごく彼らは攻撃に投資をしています。
― はい。
蔵本 だから僕もこんなところで守る話をしている場合ではないんですね(笑)。
― ええ(笑)。
セキュリティ対策の考え方
― サイバー犯罪はすごく儲かることがよくわかりました。これを踏まえて、どう対策するか、みたいな話もセミナーではされるんですね。
蔵本 はい。昔は攻撃を受けないようにしようとしていた。でも今は、お話してきた通り、なんだかんだで攻撃を全部防ぐのは難しいわけですね。で、先ほどお話した通り、攻撃者は攻撃に投資すると儲かるから攻撃をする。という事は、攻撃者の1425%っていう高い費用対効果を下げるっていうことを考えないとダメなんですよね。だからセキュリティ対策って何を目指すのか?って聞かれた時に、「攻撃がくるんでとにかくそれを防ぐんです」というのではなくて、「攻撃者の費用対効果を下げる」という事を目標の一つにするのは合理的だと思います。後は、じゃあどうやって攻撃者の費用対効果を下げたらいいのかって話になるわけですけど、そのあたりも詳しくセミナーでお話していきます。
― 実際のサイバー攻撃もデモンストレーションで見ることができるんですよね。
蔵本 ええ。お見せします。サイバー攻撃の流れっていうのはほとんど変わっていないんですね。同じです。まず攻撃メールがきて、PCがウイルスに感染して、別のPCに感染が拡大して機密情報が持ち出されると、この流れですね。で、攻撃の初動であるメールを防ごうとして、怪しいメール開くなっていう話が出てくるわけですね。
― でも、全然怪しいメールじゃないんですよね、最近の怪しいメールは(笑)。
蔵本 はい。どれくらい怪しくないか(笑)、巧妙にできているか、そのあたりもお見せしたいと思います。ぱっと見で「このメール怪しいんちゃうか!」って人はエスパーか脳みそがCPUだと思います。サイバー攻撃をざっくり「1.メールが飛んでくる」「2.PCがマルウェアに感染する」「3.マルウェアが感染を広げる」「4.機密情報が持っていかれる」の4つに分けて考えると、1.か2.で防がないと考えてた人が多いと思うんですけど、仮に情報漏えいを心配するのであれば、4.が起きなければいいんで、1.~4.のどこで防いでもいい訳ですよね。リスクを段階的に低減していく方法についてもお話していきます。
― ざっとお話を訊いただけでも、わくわくしてきました!今日はありがとうございました。セミナーも楽しみにしております。
マイクロソフト蔵本雄一が教える!マネジメントのためのサイバーセキュリティ講座
マイクロソフトテクノロジーセンターにて、サイバーセキュリティの教育、啓蒙、意識改革に活躍する蔵本雄一氏自身による、マネージャー経験を元に編み出されたスキルセットを伝授します。蔵本氏が実際のサイバー攻撃のデモンストレーションを交えて具体的に解説することで、経営層に「何を伝えれば良いのか」「どう伝えれば良いのか」を2時間で理解する事ができます。翌日の会議からすぐに使えるテクニック満載です。セキュリティ担当者、マネジメントの方にお勧めの講座です。ぜひご参加ください!
詳細・参加申込
http://event.shoeisha.jp/seminar/20170414
プログラム紹介
1.何を伝えればよいのか
(セキュリティの現状と対策方針を踏まえて経営層に対して伝えるべきポイントを理解する事ができます。また、実際のサイバー攻撃を見る事でより具体的に理解が深まります。)
1-1.セキュリティの現状認識と対策方針
- セキュリティの現状
- セキュリティ対策の方針
- 4つのフェーズで対策
- サイバー攻撃の費用対効果を下げる対策
1-2.実際のサイバー攻撃を見てみよう
- サイバー攻撃のデモ
- 対策のポイント
2.どう伝えればよいのか
(経営層と会話する際に意識すべきポイントを理解する事ができます。経営層から「マルウェアとは何だ?」「それは当社にどんな影響があるのか?」「セキュリティ対策の予算を省きたい」といったよくある話が出ても経営層に理解してもらえるような回答ができるようになります。)
2-1.経営層と会話する際のポイント・会話のプロトコル
- ビジネスインパクト
2-2.セキュリティ対策の見える化
- 見える化技法
- 認識のすり合わせ
