サイバー攻撃防御で今後重要になるのは「業界全体の情報共有」と「攻撃者目線によるリスク予測」だ――日本放送協会 情報システム局、熱海徹氏が解説 (1/3):EnterpriseZine(エンタープライズジン)
Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

サイバー攻撃防御で今後重要になるのは「業界全体の情報共有」と「攻撃者目線によるリスク予測」だ――日本放送協会 情報システム局、熱海徹氏が解説

2017/10/16 06:00

 高度化するデジタルリスクに備えるには「攻撃の意図」を捉え、先んじて対策を講じること。そのベースとなるのは個人の信頼感だという。そう語るのは、日本放送協会(NHK)や一般社団法人ICT-ISAC-JAPAN で、長年に亘り放送業界のセキュリティに取り組んできた熱海徹氏だ。9月12日に開催した「Security Online Day 2017」(主催、翔泳社)の基調講演に登壇した熱海氏が、その豊かな経験と、オリンピックなどに向けた近年の施策を通じて得た課題感や対策のあり方について語った。

情報セキュリティのヒューマンエラーにおける4つのNGポイント

 熱海氏は、1978年に日本放送協会入局後、ハイビジョンスタジオ設備等の技術管理部門に所属。その山形局技術部長時代に「ヒューマンエラー低減に向けた活動」を展開し、放送人為事故10年間無事故を達成した。その経験を買われて、2013年に情報システム局へと異動になり、情報セキュリティ対策を担当するようになったという。

日本放送協会 情報システム局/ICT-ISAC-JAPAN事務局次長 熱海 徹氏

 「当時、情報セキュリティといえば、ほとんどエンドポイントへのアンチウイルスソフトやファイヤーウォールが主流でした。しかし、着任直前の2013年3月に韓国で大規模なサイバーテロが起き、業界としての危機感を抱くとともに、同様の攻撃を受けた時に『防ぎきれるかどうか』を真剣に考えるようになりました」と熱海氏は当時を振り返る。

 そうした思いを胸に、2年後の2015年6月に「情報セキュリティ対策グループ」を立ち上げ、さらに1年後に一般社団法人ICT-ISAC-JAPANに出向して、放送業界全体のセキュリティ対策に取り組むようになった。その際のセキュリティに関する考え方や対応のベースとなっているのは、かつて技術管理部門でヒューマンエラーについて考え続けた経験だという。

 「数十年前から多発していた医療ミスや回転ドア、飛行機事故などによって、『人はミスをする』のが当然とされていました。むろん放送事故に関してもヒューマンエラーの影響が大きく、撲滅が大きな課題でした。そこで、ヒューマンエラーの仕組みを独自に研究し、放送事故対策に役立てようと考えたわけです。さらに現在もまた、当時得た知見やノウハウをサイバー攻撃に活かすことを考えています」

 熱海氏は、ヒューマンエラー低減活動で気づいたこととして、「やってはいけないこと」の第一位に「コミュニケーションの齟齬」をあげる。難しい用語を用いた説明や、14時か午後2時かといった連絡内容の聞き違い、「できます」「やりました」といった確認表現の食い違いなど、思い当たる伝達ミスは山ほどある。そこで、「あくまで“事実”を伝え、伝える際も何を一番伝えたいのか。どう伝えれば自分の味方が増えるかを考えながら発言することが大切」だという。

 2つめは「対策に集中する専門家の意見をうのみにしてしまう」こと。何かトラブルが起きた時に、専門家を中心に対策が進行するという経験をした人も多いだろう。心強く思いながらも、専門技術的な対策ばかりに気を取られていては、根本的な「なぜ、それが起きたのか」が見えなくなる傾向にある。確かに専門的で細かな対策も重要だが、全体を俯瞰し、問題の根本を見極めることが大切だ。

 さらに3つめに「上層部に対してインシデント報告がしにくいこと」。どんなに無事故が続いていても、ニアミスは頻繁に起きており、大きな事故の前にもインシデントは現れる。その報告がなされないまま、何か大きなインシデントが起き、セキュリティ環境や影響範囲などについて上層部との共有ができていなければ、パニックとなるだろう。トラブルの際は、被害を最小に留めることが必須だが、判断を間違えれば被害を拡大させてしまう可能性も高い。そうならないためにも、日頃から大小に関わらずインシデントを報告し、考え方や対処法などをすり合わせておくことが必要だ。

 そして、4つめは業務継続のための回復プログラムを優先できず、「復旧プロセスになかなか入らないこと」だ。何かサイバーリスクが生じたとき、普段から BCP として設けている災害プロセスと、被害を受けて復旧させるプロセスが一致しているかどうかを確認しておくことが必要だという。そこに齟齬があり、いざというときにブレーキがかかるようでは意味がない。 いずれも技術的なもの以上に、人間関係や考え方など、信頼感によって結びついた組織づくりこそが重要であることを示唆している。


著者プロフィール

  • 伊藤真美(イトウ マミ)

    フリーランスのエディター&ライター。もともとは絵本の編集からスタートし、雑誌、企業出版物、PRやプロモーションツールの制作などを経て独立。ビジネスやIT系を中心に、カタログやWebサイト、広報誌まで、メディアを問わずコンテンツディレクションを行っている。

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:Security Online Day 2017 イベントレポート

もっと読む

All contents copyright © 2007-2017 Shoeisha Co., Ltd. All rights reserved. ver.1.5