------------------------------------------------------------------------
[コラム]
サイバーセキュリティ対策、本番はこれからだ！～
「Resilienceの向上」を目指して～
------------------------------------------------------------------------
2022年6月13日
JCIC代表理事兼上席研究員　梶浦敏範

はじめに

　COVID-19禍で、各社がテレワークを急に導入することになった一昨年。国の威信を賭けたイベントである東京オリンピック／パラリンピックが開催された昨年。産業界は、サイバーセキュリティ対策の強化を迫られた。その2年間、国内では報道される大きな被害もなく、なんとなく安堵感のような空気が流れている。特に「東京オリンピック／パラリンピックまでは頑張れ」と言われていた企業や部門では、そろそろ平常モードに移ってもいいかなとの声も聞かれる。

　しかし、米中対立が先鋭化し、ウクライナ紛争が長期化し、世界各国で社会が不安定化している現状では、サイバーリスクも増えこそすれ減るはずもない。重要インフラを停止に追い込むなど、社会・経済に大きな影響を与える事案も海外では発生しているし、ウクライナではリアルだけでなくサイバー戦争も激化し、政府や軍と民間の区別もなくなりつつある。

　JCICでは、経営視点からのサイバーセキュリティ対策強化を訴え、経営者の役割、プラスセキュリティ人材を含めた人材育成・活用、サイバーセキュリティがビジネスに直結しているがゆえのDX with Securityなどを研究してきた。今年もこれらを継続研究するが、対策強化はこれからが本番を迎える。「Resilienceの向上」を強く求めて行きたい。

１．増しているサイバーリスク

　JCICで毎週お届けしている海外動向ニュースクリップの昨年度後半のトピックスをまとめてみると、サイバー脅威がエスカレートしていることが分かる。国際社会の分断が進み対立構造が明確になってきたことを背景に、これまでにない範囲の破壊的サイバー攻撃が起きていた。トレンドは大きく５つに分けられる。

１） ロシアがウクライナに仕掛けたハイブリッド戦とサイバー攻撃の頻発
２） サイバー空間における分断の広がり
３） サイバー犯罪組織への執行強化
４） ソフトウェアサプライチェーンのセキュリティ
５） 個人データ以外のデータガバナンス

　従来、日本語の壁もあって、日本は比較的安全な国と言われてきた。しかし偽メール上の日本語もほぼ違和感がなくなるなど、その壁は崩れつつある。昨今のEmotetの流行も、日本は国際平均以上に感染している。Emotetは情報窃盗型のウイルスで、盗まれた情報が次の攻撃につながる公算も高いことから、警戒を緩めてはならない。これまで日本社会に大きな影響を与えた攻撃が無かったのは、幸運だったからと思うべきだ。

２．日本産業界の意識と対策

　2010年代前半には、サイバーセキュリティはぼんやりした脅威であって、海外のことであり専門家だけの世界だった。しかし2015年に日本年金機構の事案があり、2017年に日本企業にもWannacryの被害があって、産業界の危機感は高まった。それ以降、大手企業を中心に、

・サイバーセキュリティは経営課題
・基本的な対策を社内に周知徹底
・CISOを置き、SOC機能など備える

　のような意識改革や体制整備は進んでいる。さらにサイバーセキュリティ対策をビジネスの中に位置づけ、CISOが事業部門にまで関与してDX with Securityを進める企業も出てきた。COVID-19禍でテレワーク利用者が急増し、クラウドなど外部サービス利用が普及してきたことで、従来の境界防御では不十分とZero Trust体制をとる企業もある。

加えてサプライチェーン攻撃に備えるため、大企業だけでなく中小企業も含めたサプライチェーンセキュリティの議論も始まった。しかし、これらの対策で攻撃を防ぎきることができるわけではない。攻撃者の手法も進化していて、何らかの被害を受けることは覚悟しなくてはならない。

３．「Resilienceの向上」のために

　楽観的に見れば、サイバーセキュリティ意識が高まり、体制の整備、対策への投資が進みつつあって、社会経済に甚大な被害を受けた事例はまだないというのが、日本の現状かもしれない。しかしそれは本格的な攻撃にまだ遭っていないからとする、悲観的な見方もある。「本番はこれから」と考えて、対策をねらなくてはいけない。

　その対策は「Resilienceの向上」を目指したものであるべきだ。すなわち、ダメージコントロール能力の向上である。企業として最も重要なことは事業継続であるから、被害を受けた場合も速やかに復旧するなど社会への影響を最小限に止める能力を高めることである。遅かれ早かれ被害は受けるならば、その被害を局所的に抑え、速やかに復旧し再発防止を行う能力を磨く必要がある。兵器、例えば軍艦は、民間船舶同様の大波や強風あるいは暗礁のようなリスクに対応する能力に加え、敵弾やミサイルが命中するなどした時のダメージコントロールができるようになっている。ウクライナ紛争のようなハイブリッド戦を見ると、重要インフラを担う企業を中心に、民間企業も自然災害や事故対応だけでなく悪意を持った攻撃に対するダメージコントロール能力を身に着ける必要があると感じる。この能力こそがResilienceの源泉である。

　悪意のある攻撃によって被害を受けてしまったら、どうすべきか。現場ではいくつもの事象が同時並行的に進む。これを誰の指揮でどう進めるのか、初めての事態に直面した時に正しい行動がとれる可能性は低い。そこで事前準備として、攻撃被害を受けた想定での訓練（シミュレーションや机上演習等）が行われていれば、被害対応の混乱を少しでも軽減できる。そこで、シナリオ型の訓練を行うことを提案したい。

　訓練したシナリオと全く同じ被害を受ける可能性は低いのだが、訓練を経験したことでとっさの判断に資するヒントが経営者やCISOらの脳裏に残る。毎回シナリオを変えてこのような訓練を実施することで、新たなリスクも見えてくる。シナリオ設定は難しい作業で、自社のビジネスのコアは何かが分かっていないと意味の薄いリスク想定をしてしまいかねない。また、対応に応じた選択肢も社内外の機関の行動を誤って設定してしまい、訓練が現実離れしてしまう危険性もある。しかし、難しいからこそ業者任せにせず、自社でシナリオ設定できる体制を整えることを薦めたい。リスク管理のあるべき姿は個社によって異なり、識者が言うように「コピー＆ペーストできるものではない」からだ。

　例えば、事業継続にあたっての最大の脅威となるのは業務用のサーバーがダウンすることである。この原因は、サイバー攻撃の他、広域停電、データセンターの被災、ソフトウェアのバグ、ハードウェアの故障などいくつも考えられる。原因はどうあれサーバーがダウンした場合はどのように対処すべきか、企業の事業継続計画の中で論じ対策を実践している企業もある。こういった事案もシナリオに取り込むべきだろう。

　とかくサイバーセキュリティ対策というと、サイバー攻撃による個人情報窃取対策に矮小化されることがある。もちろんプライバシー侵害につながる漏洩は問題だが、社会の公器としての企業にはそれ以上に事業継続する義務が大きい。サイバーセキュリティ対策は独立したミッションではなく、企業の事業継続を守るリスク管理の一環である。

おわりに

　日本では、大企業中心に一通りのサイバーセキュリティ対策は進められている。しかしこれまで大きな社会経済的混乱をきたす事案が無かったからといって、対応を緩和させるのは論外である。国際情勢の緊張もあって本当の脅威はこれからやって来るとの意識の下で、より進んだ対応を考えるのが企業の、社会的公器としての責務である。JCICは、そんな努力を怠らない産業界に、役に立つ提案を続けていきたいと考えている。今年度は「本番はこれからだ！」の掛け声とともに、「Resilienceの向上」を目指したサイバーセキュリティ対策を研究したい。