Loading...

Loading...

JCICイベントレポート

------------------------------------------------------------------------

Information Security Forum (ISF) 英国カンファレンス参加レポート

------------------------------------------------------------------------
JCIC主任研究員 上杉謙二
2019年4月26日

2019年3月、ロンドンを本拠地とする国際的なメンバーシップ組織であるInformation Security Forum(以下、ISF)※のUKチャプターミーティング(UK Spring Conference)にオブザーバーとして参加しました。今回の2日間のカンファレンスでは、約200名のCISOやセキュリティ責任者などが英国やヨーロッパ各地から集まり、ISFの最新レポートの解説、サイバー演習、グループディスカッションが行われました。ここでは、カンファレンスの様子や日本企業が学ぶべきポイントについて解説します。

ISF

(※)480社以上の組織が加盟する独立した非営利団体。1989年に設立され、情報セキュリティの標準化やサイバーセキュリティ/デジタルリスクのベストプラクティスなどの世界最先端の調査研究を行い、メンバーの知見も含めて共有することで、メンバー企業のグローバル・グループでリスクマネジメントに寄与することを目的としている。 なお、日本でもチャプターを作る動きにある。https://www.securityforum.org/
 

【1】ISFカンファレンスの概要
カンファレンスは、「プレゼンテーション」と「グループディスカッション」の2つの形式で構成されていました。「プレゼンテーション」では、ISF研究員や会員企業などが壇上に立ち、最新の調査研究の内容や、各企業での取組みや考察が発表されました。参加者はスマートフォンから質問ができ、セッション後半に登壇者が回答するスタイルを取っていました。「ディスカッション」はDAY1とDAY2にそれぞれ約2時間ずつ行われ、6~8人の参加者がグループに分かれて、非常に活発な議論が行われていました。なお、メンバーシップの団体であることから、団体財産の運営状況や今年の計画についてもメンバーから選ばれた組合幹部が状況報告がなされていました。

ISF ISF

【2】主なセッションの内容
- サイバーリスクの定量化手法
リスクの定量化手法のテーマについて、DAY1とDAY2に2回のセッションがありました。定量化手法としては、過去のデータから1回のサイバー攻撃による想定損害額と発生確率を算出し、対応の優先順位をつけるアプローチが採られています。また、あるソリューションを導入することによって、リスク値がどの程度軽減されるのかを算出し、費用対効果を数値で求めることにも取り組んでいました。定量化については、データが十分に集まらないなどの課題がありますが、ISF会員の中でも最もホットな話題の1つであることがうかがえました。今後、定量化手法のWebinarやWorkshopが予定されているなど、継続して情報共有や更なる進化のための議論が継続されるとのことです。

- Threat Horizon 2021(脅威の地平線2021年)レポート解説
未来のサイバー脅威に関するレポート「Threat Horizon 2021(脅威の地平線2021年)」(2019年1月発行)の解説がありました。昨年の7月から、グローバルな研究機関やISF会員との議論を重ね、およそ200個の脅威から9個の脅威にしぼったとのことです。この9つの脅威は、以下の通りです。
① 5G
② 機械学習
③ 重要インフラのマルウェア感染
④ 国家主体のサイバースパイ行為
⑤ クラウドサービスの停止
⑥ ドローン
⑦ 脆弱性公開による攻撃
⑧ 巨大IT企業の崩壊
⑨ デジタル化による信頼の崩壊
ISFの研究者が、一方的にこのようなレポートを作成・提供しているのではなく、会員参加型のコミュニティで議論を重ねた上で公開していることが重要なポイントです。また、レポート公開後に、企業内でのサイバーセキュリティ対策の見直しに際してのコミュニケーションについて、効果的な手法などのアドバイスもISFの研究員が行っています。

- 英国政府関係諸機関の担当者によるパネルディスカッション
このパネルディスカッションでは、「英国内閣府」、「国家警察署長協議会」、「国家サイバーセキュリティセンター」、「デジタル・文化・メディア・スポーツ省」の4人がパネリストとして登壇し、「グラスゴー大学教授」がモデレーターを務めました。
まず、各パネリストから英国におけるサイバーセキュリティの現状や課題についての説明がありました。トピックスとしては、UKサイバーセキュリティ戦略、Brexit、5G、IoT、クラウドなどが中心でした。
また、サイロ化(部門との連携を持たずに孤立してしまう状態)しないために定期的に各府省庁間でミーティングを実施している、セキュリティは法規制だけが答えではない、データフィードの仕組みづくりが今後の課題などという発言もあり、日本と同じような課題認識を聞くことができました。

- サイバー演習
DAY1午後のサイバー演習では、各テーブルに6~8人の参加者がグループ分けされ、サイバー演習を実施しました。グループ毎に異なるテーマ設定がされ、テーマは「Threat Horizon 2021」で挙がった9つのサイバー脅威から与えられました。およそ70分間の時間をかけて、インシデント対応の演習を実施し、休憩後に各チームの発表がありました。翌日、ISFが各チームの演習結果を分析し、傾向や改善点などの解説がありました。このサイバー演習では、「Threat Horizon 2021」の9つの脅威をテーマにしたことがポイントです。新たな脅威について、演習を通じて真剣に対策を考えることによって、「Threat Horizon 2021」を自社に将来発生しうる脅威として取り組むきっかけ作りに貢献しています。

- テクノロジーリスクに関するグループディスカッション
DAY2午後は、テクノロジーリスクに関するディスカッションが行われました。テーブル毎に「過去」、「現在」、「未来」というテーマが設定され、サイバー演習と同様に1チーム6~8人の参加者で構成されました。例えば、老朽化したシステムのリスクを他社のCISOはどう考えるのか、クラウドセキュリティなどの現在のリスクを経営者に対してどう説明するか、5Gなどの未来のリスクに対してどの粒度で対策を検討するのかといったことを議論しました。このようなディスカッションを通じて、他の参加者の発言や考え方を学ぶことができ、参加したCISOにとって課題解決のヒントを持ち帰ることができました。

ISF


【3】日本企業が学ぶべきこと
2日間のISFカンファレンスを通じて、欧州(特に英国)はサイバーセキュリティに関して日本人に近い考え方をしていると認識しました。欧州企業は、典型的な米国企業のようにトップダウンでサイバーセキュリティを進めるのではなく、経営層と現場責任者のコミュニケーションを重ね、一歩一歩、確立された方法論を用いて着実に課題を解決するアプローチを重視しています。ISFがどのような議論をしているのか、経営層への説明ツールにはどのようなメッセージが含まれているのか、様々な課題に対してどのようなアプローチを考えているかなどという生の声は、日本企業のサイバーセキュリティ責任者が学ぶべき有益な情報だと言えます。



備考: The Information Security Forum Ltd 日本(東京)の連絡先は次の通り。
小原浩之 氏 (Representative) hiro.oahra@securityforum.org