[デジタル時代のサイバーセキュリティ対策を考える]

“ゼロ・トラスト対策”から脱却し、攻めのデジタル活用を可能にする

2018年1月17日(水)西野 弘(NIインテリジェントイニシアティブ取締役会長)

日本の組織・企業におけるサイバーセキュリティ対策の基本は、社外から社内システムへのアクセス禁止、ファイル送受信の禁止などリスクを避ける"ゼロ・トラスト対策"。今、その抜本的な見直しが必要になっている。あらゆる企業にデジタル技術の活用が求められる状況にも関わらず、ゼロ・トラスト対策はそれを阻害する方向に働きかねないからだ。ではどうするのか。サイバー犯罪の動向と対策に詳しい筆者が、あるべき方向を解説する。

 最初に自己紹介です。筆者はグローバルなセキュリティ企業との縁を通じてこの数年間、世界のサイバーセキュリティ対策の状況把握に努め、また国際刑事警察機構(インターポール)グローバルサイバー犯罪専門家委員会の民間委員として多くの事案を見聞し、学ぶ機会に恵まれました。

 2015年には、サイバー犯罪・調査に焦点を合わせた知識体系「CIBOK」構築のアイデアを自ら提案し、編纂プロジェクトマネージャーを務めました。2017年春に発刊にこぎつけ、ワシントンDCの米国商工会議所本部で開いたイベントには多くの司法関係者や取り締まり機関の方々に出席を頂きました。

 続く2017年夏にはCIBOKの日本語版を出版。日本の取り締まり機関関係者への研修も実施しています。CIBOKは主に取り締まり機関においてサイバー犯罪に関わる調査や捜査に携わる方々に向けた知識体系ですが、民間でサイバーセキュリティ対策を担う方々にも参考にしていただける内容です。詳細はhttps://www.cibok.org/ja/にありますので、ご覧ください。一方で2017年春には、日本の大企業27社が集う会員制のデジタルビジネスイノベーションセンター(DBIC)の設立に関与しました。

 そんな活動の中で痛感しているのが、日本におけるサイバーセキュリティの不十分さやいびつさです。デジタルビジネスが進む中でサイバーセキュリティは、あらゆる企業・組織が立ち向かうべき現代の最重要アジェンダの一つになりました。ビジネスを行う上での必要条件であるとも認識されています。しかし日本はどうでしょうか?

 大半の企業ではIT部門の、それも一握りの担当者に委ねるだけで、何かが起きたら慌てて外部の専門家に頼む。そしてなんとか丸く収めようとするのが実情ではないでしょうか? その証拠に多くの企業が今もなお、「ゼロ・トラストセキュリティ対策」を採っています(この言葉の意味は後述します)。

 当然、これではデジタルビジネス、デジタルトランスフォーメーションなどと言っても絵に描いたモチであり、IoTもビッグデータもAIも生かしようがありません。そうではなく、従来の対策を根本から見直し、リスクマネジメントの重要項目と位置づけて、国家や組織運営の中核を担う人々が真正面から取り組まなければなりません。前段が長くなりました。今後数回にわたって、具体的にどうすべきか、サイバー犯罪に立ち向かうためにサイバーセキュリティ対策をどのように進化させるかについて、お伝えします。今回は、根本的な発想の転換が求められる点についてです。

リアクティブな防御からプロアクティブなリスクマネジメントへ

 2017年に注目を集めたランサムウェアやハッキングなどによるインシデントは、2018年も間違いなく増加し、脅威になると考えられます。政府機関や企業組織は、サイバーセキュリティ対策の強化を目的としたテクノロジーに年間数億円、数十億円もかけていますが、一体その投資は巧妙かつ進化するサイバー犯罪の脅威に対して、本当に有効な防御を提供しているのでしょうか。

 一例ですが、金融関係を狙ったサイバー犯罪の被害額はインターネットバンキングに限定しても17億円弱(2016年、https://www.npa.go.jp/publications/statistics/cybersecurity/data/H28cyber_jousei.pdf)。日本史上最大の現金強盗事件である3億円事件が何件も発生したのと同等の規模になります。クレジットカードの詐欺などを加えると、その被害はもっと大きな金額になりますし、しかも犯人の大半は捕まっておらず、したがって弁済もなされていないのです。

 もし、これほど多額の現金が銀行の支店などから本当に盗まれたならば、金融機関や警察は大きく信用を失墜し、社会的にも大問題に発展するはずです。しかしサイバー犯罪に関しては、実際に多額の現金が失われているにも関わらず、メディアはほとんどその事実を報道していません。この事実は、強盗などの物理的な犯罪に比べ、サイバー犯罪がバーチャルで行われるためにリアリティに欠け、視聴者が直接メディアの情報から銀行の支店などの犯罪現場を認識することが非常に難しく、大きな話題にならないことを示しています。

 極端な言い方をすれば、従来のサイバーセキュリティ対策投資はたいして有効ではなかったと言えます。もちろん何もしなければ被害はもっと甚大だったでしょう。しかしながら事実として、従来の対策では犯罪を食い止めることができていないのです。

 この事実から推測できるのは、サイバー攻撃がますます巧妙かつ洗練されており、犯罪者側(攻撃側)の立場が圧倒的に優位な状態にあることです。つまり犯罪者側の実態は、もはやテレビや映画に出てくるような、プルオーバーで頭を隠してパソコンに向かうハッカーではありません。ターゲットの業務に関する高度な専門知識を持ち合わせた専門家が、十分な資金と装備を用意し、高いハッキング技術を持つハッカーと共同で攻撃を仕掛ける組織的な存在です。ハッカーも犯罪集団の一スペシャリストに過ぎないのです。それに加えて国家が軍の専門組織として同様の攻撃をしているケースも実在します。

バックナンバー
デジタル時代のサイバーセキュリティ対策を考える一覧へ
関連記事

“ゼロ・トラスト対策”から脱却し、攻めのデジタル活用を可能にする日本の組織・企業におけるサイバーセキュリティ対策の基本は、社外から社内システムへのアクセス禁止、ファイル送受信の禁止などリスクを避ける"ゼロ・トラスト対策"。今、その抜本的な見直しが必要になっている。あらゆる企業にデジタル技術の活用が求められる状況にも関わらず、ゼロ・トラスト対策はそれを阻害する方向に働きかねないからだ。ではどうするのか。サイバー犯罪の動向と対策に詳しい筆者が、あるべき方向を解説する。

PAGE TOP