――みなさんは業種の差はあれど、企業の情報セキュリティを担当する役割を担っていますが、どのようなものを「リスク」と感じていますか。対策方法と併せて教えてください。

Aさん：当社の場合、サイバー攻撃による情報漏えいをリスクとしています。自社のWebサイトはほぼ毎日のようにサイバー攻撃を受けており、IDS（不正侵入検知システム）・IPS（不正侵入防御システム）でモニタリングを行って、常に攻撃をブロックしています。モニタリングを行うプログラムは日々更新しており、その作業はセキュリティベンダーに依頼しています。

Bさん：我が社も機密情報が流出しないよう、セキュリティベンダーの力を借りて、セキュリティを強化しています。内部からの情報漏えいが起こらないことにも気をつけています。

Cさん：当社は小売業を営んでいるため、数十万件の個人情報を取り扱っています。そのため、外部の攻撃による個人情報の流出を最大のリスクと考えており、それを防ぐためにセキュリティベンダーを利用しています。ただ、ほかのことに関してはあまりセキュリティコストをかけていないため、心配な部分がありますね。

Dさん：我が社も、個人情報の流出防止を重要視していますが、リスクとしては外部要因よりも、社員の情報リテラシーが低いことが大きいと感じています。最近流行しているランサムウェアの被害に遭わないようにするため、社員の情報リテラシーを上げていかなければならないと考えています。外部のセキュリティベンダーについては、今のところ利用していません。

――Aさんの会社では「毎日サイバー攻撃を受けている」とのことですが、自社と外部セキュリティベンダーだけで、攻撃は防げるものなのでしょうか？

Aさん：実は金融業界では、金融機関同士でサイバー攻撃などの情報を共有するための「金融ISAC」という組織があり、ここの協力を受けています。金融ISACは、標的型攻撃やフィッシング詐欺、不正送金、DDoS攻撃、ゼロデイ攻撃などの手口や被害に関する情報を提供しており、そこから受け取った情報をもとに、当社のセキュリティの専門部署が調査し、対応する形になっています。

Bさん：さすが、金融機関ならではの万全な情報セキュリティ施策ですね。

Aさん：金融庁からきちんとしたリスク管理体制を敷くよう指示されていることも大きいです。リスク管理体制にコストをかけるのが会社から認められているのも、これが大きな要因です。

――サイバー攻撃を受け、実際にビジネスに被害が及ぶようなことはありましたか。実害はなくとも、ヒヤリとした経験でもいいので教えてください。

Bさん：当社はDDoS攻撃を受けたことがあり、ネットワークやサーバーが止まるほどはんかったもの、自社サイトや社内ネットワークのレスポンスが悪くなったことがあります。海外拠点では、サーバーがランサムウェアに感染したところもあったようですが、ビジネスの基幹となるサーバーは、オフラインのバックアップを取るように日ごろから指導していたため、すぐに元に戻すことができ、大きな問題とはなりませんでした。

Dさん：当社もDDoS攻撃を受けることはよくあります。ただし、ネットワークやサーバーのパフォーマンスが少し落ちる程度で、情報漏えいなどの実害はありません。

――サイバー攻撃を受けた場合、どうやってそれを検知し、どう対処していますか？

Bさん：攻撃者が社内データを抜き取る際、C&Cサーバーを操作しようとしますが、その時に発生する異常な通信トラフィックを見つける仕組みを整えています。ただ、最近は社内データを大量に抜き取るのではなく、少しずつ抜き取る手口もあると聞きます。これをどう検知すれば良いのかと心配しています。

Aさん：最近は24時間365日、常にトラフィックを監視するシステムにしています。以前は、攻撃者は夜間や休日に社内データを抜き取ろうとする傾向にあったため、トラフィックの異常を見つけやすかったのですが、最近は平日の勤務時間中でも抜き取りにくるケースが増えています。

Cさん：当社のECサイトはしょっちゅうDDoS攻撃を受けています。その際は、いったんインターネットから切り離して、どこから攻撃されているかを調査し、対応しています。サービスの一時停止は痛手ですが、情報漏えいはもっと大きな問題になるので、このような対策となっています。

――セキュリティ対策としては、外部からの攻撃はもちろん、内部の人間のミスを防ぐことも重要な要素のひとつです。社内のスタッフに対するセキュリティとして、どのような対策を行っていますか？

Dさん：当社はスタッフに貸与しているノートPCに社内のデータを保存していましたが、紛失の危険が常につきまとっていたため、現在はシンクライアント化し、PCにデータが残らない仕組みを取り入れました。データはクラウドで管理するため、端末を紛失しても情報漏えいの心配がなくなりました。

Cさん：当社では必要な部門だけPCをシンクライアント化しています。シンクライアント化していない部門でも、基本的に個人情報はPCに保存しないというルールを設けています。

Aさん：当社ではスタッフが危険なサイトにアクセスしないよう、社内から外部にアクセスできるWebサイトを、すべてホワイトリスト化しています。社員は自分が閲覧したいWebサイトを、専門の部署に申請しないとアクセスできない仕組みとなっています。

Dさん：当社でも、Aさんの会社のように、閲覧できるWebサイトを制限しています。

――Webサイトの閲覧制限の話題が出ましたが、利便性の面で問題は起こらないのでしょうか。たとえば、従業員から「このサイトにアクセスできない」と不満の声が届きそうですが。

Aさん： Webシステムを運営する部署には、そのような多くの問い合わせが集まっているようです。私も仕事でWebサイトを調べたい時に、閲覧できなくて困ることもあります。しかし、セキュリティ強化のためには、それぐらい厳しく管理することが必要だと考えています。

Bさん：当社も最近、Webサイトのホワイトリスト化を行いました。中には顧客のWebサイトが見られないケースもあったようで、一部の社員からは不満の声も上がりました。しかし、セキュリティを考えると、すべてのWebサイトを閲覧できる状態にすることは難しいと思っています。

Dさん：当社の場合、ホワイトリスト化による社員からの不満の声はほとんど上がってきませんね。当社は閲覧できない設定になっているWebサイトは本当に仕事と関係がないものばかりなので、社員も声をあげることができないのではないでしょうか。

――最後に、セキュリティの最前線に立っている観点から、セキュリティベンダーに対して「こうしてほしい」「こういうサービスがあったらいいのに」と思うところはありますか。

Bさん：セキュリティツールに関して、業界標準のAPIのようなものをつくってほしいですね。1つのコンソールですべてのツールの状態を把握でき、設定もそれですべて行えるようにしてもらえるとうれしいです。

Dさん：もっと「競争」してほしいということですかね。当社は頻繁にクライアント型のウイルスソフトを変えているのですが、あるベンダーでは検出されなかったけれど、他のもので検出されるということがよくあります。競争することでセキュリティツールの機能や性能が向上するでしょうし、料金も手を出しやすくなるので。

Cさん：通信キャリアがクラウドサービスとして情報セキュリティ全般の面倒を見てくれるといいですね。ログの解析などもすべて任せられるとうれしいです。情報セキュリティに関してすべて請け負ってもらい、自社では何も心配せずにビジネスが行える環境が理想です。

Aさん：AI（人工知能）を使った情報セキュリティソリューションを数多く提供してほしいですね。現在は常に攻撃者が優位に立っていますが、AIを導入することで、予兆を検知して前もって防御できるのではないかと思います。AIを情報セキュリティ分野でも早く導入してほしいです。

　今回の座談会の内容をまとめると、サイバー攻撃はどの業種でも脅威にさらされており、かつ手口が巧妙化していることがわかりました。また、社内のセキュリティ対策としては、Webページの閲覧制限は当たり前となりつつあること、そして経営陣とセキュリティの現場担当者とは意識に温度差があることもわかりました。

　サイバー攻撃が当たり前となりつつありますが、攻撃を受けたからといって、企業は被害者の立場ではなく、逆に情報を流出させてしまった「加害者」として、世間からは認識されてしまいます。「自社のセキュリティは大丈夫なのか」と不安に思ったビジネスリーダーは、まずは社内でセキュリティに対する意識を合わせてみてはいかがでしょうか。