竹内氏 現在多くの企業では、グローバルに市場を捉えて事業を拡大していく、または新たな価値を創造していくといった取り組みが進められています。特に昨今ではデジタルトランスフォーメーションがキーワードになっていますが、その背景にはセキュリティリスクも伴います。このような昨今のセキュリティ対策について、NHK情報システム局、そしてICT-ISACの2つのお立場でご活躍されている熱海様にお話を伺いたいと思います。熱海様はどのような背景からセキュリティに深く関わるようになったのでしょうか。
熱海氏 私は技術職員としてNHKに30数年間勤務していて、2013年に情報システム局に異動しました。セキュリティについて考えるきっかけになったのは、異動する1年前に海外のテレビ局が標的型攻撃を受けた事件です。同様の攻撃を自分たちが受けるとどうなるのかと危機感を持ち、2015年にセキュリティ対策チームを立ち上げることになりました。現在はICT-ISACに出向し、放送業界全体のセキュリティについて考えています。
竹内氏 ICT-ISACは通信事業者や放送事業者、ソフトウェアベンダーなどが会員となり、業界の枠を越えてセキュリティ確保のために連携する組織ですね。
熱海氏 そうですね。サイバー攻撃に迅速かつ効果的に対応するために、攻撃情報の共有などを目的として企業間で連携を行っています。いずれかの企業でインシデントが発生した際、単独では仮に防御が成功するとそこで終わってしまいます。しかし防御に成功した事例を有効活用し、ISACを通して情報共有を図れば、ほかの企業でも同様のインシデントに対応できます。これがISACの大きな役割になっています。
ISAC(Information Sharing and Analysis Center)とは
竹内氏 熱海様は現在のようにセキュリティにかかわる以前、ヒューマンエラーを低減するための取り組みを進められていたと伺いました。それはセキュリティにおけるリスク低減にもつながる話ですよね。
熱海氏 私たちの放送の現場でも機械によるエラーは当然発生しますが、それを人がバックアップするときにミスを起こしてしまう、あるいは知識不足やうっかりミスに起因する人為事故が多発していた時期がありました。その中で私が気になったのは、それぞれの職場での情報の伝達です。
セキュリティに置き換えて話すと、「この会社にマルウェアがたくさん来ています、みなさん注意しましょう」と周知するのは本当に適切でしょうかということです。何が一番危険で、自分のところに何が来ているのか。そういったことを知らずに、果たして自分たちは何に気を付けるべきか、何を守るべきかを把握することは難しいでしょう。
ヒューマンエラーでもセキュリティインシデントでも、周知を的確に行い、何に注意すべきかという目的が明確になれば結果は変わります。このように自己責任で取り組む環境を生み出すことができれば、リスクを低減できるというわけです。
竹内氏 単に危ないから気を付けろというのではなく、具体的にどう危ないのかを周知し、それぞれが自分のことと捉えて取り組むということですね。
熱海氏 まさにそのとおりです。「セキュリティを守りましょう!」というスローガンを壁に張り出しても、一人一人の意識が低ければ達成できません。セキュリティリスクを低減するには、各々の人間が適切に脅威を認識し、スキルアップしていくことが不可欠だと思っています。
竹内氏 セキュリティにおけるリスク低減のために、NHK様で重視されていることを教えてください。
熱海氏 多層防御の考え方を採り入れ、さまざまなセキュリティ機器を利用していますが、それよりも基本に立ち返ったところで、どこでログを取得しているのか、ログが足りないところはないか、そういったことを考えるようにしています。マルウェアが侵入したときにどう対処すべきかに注目すると、やはりログの管理とチェックは重要です。自社でできないということであれば、外部の専門家に依頼することも検討すべきではないでしょうか。
竹内氏 熱海様は多くのご講演をされていますが、その中でセキュリティリスクのマッピングが必要だとお話されています。その辺りについてお話を聞かせてください。
熱海氏 サイバーセキュリティの領域は膨大で、リスクの種類も数多くあります。その中で、自社にとって絶対に見過ごすことができない、重要分野を選び出すことが大切なポイントとなります。それによって脅威の対象を絞り込み、バランスを取ってアプローチすることが可能になります。
ここ数年、大規模なサイバー攻撃がたびたび発生していますが、その被害の種類はさまざまで、データの窃取や妨害工作、あるいは風評被害を受けるなどといった事例が挙げられます。それらを分類し、もしそのような被害を受けたとき、自社にどのような影響を及ぼすのかをモデル化する。自社にもっとも影響の大きいものは何かを判断し、優先順位を決める。このようにリスクの内容に応じて脅威の対象を絞り込むことは、リスク低減を考える上で有効でしょう。
竹内氏 リスクに対して重み付けを行い、影響度や発生確率を分かりやすくマッピングすれば、リスクに対するアプローチを考える上で有効ですよね。また、そうしたリスクを管理する上では、PDCAサイクルを回すことも重要になると思います。
熱海氏 脅威への対応は、絶対にその場しのぎでやるべきではありません。つまり、PDCAサイクルを回してきっちり管理しましょうということです。その中でも、特に強調したいのはチェックの重要性です。
単体の脆弱性が1つあったとして、それを仮に解決しても、本当にマルウェアに感染するかどうかは分かりません。そのため、時間をかけてしっかりチェックを行い、Actに回して次の計画につなげていく。このようにPDCAサイクルを回し、セキュリティ対策を進めていくべきだと思います。
竹内氏 一方、攻撃手法はどんどん巧妙化しているため、ちょっとした異変に気付いて対応することが必要になっています。その小さな異変に気付く力を付けるためには、どのような取り組みや考えが必要でしょうか。
熱海氏 私はセキュリティ対策に完璧はなく、侵害すべてを回避する術はないと思っています。そのため、サイバーインシデントの対策や方針を練り、定期的なシミュレーション演習を通じて計画を検証し続けることが必要です。
さらにインシデント対応計画では、会社全体を巻き込むことが非常に大事です。ITやセキュリティの専門家が対策に力を入れても、社員が十分にセキュリティの重要性を認識していなければ努力が無駄になりかねません。サイバーセキュリティの最前線にいるのは、実はこの社員一人一人です。その社員が油断することなく、用心深く侵害を速やかに通報すれば、大抵の被害は軽減できるでしょう。
竹内氏 ありがとうございます。最後にサイバーセキュリティにおける情報共有の価値について伺えますか。
熱海氏 情報共有では、とにかく発信することが大事です。そのため、こんな情報を流したら迷惑を掛けるのではと考えて発信をためらうといったことがないようにしたいですね。その上で発信された情報を仕分けする仕組みがあり、情報を受け取る側にとって役に立つ形で提供する。将来的には、仕分けの自動化やAIの活用といったこともあり得るでしょう。こうした取り組みにより、各企業が連携してサイバー攻撃を防御することにつなげていければと考えています。
これからのリスクマネジメントに要求される5つのポイント
竹内氏 組織間の情報共有を活性化し、チームで守っていく、そういった考え方がこれからは重要になっていくのは間違いなさそうですね。熱海様、本日はありがとうございました。
※掲載されている内容は公開日時点のものです。
※掲載されているサービスの名称、内容及び条件は、改善などのために予告なく変更することがあります。
