ランサムウェアのほかにも、標的型攻撃による機密情報の窃取やリスト型攻撃によるアカウントの不正利用など、企業に対するサイバー攻撃は止まる気配はありません。こうした脅威へのセキュリティ対策を企業が考える上で、伊藤氏がヒントとなると挙げるのがNIST(National Institute of Standards and Technology:米国国立標準技術研究所)が公表しているサイバーセキュリティフレームワーク「The Framework for Improving Critical Infrastructure Cybersecurity」(重要インフラストラクチャのサイバーセキュリティ改善のフレームワーク)です。
「このフレームワークのポイントは、検知や対応を重視すべきだとしている点です。サイバー攻撃を100%防御することが不可能ならば、攻撃を受けたことを即座に検知し、適切に対応することで、被害の拡大を抑えるために力を割くべきだとしています。

ただし防御から検知・対応へと言うのは簡単ですが、実行するのはとても大変です。防御はシステムを開発するフェーズで実現する範囲となる一方、検知と対応はその開発したシステムの運用フェーズで実現する範囲になります。つまり検知や対応のフェーズは開発担当者ではなく運用担当者が責任を負うものですが、日本ではさまざまな問題に突き当たることになります」(伊藤氏)
伊藤氏は、米国では一般的に社内のシステムエンジニアが開発から運用まで行うため、防御だけでなく検知・対応まで一貫して取り組むことに問題はないと述べます。一方、アウトソース中心の日本では、システムインテグレーターを使って開発を行い、運用も外部に委託するなど、開発と運用は別のシステムエンジニアが担当するケースが多いため、米国のようにシームレスに対応することが難しくなっていると指摘しました。
「これを解消するための、キーワードになるのがDevOpsです。これを提唱したのはFlickrのエンジニアで、『開発と運用は仲良くしようよ、ONE TEAMでやっていこうよ』というメッセージをDevOpsというキーワードに込めたのが始まりです。
そうはいっても、ONE TEAMにするのはすごく大変です。日本では運用業務は切り離した子会社化に委託しているといったケースも多くあります。開発と運用が一貫性のある体制に戻すのは大きな組織改革も伴うでしょう。しかし、これをやらなくてはセキュリティ対策は実現しません」
さらに伊藤氏は「Continuous Improvement」(継続的改善)が大切だと述べます。新しい脆弱性や脅威に迅速に対応するために、継続的に運用を改善できる体制を作る必要があり、そのためには予算の考え方も変えていかなければならないと話しました。
「従来、開発したシステムを5年間使うといった場合、たとえば初期費用としてシステム開発費用が30億円、リリース後、年間運用費用2億円が5年間で10億円、合計40億円をシステム予算として確保計上する、そういった考え方が一般的でした。しかし、運用費用は開発したシステムを維持するだけのコストです。もし新たなリスクが生じた場合は、対応するための新しい予算を確保しなければならず、とてもスピード感あるセキュリティ対策の実現は望めません。
今後は、セキュリティは脅かされるという前提のもと、それを織り込んだ年間予算を確保しておくべきです。このような予算の考え方に変えていかないと、検知・運用に必要な継続的な改善はできません」