NTTコミュニケーションズ

Bizコンパス

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる
2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

著者 Bizコンパス編集部

Googleはなぜ5,000万ドルの制裁金を科されたのか

 中島氏に続けて登壇したCyberDD社(英国)代表(Director, CyberDD, UK)、大阪大学大学院工学研究科共同研究員である足立照嘉氏は、サイバーリスクは変化し続けており、その背景にあるテクノロジーの急速な進化について言及しました。

「ムーアの法則(半導体の集積率は、18カ月で2倍になるという指標)によって、コンピューターの性能は向上し続け、この20年で映画に描かれていたような世界が現実となりました。我々はその恩恵を受けているわけですが、同時に悪事を働く人たちも、テクノロジーの恩恵をフル活用しているのです」(足立氏)

 足立氏も中島氏と同様にサプライチェーンリスクがサイバーリスクにおける最重要課題の1つとし、サプライチェーンリスクが現実になったケースを挙げました

「欧米を中心に人気が広がる電動キックスケーターですが、2019年に中国製電動キックスケーターに脆弱性が見つかりました。悪用すれば、加速やブレーキといった基本操作をすべて遠隔で行うことができる非常に危険なものです。

 メーカーはこの脆弱性について『ソフトウェア開発部分は外注していたため、自社だけでは脆弱性の解決ができないと』と回答しました。これは自分たちが気をつけていても取引先からリスクが持ち込まれてしまうというサプライチェーンリスクが現実になった一例です」

 同様の事例は欧米だけでなく、日本でも発生しているといいます。

「近年の傾向として、レギュレーションの要件に委託先の評価が盛り込まれることが増えてきました。日本でも経済産業省が『サイバーセキュリティ経営ガイドライン』の中で、委託先のサイバーセキュリティへの対応状況を把握するよう求めています」(足立氏)

 サプライチェーンリスクを管理するために、さまざまな機関から提言がなされていますが、足立氏によれば、そのポイントは「データ保護」と「コンプライアンス」の二点が共通して語られているといいます。一方アメリカでは、ここに目を付けた “悪徳ビジネス”が増加していると指摘します。

「その悪徳ビジネスとは、セキュリティ対策が不十分な企業をリストアップし、片っ端から訴える、というものです。もちろんそのためのツールも存在しています。世界的に個人情報に対する関心が高まっていることを受け、その保護が不十分な企業を狙って訴訟を起こし、和解金をせしめるというわけです。

 アメリカでは既に特許権侵害訴訟を上回る勢いで、セキュリティ侵害訴訟が提起されています。そして、ヨーロッパでもドイツを始めこういった事例が数年前より増えてきています。昨年にはEUで共通化されたGDPR(EU一般データ保護規則)が施行されたため、同じ手口を横展開できるようになっています」(足立氏)

 EU域内の個人情報保護を目的とするGDPRが施行されてから、最初の8ヶ月間で95,000件以上の苦情申し立てが行われました。その1つとして、フランスの監督当局から5,000万ユーロもの制裁金を科されたのがGoogleです。

「Googleは多額の制裁金を科されましたが、事故を起こしたわけではありません。消費者がGoogleのやり方は適切ではなく、人権の侵害であると苦情申し立てを監督当局に起こし、その主張が認められて5,000万ユーロもの制裁金が科されたのです。この件のポイントは事故を起こしていなくても適切ではなく“リスクを生じさせる可能性”があれば、制裁金が科されるということなのです」(足立氏)

SHARE

関連記事

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

2021.01.08

セキュリティ対策に求められる新たな視点第20回

ゼロトラストで“リモートワークをオフィス並み”にセキュアにする方法

日本のセキュリティリーダーシップに求められる3つのこと

2020.12.14

IT&ビジネス最新ニュース第89回

日本のセキュリティリーダーシップに求められる3つのこと

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

2020.12.11

セキュリティ対策に求められる新たな視点第19回

DXが進むほどリスクは高まる?エンドポイントで始める新たなセキュリティ対策

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

2020.12.09

セキュリティ対策に求められる新たな視点第18回

なぜゼロトラストは、リモートワークで増加中の「なりすまし」を防ぐのか?

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

2020.11.30

IT&ビジネス最新ニュース第83回

ランサムウェア攻撃の経験から何を学ぶか–ソフォス調査

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

2020.11.11

セキュリティ対策に求められる新たな視点第17回

NFLabs.に聞く「セキュリティのトップガン人材」の育て方

アフターコロナ時代のITインフラは「SASE」がカギを握っている

2020.10.30

DXを加速させるITシステムの運用改革第31回

アフターコロナ時代のITインフラは「SASE」がカギを握っている

通信の“異常”から見る新しいAIマネージドソリューションとは

2020.10.23

セキュリティ対策に求められる新たな視点第16回

通信の“異常”から見る新しいAIマネージドソリューションとは

なぜニューノーマル時代に「ゼロトラストモデル」が求められるのか

2020.10.16

ニューノーマル時代のネットワーク技術革新第2回

なぜニューノーマル時代に「ゼロトラストモデル」が求められるのか