Bizコンパス

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる
2019.12.25

セキュリティ対策に求められる新たな視点第9回

企業はサイバー攻撃を排除できない。でも、リスクの管理はできる

著者 Bizコンパス編集部

Googleはなぜ5,000万ドルの制裁金を科されたのか

 中島氏に続けて登壇したCyberDD社(英国)代表(Director, CyberDD, UK)、大阪大学大学院工学研究科共同研究員である足立照嘉氏は、サイバーリスクは変化し続けており、その背景にあるテクノロジーの急速な進化について言及しました。

「ムーアの法則(半導体の集積率は、18カ月で2倍になるという指標)によって、コンピューターの性能は向上し続け、この20年で映画に描かれていたような世界が現実となりました。我々はその恩恵を受けているわけですが、同時に悪事を働く人たちも、テクノロジーの恩恵をフル活用しているのです」(足立氏)

 足立氏も中島氏と同様にサプライチェーンリスクがサイバーリスクにおける最重要課題の1つとし、サプライチェーンリスクが現実になったケースを挙げました

「欧米を中心に人気が広がる電動キックスケーターですが、2019年に中国製電動キックスケーターに脆弱性が見つかりました。悪用すれば、加速やブレーキといった基本操作をすべて遠隔で行うことができる非常に危険なものです。

 メーカーはこの脆弱性について『ソフトウェア開発部分は外注していたため、自社だけでは脆弱性の解決ができないと』と回答しました。これは自分たちが気をつけていても取引先からリスクが持ち込まれてしまうというサプライチェーンリスクが現実になった一例です」

 同様の事例は欧米だけでなく、日本でも発生しているといいます。

「近年の傾向として、レギュレーションの要件に委託先の評価が盛り込まれることが増えてきました。日本でも経済産業省が『サイバーセキュリティ経営ガイドライン』の中で、委託先のサイバーセキュリティへの対応状況を把握するよう求めています」(足立氏)

 サプライチェーンリスクを管理するために、さまざまな機関から提言がなされていますが、足立氏によれば、そのポイントは「データ保護」と「コンプライアンス」の二点が共通して語られているといいます。一方アメリカでは、ここに目を付けた “悪徳ビジネス”が増加していると指摘します。

「その悪徳ビジネスとは、セキュリティ対策が不十分な企業をリストアップし、片っ端から訴える、というものです。もちろんそのためのツールも存在しています。世界的に個人情報に対する関心が高まっていることを受け、その保護が不十分な企業を狙って訴訟を起こし、和解金をせしめるというわけです。

 アメリカでは既に特許権侵害訴訟を上回る勢いで、セキュリティ侵害訴訟が提起されています。そして、ヨーロッパでもドイツを始めこういった事例が数年前より増えてきています。昨年にはEUで共通化されたGDPR(EU一般データ保護規則)が施行されたため、同じ手口を横展開できるようになっています」(足立氏)

 EU域内の個人情報保護を目的とするGDPRが施行されてから、最初の8ヶ月間で95,000件以上の苦情申し立てが行われました。その1つとして、フランスの監督当局から5,000万ユーロもの制裁金を科されたのがGoogleです。

「Googleは多額の制裁金を科されましたが、事故を起こしたわけではありません。消費者がGoogleのやり方は適切ではなく、人権の侵害であると苦情申し立てを監督当局に起こし、その主張が認められて5,000万ユーロもの制裁金が科されたのです。この件のポイントは事故を起こしていなくても適切ではなく“リスクを生じさせる可能性”があれば、制裁金が科されるということなのです」(足立氏)

SHARE

関連記事

セキュリティ対策は「経営責任」とプロが断言する理由

2019.11.29

セキュリティ対策に求められる新たな視点第8回

セキュリティ対策は「経営責任」とプロが断言する理由

DMG森精機のOTセキュリティの取り組みとは

2019.10.11

セキュリティ対策に求められる新たな視点第7回

DMG森精機のOTセキュリティの取り組みとは

AWS導入を成功させるには、3つのフェーズの攻略がカギ

2020.04.03

DXを加速させるITシステムの運用改革第21回

AWS導入を成功させるには、3つのフェーズの攻略がカギ

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

2020.03.19

セキュリティ対策に求められる新たな視点第15回

NTTのCISOはどうやって経営にセキュリティを織り込むようにしてきたか

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

2020.03.04

セキュリティ対策に求められる新たな視点第13回

専門家「サイバーリスクがゼロにならないなら、検知と対応に注力すべき」

セキュリティの専門家が語る「2020の脅威」その傾向と対策

2020.02.14

セキュリティ対策に求められる新たな視点第12回

セキュリティの専門家が語る「2020の脅威」その傾向と対策

マルチクラウドの活用に必要なクラウドマネジメントとは?

2020.01.31

DXを加速させるITシステムの運用改革第19回

マルチクラウドの活用に必要なクラウドマネジメントとは?

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

2020.01.29

デジタルトランスフォーメーションの実現へ向けて第28回

「DXレポート」作成者が教える「2025年の崖」を乗り越えるポイント

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

2020.01.17

セキュリティ対策に求められる新たな視点第11回

台風が来ると、サイバー攻撃が増加!?高度化する手口の防ぎ方

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

2020.01.08

セキュリティ対策に求められる新たな視点第10回

サイバー攻撃は避けられない。だから「リスク移転」で自社を守る

人手が足りなくても、セキュリティレベルは高められる

2019.11.01

DXを加速させるITシステムの運用改革第12回

人手が足りなくても、セキュリティレベルは高められる