「第2回:サイバー攻撃の情勢」はこちら>
「第3回:企業へのサイバー攻撃――手法の変化と“搦手”の防御」はこちら>
「第4回:システムの何が狙われるのか?」はこちら>
事前に「セキュリティ脅威」を十分に検討することが重要
個人情報の“流出”事故が発生した際に、責任者が謝罪するシーンをご覧になった人も多いかもしれませんが、「想定外の事態」などの常套句で片付けられることはできません。DXを推進する際も、サイバー攻撃を含むさまざまな事態が発生することを、組織の責任者は事前に想定すべきです。
単に「デジタル化」や「システムの更新」を行うことがDX推進の最終目標ではなく、ビジネス(業務)やサービスの変革・効率化の手法としてDXがあるはずです。予算や人員に限りがあるかもしれませんが、DX推進時に限定したプロジェクトの体制のみ構築するのではなく、DXが完了し定常状態に移行した際の体制までも視野に入れて、計画を立てる必要があると思います。
「ビジネスモデルの変革」ばかりに目が行ってしまい、セキュリティをないがしろにするのは論外です。しかし、かと言ってガチガチの「セキュリティ最優先」で、使い勝手のすこぶる悪いシステムを構築してしまったら、何のためのDXかわからなくなってしまいます。
最初に、現状の業務・システムを調査した上で、将来のビジョンやロードマップを策定する段階において、必要なセキュリティ対策を盛り込むことが必要です。DXの投資効果を見積もる際にも、継続的にセキュリティを確保するための予算も含めて検討することが望まれます。
自社のシステムだけでなく、関連会社やクラウドサービスなど、外部サイトのセキュリティも確保する必要があります。
また、DXを推進するためにシステムを開発したり更新したりする際にも、適切なセキュリティが確保されているかどうかをチェックすることが必要です。
大企業の場合、システムの構築や更新作業を事業部ごとに行っているかもしれませんが、企業全体を統一的なポリシーでカバーしておかなければ、事業部間を接続するネットワークなど、思わぬところにセキュリティホールが隠れている可能性があります。
セキュリティ対策のすべてをアウトソーシングすることはできない
人員確保の問題などから、情報システムの運用・監視を外部に委託されている企業も多いかもしれませんが、可能であれば社内にCSIRT(シーサート:Computer Security Incident Response Team)やセキュリティ指導・監査のための組織を構築しておくことをお勧めしたいと思います。
セキュリティ対策のすべてを外部委託することは、コスト面での比較だけの問題ではなく、外部に任せることで、企業の幹部社員のセキュリティ意識が希薄になる恐れがあるからです。情報漏えいなどが発生した際に「その(セキュリティの)問題は外部にアウトソーシングしています」という言い訳が通用するでしょうか?
クラウドサービスや子会社のシステムも含めたトータルな情報システムの障害発生や攻撃を受けるリスクについて想定し得る限り洗い出し、実際に発生した際の被害の波及範囲や状態について見積もり、組織内に周知する必要があります。それは、情報セキュリティ面の「ハザードマップ」的なものかもしれません。
平素から自らの手でセキュリティリスクを洗い出し、対策を考える。この地道な取り組みが、組織のセキュリティ確保につながるのではないでしょうか。
「異常」な状態が把握できるのか? それをどこに(だれに)知らせるのか?
「ファイルが開けない」「電源が入らない」という事態に遭遇すると「故障かな?」と思い、ひとまずシステム管理担当部署・担当者に連絡するという人が多いかもしれません。しかし、最近のマルウェアなら、感染してもPCの動作が鈍くなることもなく、利用者が気づかない間に、ほかのPCやサーバに攻撃パケットを送付しているかもしれません。
「ちょっと調子が悪い」という程度なら、そのままPCを使用し続ける人が多いのではないでしょうか。外部の人から「迷惑メールが届く」「ウイルス付きのメールが届いた」「Webサイトが閲覧できない」などの苦情を受けて初めてサイバー攻撃の被害を認知する、という事態は避けたいものです。対外的に批判を受けることで、企業の信用・信頼感が失墜する事態にもつながります。
あらかじめ被害が発生することを前提にリスクを洗い出し、発生する可能性のあるセキュリティインシデントの種類や症状、その症状が見られた場合の連絡先(担当部署)などについて、全員に周知しておく必要があります。
的確な対処は「焦らない」ことから
「マルウェア感染によりファイルがロックされた」という状態なら「サイバー攻撃を受けた!」と思うかもしれませんが、そうでないケースでは、利用者は「障害?」と思い「障害受付」に連絡するのではないでしょうか?
「障害受付」で「これはサイバー攻撃かな?」と判断され、CSIRTのようなサイバー攻撃への対処に特化した部署に回されると、また最初から症状を説明しなければならない場合もあります。ワンストップサービスではありませんが、障害受付を兼ねたサイバー攻撃対処チームなど、速やかな連携が可能な組織の方が、迅速な事態対応を行うことが可能でしょう。もしもサイバー犯罪、サイバー攻撃による被害の可能性があれば、迷わず警察に速報をお願いします。
障害発生時と同様に、「一刻も早く復旧しなければ!」と目標復旧時間(RTO:Recovery Time Objective)などを気にするあまり、セキュリティホールはそのままに、バックアップしていたシステムやデータによりサービスを復旧してしまい、復旧直後に同一手法によるサイバー攻撃を受けた――そんな事例も多々あります。焦らずに被害拡大や被害の再発を防止することが重要です。
「第6回:突然、セキュリティ担当者に指名されたら?」はこちら>
羽室英太郎(はむろ えいたろう)
一般財団法人保安通信協会 保安通信部長(元警察庁技術審議官、元奈良県警察本部長)
1958年、京都府生まれ。1983年、警察庁入庁。管区警察局や茨城・石川県警などでも勤務、旧通産省安全保障貿易管理室(戦略物資輸出審査官)、警察大学校警察通信研究センター教授などを経験。1996年に発足した警察庁コンピュータ(ハイテク)犯罪捜査支援プロジェクトや警察庁技術対策課でサイバー犯罪に関する電磁的記録解析や捜査支援などを担当。警察庁サイバーテロ対策技術室長、情報管理課長、情報技術解析課長などを歴任し、2010年12月からは政府の「情報保全に関する検討委員会」における情報保全システムに関する有識者会議の委員も務めた。2019年より現職。著書に『ハイテク犯罪捜査の基礎知識』(立花書房,2000年)、『サイバー犯罪・サイバーテロの攻撃手法と対策』(同,2007年)、『デジタル・フォレンジック概論』(共著:東京法令,2015年)、『サイバーセキュリティ入門:図解×Q&A【第2版】』(慶應義塾大学出版会,2022年)ほか。