「サイバーセキュリティ後進国」の日本に求められる4つのリスクマネジメントとは? 2023年のセキュリティトレンドも紹介

昨年12月、政府がサイバー攻撃を未然に防ぐための法整備に乗り出し、有事でなければ対応できない現行法を改め、攻撃の兆候の探知や発信元を特定する「能動的サイバー防御」を実現することが明らかとなった。昨今、病院や大学、民間企業を狙ったサイバー攻撃の被害が相次いでおり「サイバーセキュリティ後進国」と言われる日本で、セキュリティ対策が進む見込みとなっている。

サイバーセキュリティへの意識が高まりつつある一方で、サイバーセキュリティ人材がおよそ5万6000人不足している((ISC)2「2022 Cybersecurity Workforce Study」)とされる日本では、どのような対策が求められるのだろうか。今回、セキュリティ対策の専門家であるインテリジェント ウェイブ(IWI)サイバーセキュリティ プリンシパルエンジニアの手塚弘章氏に、日本に求められる4つのリスクマネジメントや今年のセキュリティトレンドについて聞いた。

近年、病院や大学、民間企業を狙ったサイバー攻撃の被害が相次いでいる。大阪急性期・総合医療センター、名古屋大学と岐阜大学を運営する東海国立大学機構、空調設備の施工を行う菱機工業は昨年、ランサムウェアという身代金要求型のウイルスによるサイバー攻撃を受けた。こうした状況を踏まえ、IWIの手塚氏は、日本に求められるリスクマネジメントとして、(1)サイバー脅威を絶えず考える風土を作る、(2)情報や業務の重要レベルに応じたネットワーク構成やシステム構成、(3)最悪の状況(ブランドが失墜する、事業が継続できなくなる等)を前提に判断を下す、(4)株主からの理解を得る--の4つを挙げた。

「サイバー脅威は、組織内の限られた部門のみで対策するものではない。いくら強力なツールを導入したとしても、一人が脅威にさらされてしまえば、組織全体に被害が及ぶ可能性がある。そのため、対策ツールを導入するだけでなく、トップが『サイバー攻撃を受けるとどういうことが発生するか』を唱え、組織全体でサイバー脅威に対して意識することが重要になる。また、マネジメント層や担当レベルにおいても、サイバーリスクに気づいた場合は、組織内で発信して周りに気付きを与える仕組みが必要だ。そのうえで、適切な体制やインシデント時のレポートラインを整えてほしい」と、サイバー脅威に対して組織全体で常に意識することが大切なのだと訴える。

2つ目のリスクマネジメントについては、「取り扱う情報や業務によって、セキュリティの対応レベルを設定し、それに応じたネットワーク構成やシステム構成を行うことで、リスクを抑えることができる」と説明。「例えば、経営に関わる情報を『最重要』、受発注に関わる情報やシステムを『重要』、メールでのやりとりを『通常』というレベルで分け、(1)アクセスできる人を制限する。ID管理を徹底して、アクセス権限を見直す、(2)各レベル間でのネットワークを分離する(低いレベルからは経営レベルにはアクセス不可など)といった対応を取る方法がある」とアドバイスしてくれた。

3つ目の「最悪の状況を前提に判断を下す」では、「サイバー攻撃を受けると、情報が流出したり、稼働させているシステムが止められてしまったり、事業継続に関わるリスクがある。影響が大きい場合、その内容を開示する必要や、ニュース等で大きく報道されることもあり、企業のブランドや信頼性が大きく下がってしまうことが考えられる。その結果、事業が継続できなくなってしまうケースもあるため、最悪の事態を想定に入れながら、サイバーリスクに対して取り組む必要がある」との考えを示した。

4つ目のリスクマネジメントについては、「SDGs、ESGの取り組みと同様に、株主に対しても企業がサイバー被害を受けると事業継続ができなくなり、投資が無駄になってしまうという危機感を持ってもらうことが重要だ。SDGsとESGの取り組みと同じレベルでサイバー脅威対策を発信し、セキュリティへの投資によって企業が長期的に利益を生み続けることに大きく貢献していると理解してもらえるように働きかけてほしい」と、株主からの理解を得ることの重要性を強調した。

今年のセキュリティトレンドについて聞くと、「2022年で増加したランサムウェア、サプライチェーン攻撃、脆弱性を持つOT機器を狙った攻撃は、引き続き今年も増加していくと考えられる。その要因の一つが、サイバー攻撃を行うことの難易度が下がっていること。RaaSとよばれるランサムウェアをサービスとして提供する形態によって、高度な技術を持たなくても、サイバー攻撃を仕掛けることが容易になった。その影響で攻撃の対象が増え、セキュリティ対策が十分でない組織については被害に遭ってしまう、あるいはその攻撃をきっかけに、サプライチェーンで大企業等に攻撃を横展開させることなども増えていくことが予想される」と、サイバー攻撃の被害はさらに深刻化する可能性があると予測する。

「企業がサイバーセキュリティのリスクを有価証券報告書で開示する動きが広がりつつあり、日本IT団体連盟によると昨年のサイバーリスクの開示比率は93%と、3年前と比較して35ポイント増と急増した(日本IT団体連盟「サイバーインデックス企業調査2022」)。サイバーリスクの影響や対策などを開示することによる、企業価値に与える影響は大きいとされており、今後開示を進める日本企業が増えると予想される」と、上場企業の「サイバーリスク開示」が広がっていくとの見解を述べた。

IWIは、主要な事業として、クレジットカード会社などの顧客に対して、カード決済処理を完遂するために必要なネットワーク接続やカードの使用認証等の機能をもつFEP(Front End Processing)システムの開発を行っている。中でも、IWIが30年前から開発する「NET+1(ネットプラスワン)」は、全国のセブン-イレブン、イトーヨーカドー、駅、空港などの2万5000台に及ぶATMのネットワーク制御にも採用されており、24時間365日止まらないシステムとして、現金の取引やクレジットカード決済の処理を支えているとのこと。

また、一般消費者が安心してカード決済を行えるよう、不正検知システム「ACEPlus(エースプラス)」も開発しており、大手カード会社をはじめ豊富な導入実績がある。「不正を止めることは犯罪を止めること」。こうした意識をもって、現場の開発社員も業務に臨んでいるという。

このように決済インフラにおいて、IWIは、生活者が安心安全にキャッシュレス決済を行ううえで必要不可欠な役割を担っている。また、そのほかの事業として、金融機関向けの市況情報配信基盤の開発や、あらゆる企業に向けた情報セキュリティ対策製品の開発、販売を行っている。

インテリジェント ウェイブ=https://www.iwi.co.jp/