現代において規制対応を含めたサイバーセキュリティは、社会活動を持続的におこなうために欠かせないもの。サイバーセキュリティに関する課題は絶えず変化しており、迅速且つ効果的におこなう必要があります。日本のサイバーセキュリティが抱える課題は何か?目指すべき未来像はどのようなものなのか? 明らかにすべきテーマは多岐にわたります。
JAC Digitalは去る2022年10月19日にサイバーセキュリティをテーマにしたオンラインイベントを開催しました。
当日は幼少期より世界各国の著名なホワイトハッカーと共にサイバーセキュリティに向き合ってきた、EYストラテジー・アンド・コンサルティング株式会社(EYSC)の最年少パートナーである西尾素己氏と、同社でグローバル規模でのコンサルティング提供や、サイバーセキュリティエンジニアリング担当パートナーを務める雨宮崇氏にご登壇いただきました。元日本マイクロソフト業務執行役員でJAC Digitalアドバイザーである澤円氏がモデレーターとなり、サイバーセキュリティの動向やセキュリティコンサルタントとしてのキャリアの魅力、グローバルプロジェクトやコラボレーション事例から見えてくるキャリアパスなど、同社で働く面白さについて伺いました。
本記事は当日のレポートの前編として、「ビジネス化」するサイバー犯罪の現状と、企業のセキュリティ部門が取り組むべき課題とプロセスを中心にまとめました。
※ 本記事は2022年10月19日にJAC Digitalが開催したオンラインイベントを一部抜粋・再構成したものです。
<講師紹介>
EYストラテジー・アンド・コンサルティング株式会社
ストラテジックインパクト パートナー
Geoeconomics Strategy(経済安全保障/サイバーセキュリティ政策)リーダー
西尾 素己氏
幼少期より世界各国の著名ホワイトハッカーと共に互いに各々のサーバーに対して侵入を試みる「模擬戦」を通じてサイバーセキュリティ技術を独学。 セキュリティベンダーにてサイバー攻撃への対策技術についての基礎研究に従事した後、大手検索エンジン企業等を経てEYSCのパートナーに史上最年少で就任。変化が目まぐるしいサイバーセキュリティ課題を、経済安全保障の一環として捉え、包括的な経営課題解決を支援。
テクノロジーコンサルティング サイバーセキュリティ パートナー
エンジニアリングリード
雨宮 崇氏
複数のIT業界最大手でのマネジメントを経て、コンサルティング業界へ転身。
ソフトウエア、ネットワーク、イーコマース業界にて日本部門代表やAPACの代表を務め、その後サイバーセキュリティ業界にてオペレーション全体周りの責務に着手。前職のPwCではオフェンシブ・ディフェンシブを統合したエンジニアリング組織を構築し、新しいマネージドサービスをリリース。
現在はグローバル規模でのカバレッジ構築、そしてサイバーセキュリティのライフサイクルパターンに沿ったサービス提供のスキームをリリースすべく取り組んでいる。
株式会社圓窓
澤 円氏
元日本マイクロソフト株式会社業務執行役員。立教大学経済学部卒。生命保険の IT 子会社勤務を経て、1997 年、日本マイクロソフト株式会社へ。IT コンサルタントやプリセールスエンジニアとしてキャリアを積んだのち、2006 年にマネジメントに職掌転換。幅広いテクノロジー領域の啓蒙活動を行うのと並行して、サイバー犯罪対応チームの日本サテライト責任者 を兼任。2020 年 8 月末に退社。2019 年 10 月 10 日より、(株)圓窓 代表取締役就任。
現在は、数多くの企業の顧問やアドバイザーを兼任し、テクノロジー啓蒙や人材育成に注力している。美容業界やファッション業界の第一人者たちとのコラボも、 業界を超えて積極的に行っている。テレビ・ラジオ等の出演多数。Voicy パーソナリティ。武蔵野大学専任教員。
1.登壇者自己紹介
澤氏:企業の経営や国家の運営において、サイバーセキュリティの概念は不可欠なものになってきている一方で、とにかく人材は足りていません。裾野を広げ、活躍の場を知ってもらうためにこの場をセッティングしました。まずはお二人から、簡単な自己紹介をお願いします。
雨宮氏:私自身のバックグラウンドは、ずっとサイバーセキュリティ領域だけに関わっていたわけではありません。eコマースやネットワーク、ソフトウェアの企業を経て、いろいろなカルチャー・技術を体験しながらEYSCに入社しました。今はサイバーセキュリティ領域で、オフェンシブとディフェンシブ、両方のエンジニアリングチームをマネジメントしています。
西尾氏:私は雨宮と対照的に、常にサイバーセキュリティに取り組んでいました。プログラマーとしてベンチャーに入社したことからキャリアを始め、セキュリティベンダーでアンチウイルスエンジンの基礎研究や、スマートフォンのカーネルのゼロデイ脆弱性の発掘などに取り組んでいました。専門性のベクトルを別方向に移したいと思い、6年ほど前からコンサルティング業界にいます。今は経済安全保障という大きな枠組みの中で、経営とサイバーセキュリティをどう結びつけるかという考え方を世の中に提供しています。
2.ビジネス化するサイバー犯罪
澤氏:経営とサイバーセキュリティの結びつきという話が出てきました。経営者の方にサイバーセキュリティの重要性を伝える際には、どのようにお話しているのでしょうか。
雨宮氏:サイバーセキュリティをないがしろにして、何かトラブルが起きてしまうと、マーケットで損失を被るだけでなく、ブランドイメージの低下にもつながることを伝えています。お客さんが数年単位で離れてしまうような「見えないコスト」も含め、サイバーセキュリティへの投資の何倍ものダメージがあります。
西尾氏:世の中で報道されているようなサイバー攻撃は、すべて失敗例であるということをお伝えしています。いかに気付かれずに情報を盗み、活用することで競合として成長するかがサイバー攻撃においては重要ですから、情報が漏洩したことが明るみになってニュースに出ている時点ですべて失敗といえます。
一方で、最近のゲームチェンジャーであるランサムウェアは、侵入してファイルをロックしたことを伝え、身代金を要求する手法です。請求が明示的なので、製造業であれば1カ月工場が止まったらいくら損失が出るかなど、被害を具体的な数字に換算できます。(※1)米国ではランサムウェアの警告に屈して身代金を払った場合、違法行為になるというステートメントが出されました。米国に法人がある場合、ランサムウェアに対応しない場合は、完全に違法行為になる状況がある(※2)、といった切り口からもお話をします。ときには「うちは一度もサイバー攻撃を受けたことがない」とおっしゃる方もいますが、それは検知ができていないだけだと考えた方がよいでしょう。
※1 解決までに1カ月間、生産ラインが止まった場合、その損失と、提示されている身代金を支払ってすぐに復旧できることを天秤にかける、といった試算のこと。
※2 米国に法人を持つ日本企業が、ランサムウェアに対して身代金を支払った場合には、米国法において違法行為となる可能性があります。
澤氏:今のサイバー犯罪は、過去にあった愉快犯のような手口から、完全にビジネス化してきていますよね。アイデアの柔軟性には、悪い意味で感心してしまいますし、だからこそ多様な手口が生まれてきているのだと思います。
3.時代に応じて変わる攻撃手法
澤氏:いま業界で注目されている技法やソリューションはありますか?
西尾氏:リモートワークの影響で、ゼロトラスト(※3)が注目されています。
※3 社内外のネットワーク環境における、従来の「境界」の概念を捨て去り、守るべき情報資産にアクセスするものはすべて信用せずにその安全性を検証することで、情報資産への脅威を防ぐという、セキュリティの新しい考え方。「ゼロトラストモデル」とも呼ばれています。
澤氏:社外でも繋がっているインターネットを、企業インフラとして使うITのあり方ですね。在宅勤務におけるセキュリティは、しっかりと考える必要がありそうです。
雨宮氏:リモートワークの普及に伴って、社内からファイルを持ち出したり、ゼロトラスト環境ですでに内部に入られていたりといった犯罪も流行しました。今のSOC(Security Operation Center、サイバー攻撃の検知や分析を行い対策する組織)では検知できない不審な動きや、普通の社員が行うはずのない動作(内部犯行)といった潜伏している脅威をログデータを分析して兆候を見つけていくソリューションやそれらの動きをルール化して、自動化して検知度を上げて対策していくソリューション等は、今後も需要が増していくと思います。
澤氏:昔ながらのウイルスが残っていたり、古い脆弱性が攻撃されたりすることもあるのでしょうか。
雨宮氏:そうですね。古い機器の脆弱性が見つかると、ダークウェブではそこを攻撃するためのノウハウ(手順書)などが販売されたりしています。投稿フォームに回数制限を設けていなかったせいで、DDoS攻撃を受けてしまうような事件も、いまだに発生しています。
澤氏:すべての攻撃を防ぐことは現実的ではありませんが、少なくとも世の中にある防衛手段を取り入れるのは当然のことですよね。
4.社内の体制と意識を変える
澤氏:企業がサイバーセキュリティに取り組むとき、何から始めればよいのでしょうか。
西尾氏:企業の体制や意識から変える必要があると考えます。たとえばCISO(最高情報セキュリティ責任者)が独立しておらず、CTOと兼務している場合には、それぞれの観点から牽制しあえないので、企業ガバナンスとして疑問が残ります。考えがあってCTOと兼務にしている場合、CISOが独立しなければいけない理由を丁寧に説明したうえで、企業のガバナンスモデルに応じたフィッティングを行います。クライアントの役員陣や運用体制が整っていなければ、私たちが一時的に関わったとしても、プロジェクトから抜けた後に元どおりになってしまうこともあり得ますので欠かすことはできません。
雨宮氏:ヘルスケアやエネルギー、金融や製造業など、それぞれの業界ごとに守りたいものがあるはずです。業界ごとに特化したランサムウェアなども現れており、SOCの監視をすり抜けてしまうものもあります。どれほど最新のツールを入れたとしても、確実に被害を受けないことはないと意識したうえで、自分たちが大切なものをどう守っていくかを考えなければいけません。
5.企業を「守る」サイバーセキュリティ
澤氏:会場から質問が来ています。「社内で情報システム全般を担当しています。企業の経営層がセキュリティに対して理解がなく、予算が捻出できない場合や、社員教育の体制が取れない場合、どのような方法で理解を得ればよいでしょうか」とのことですが、いかがでしょう。
西尾氏:セキュリティの知識がない人からすれば、コストを割いてまで取り組むことに疑問を持つのは当然ですから、理論武装する必要があります。ランサムウェアで生じる具体的な被害額や、過去に風評被害を受けた企業の事例などを紹介してみてはいかがでしょう。飛び道具としては、有事の際に株主から経営陣に対して下る評価などを引き合いに出すのも、投資判断を迫るためのひとつの方法になると思います。
また、社内の意識を変えることも重要です。国内外の「NIST SP800-171」などの基準は、善管注意義務としてサイバーセキュリティに取り組まなくてはいけないことの旗印になります。ビジネス上必要な対策であることを伝えれば、各部署の意識が変わり、セキュリティ対策に納得して取り組んでもらえると思います。
雨宮氏:記者会見の場で担当者が自分の言葉で語れないと、バッシングを受けることがありますよね。逆に、きちんと説明できると賞賛されることもあります。セキュリティへの関心の有無によって、世の中からの目線がどう変わるか、どういったインパクトを生むかは共感しやすいポイントだと思うので、そうした危機感に対する気付きを提供するのも有効です。
西尾氏:セキュリティに関わる役員にとっては、サイバーセキュリティへの投資は自分たちの身を守ることにもつながります。もし私がCISOになったら、取れるだけの予算をとって、何も起こらないようにすると思います。こうした動きが起こらないのは、CISOが独立して存在しないからでしょう。
澤氏:セキュリティへの投資を怠ったがゆえに、社外から質問攻めやバッシングに合うリスクがあるわけですね。お金で買える安全なのであれば、早めの対策を行った方がいいですよね。
6.過去の対応から企業のレベルを測る
澤氏:もうひとつ質問が来ています。「転職先企業のセキュリティレベルを見極める方法はありますか?」とのことですが、いかがでしょう。
雨宮:セキュリティ企業への転職に対しては、過去に対応したインシデントへのレスポンスを掘り下げて聞いてみてください。攻撃を受けた後の対策としてポリシーの再設定や再発防止対策だけで終わるのか、攻撃を仕掛けてきたグループの正体や次の可能性、その他の脆弱性まで掘り下げてクライアントにアドバイスを提供しているのか、などです。いかにクライアントのことを考えて、どのようなアドバイスをして、どのような調査結果を出したかを聞くだけでも、セキュリティ企業のレベルがわかると思います。
一般企業にセキュリティ担当として関わるのであれば、その会社の現在のセキュリティ運用や、守るべき資産がどこにあるかを聞いたうえで、今の悩みがセキュリティのオペレーションにあるのか、それとも誤検知が多いのかといった、技術的なレベル感をヒアリングしてください。そうした質問によって、企業の現在の成熟度や今後の目指すべき方向性、そしてそれに対して自分がどのように貢献できるのか、キャリアを伸ばしていけるかという感覚が掴めてくると思います。
トレンドとして注目されているサイバーセキュリティ。企業の経営の中でも重要性が増していますが、共通課題としての認識はまだまだ完璧とは言えません。コンサルタントがサイバーセキュリティ領域で担う役割について、後編ではさらに掘り下げていきます。
これからのサイバーセキュリティとキャリアパス(後編)/ 経営とサイバーセキュリティを架橋するコンサルティング
