政策と産業の最新動向を伝え、解説する“クオリティペイパー”


「サイバーセキュリティイニシアティブ2016」より

「ビジネスプロセスとしての対策とリーダーシップ」

立石本部長

立石本部長

●モデレータ
独立行政法人情報処理推進機構(IPA)技術本部長
立石 譲二氏

●パネリスト
東京電機大学教授・NISC補佐官
佐々木 良一氏

NATO・CCDCCEE
ジャン・プリサル氏

NISC内閣参事官
三角 育生氏
立石 サイバー攻撃が身近な脅威になりつつある。これにどう立ち向かうのか?そのヒントをそれぞれの分野の一流の専門家にお集まり頂いたので、皆様とディスカッションしていきたい。
まず始めに、「敵を知る」ために、脅威の実態の真相把握が重要である。特に、最近のサイバー攻撃の特徴は、攻撃を受けていることすら感じさせなく、多くの企業が実感のないまま被害を受けている。
サイバー攻撃の報道事例をみると、標的型サイバー攻撃が圧倒的に増えてきているのがわかる。PwC (プライスウォータ―ハウスクーパー)社が調査したセキュリティインシデント発覚ルートによると、グローバル企業はサーバやファイアーウォールのログ分析やDLP(データ消失防止ツール)やSIEM(セキュリティイベント相関ツール)などを活用し、攻撃を受けた事態を自ら発見しているのに対し、日本企業の場合は大半が発覚ルートをわからず、外部からの指摘で初めて事件に気がつくという恐ろしさがある。
近年では、日本年金機構への標的型攻撃があり、国家のサイバーセキュリティ戦略を見直すきかけになった象徴的事案である。
標的型で送られてきたメールを「開封するな」といっても難しいので、侵入された後の緊急対応が重要になってきた。「多重防護」の考え方やリスクをどう見積もるか、このケースを参考に考えてみたい。

佐々木教授

佐々木教授

佐々木 年金機構の問題を考えたときに、不正メールの見極めが本当にできるのか。よく出来た標的型メールが多い。誰か一人添付ファイルを開いてしまうと感染が全体に拡大する。空ける確率を低く抑えたとしても、使う人数が多ければ感染は確率的に広がってしまう。
入口対策だけでは不十分であるため、「多重防護」が必要なのだが、この考え方をすると完璧だと思いがちになる。しかし、リスクは決してゼロにはならない。従って、コスト分析をしてどれが有効かを計る「イベントツリー分析」と「ディフェンスツリー分析」を組み合わせて、我々はリスク低減効果を考えている。
事象の発生から時系列順にどのような事象に発展するかを分析する。発生確率×損害によりリスクを計る。このようなリスク評価が有効であり、取り組むべきであろう。

立石 国家レベルでサイバー攻撃を受けた経験と教訓をお伝え下さい。

プリサル氏

プリサル氏

プリサル 当時、複雑なサイバー攻撃を受け、対応できるレスポンスも限られていた。そこから得た教訓は、攻撃のターゲットは社会のプロセスであり、戦場は複雑であることだ。世界の行方を見ると、攻撃は洗練度を増し、多くの標的型攻撃のスキルもあがっている。先日、中国のサートのプレゼンを聞いたが、数千というさまざまなDosがあると聞いている。日本はサイバーの世界では最も安全な国での1つで、平均の5分の1位である。フィンランドは4分の1、エストニアは2分の1くらいである。しかし、標的型攻撃が脅威であることに変わりはない。

立石 日本企業はこれらの脅威に対し、いかに立ち向かうべきか?

三角参事官

三角参事官

三角 企業にはミッションがあり、それをどうやって達成するか?その時点でリスクをいろいろ抱えており、その1つとして、サイバーセキュリティの割合が大きくなってきている。企業のICT化がコスト削減から製品サービス、顧客やステークホルダーとの関係、重要インフラともなると、社会的責任が出てくる。高度なリスクに対し、経営判断が求められてくる。どう取り組むかが重要だ。
サイバーセキュリティ対策に上手に取り組んでいる企業は評価され、競争力になると我々は考えている。ビジネス戦略を考えるにあたり、どう取り組むか?活用していくか?いかに付加価値を生むように取り組む中で、社会的責任、法的責任、株主に対する責任など、トータルなリスク管理が求められている。戦略の中でも、ビジネスストラテジーとしてしっかりとした意識改革が必要と書いている。

パネルディスカッション「ビジネスプロセスとしての対策とリーダーシップ」

パネルディスカッション「ビジネスプロセスとしての対策とリーダーシップ」

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <img localsrc="" alt="">