もう見て見ぬふりは許されない！　あなたの会社は情報漏えいを未然に防ぐことができるのか？

サイバー攻撃などによる企業の情報漏えい事件・事故が相次いでいる。しかも営利目的の組織犯罪が増えており、企業の被害規模は巨大化しつつあるのが現状だ。いかにして企業はセキュリティ対策を講じていけばいいのだろうか。もはや経営者を先頭に全社一丸とならねばならない状況にあるのは間違いない。

「セキュリティはIT部門の問題」と他人事にするのは危険

　2014年は、企業の情報セキュリティをめぐる事件・事故が相次いだ。数千万件におよぶ顧客情報の漏えい事件や、ハッキング攻撃による大規模な情報漏えい事故など、世間を大きく騒がせた。さらには、その際の被害者に対する企業側の対応が大きな話題となり、セキュリティ事故が場合によっては企業の存続をも左右する大きな経営リスクであることが改めて浮き彫りとなった。

　企業の情報セキュリティと聞くと、「IT部門がしっかり対応すればいい」と思う方もいるかもしれないだろう。しかし、果たして本当にそうだろうか。今や情報セキュリティは単にIT部門だけの問題ではない。もし情報セキュリティ事故が起きれば事業が長期間の停止、巨額の賠償、信用の失墜、株価の暴落まであり得る。経営層や業務部門をも巻き込んだ重大な企業課題であると言えるだろう。

　その背景にはサイバー攻撃を仕掛ける側の目的や意識の変化があるという。2000年代前半ごろまでは、攻撃の目的は、どちらかというと攻撃者の技術力を誇示するための愉快犯が大半で、IT部門主導のシステム的な対策によって解決できるものが多かった。しかし2000年代後半から攻撃の手口がより高度化・巧妙化するとともに、その目的も単なる技術力の誇示ではなく、明らかに営利目的の組織犯罪へと変わっていった。

　例えば、「オレオレ詐欺」で考えると分かりやすい。組織的な詐欺を働く集団により対策が研究され、簡単には詐欺であると分からないように手法が日々巧妙化することで被害は減らない。企業を狙ったサイバー攻撃もそれと同様なのである。

　中でも標的型攻撃は、その最たるものである。実際に、近年のサイバー攻撃は明らかに特定の企業に狙いを定め、周到で念入りな準備を整えた上で、極めて巧妙な手口を使って企業ネットワークに侵入していく。そして、企業にとって重要な機密情報を盗み取った後は、それを転売するか、もしくは企業を脅迫する材料として使う。このように、高度に組織化された犯罪ビジネスと化しているのが、現代のサイバー攻撃による犯罪の実態なのだ。

　読者の皆さんの中にはこうしたサイバー攻撃による犯罪や事故を見て、未だに「対岸の火事」ととらえている人もいるだろう。しかし、メディアなどで報道される事件・事故は氷山の一角で、実際にははるかに多くの企業が気付かないうちにサイバー攻撃による被害をこうむっているかもしれない。それだけサイバー攻撃は巧妙化しているからだ。「わが社は大丈夫」と思っていても、既に重要な情報が盗み出されており、いつそうした実態が明るみに出てしまうか分からないのである。

　このような事態を避けるためには、まだ「IT部門だけの問題」と言っている場合ではないのではないか。経営上の重要課題ととらえ、今や経営者を先頭に全社一丸で情報セキュリティ対策に取り組むべきなのである。

業務部門に対する啓蒙活動を

　2014年は、多くの企業にとって情報セキュリティ対策をしっかり考えるきっかけの年となった。しかし、当たり前のことだが、気付いただけでは何の解決にもならない。企業の情報セキュリティやサイバー攻撃に詳しい、日立システムズ ネットワークサービス事業部 CSIRTセンタ センタ長の木城武康氏は、次のように指摘する。

日立システムズ ネットワークサービス事業部 CSIRTセンタ センタ長の木城武康氏

　「一口に情報セキュリティ対策といっても、企業内の立場によって受け止め方や意識の高さが異なります。例えば、経営層やIT部門がいち早く情報セキュリティ対策の重要性に気付き、意識を高めたとしても、具体的に何から手を付けていいのか分からないために、実際の対策がなかなか進まないというケースが多いです。逆に、業務現場の社員たちは、一般的に経営層やIT部門に比べ、セキュリティに対する意識が低いことが多い。従って、彼らにはセキュリティ対策の重要性について、基本的な事柄から啓蒙していく必要があります」

　啓蒙活動が必要な理由について、木城氏は企業の業務部門における現状を例に説明する。多くの企業でよく見られるケースは、社員が会社PCからUSBメモリを使って業務データを自宅に持ち帰り、自宅PCで作業しようとして情報漏えいしてしまったり、無断で会社PCにフリーソフトなどをダウンロードしてウイルス感染してしまったりすることである。こうした行為がいかに会社の情報システムに対するセキュリティリスクをはらんでおり、どれだけ深刻な事件・事故につながる可能性があるのかを強く認識するべきだと木城氏は言う。

※木城武康氏：日立システムズ　ネットワークサービス事業部 CSIRTセンタ センタ長 兼 ネットワークインテグレーション本部 第三部 部長。社外の活動として日本ネットワークセキュリティ協会 セキュリティ市場調査WGリーダーも務める。

全社横断的なセキュリティ専門組織を

　まずはこうした啓蒙活動によって社員のセキュリティ意識を高めることが大前提にある。その上で企業は具体的にどのようなセキュリティ対策に取り組めばいいのだろうか。ここで改めて強調したいのは、単にツールやシステムを入れればいいというものでは決してない。全社一丸でサイバー攻撃に立ち向かうためには、セキュリティ対策の専門組織を企業内で用意する必要がある。なぜなら、前もって綿密に準備しておくことが、万が一セキュリティ事故が起きた場合でも被害を最小限に食い止められることができるからだ。

　そうした観点で今、政府レベルの取り組みとして注目されているのが、組織内の情報セキュリティへの対応を一手に行う専門組織である「CSIRT」（シーサート）である。CSIRTとは、「Computer Security Incident Response Team」の略称。例えば、ウイルスに感染したPCが見付かった場合には、CSIRTが感染経路や感染範囲を調査したり、対処法を検討したりするなどセキュリティインシデントへの対応を行う。

　今までもセキュリティ対策部門組織を設けていた企業はあったはずだが、多くはIT担当者が中心で構成されていた。一方、CSIRTの特徴は、IT部門に加えて、業務部門や経営者などを加えた社内横断的な組織であることにある。

　例えば、IT部門以外からはどういったメンバーの参加が必要なのか。木城氏は営業や製造部門に加え、広報担当者や法務担当者を挙げる。なぜなら、例えば、万が一、情報漏えい事故が発生した後は、社内だけでクローズするとは限らず、社外の関係者や専門家と連携することも考えられる。その場合の対外的な窓口としての広報部門や、法律的な観点から対応する法務部門などの力が必要だからだ。

　このように、社内に「セキュリティに関する問い合わせはここ！」という窓口を一本化し、対策を組織的に集中して行う上で、CSIRTを企業内に設けることの重要性が、ここ数年の間でかなり叫ばれるようになってきた。事実、政府の情報セキュリティ政策会議でも、各府省庁がCSIRTの機能を保有することが求められ、これを受けた各省庁が企業に対してCSIRTの設置を推奨する動きが広まっている。

　とはいえ、いざCSIRTを組織して立ち上げようと思っても、そう簡単にはいかないのも実情だ。

　「CSIRTを立ち上げようと思っても、その運用をどうするのか。あるいは、社内でCSIRTに配置させるべきセキュリティの専門家がいない場合にはどうするのか。こうした点がネックとなって、CSIRTの必要性は痛感しつつも、実際にその立ち上げや運用にまで踏み出せない企業が少なくないのです」（木城氏）

企業のCSIRT運営を強力に支援

　こうした課題を抱える企業に対して、CSIRTの運営を支援しようというのが、日立システムズが提供する「SHIELDクラウドCSIRTサービス」だ。具体的には、ユーザー企業ごとに割り当てられたポータルサイトを通じて、企業に最適化されたセキュリティ情報を適切なタイミングで提供したり、問い合わせに随時答えたり、あるいは実際のセキュリティ対策に対する支援を提供したりする。

　このサービスの大きな特徴は、同社が挙げているキーワードである「OODAループ」（ウーダループ）という言葉に表されている。OODAループとは、恐らくほとんどの方にとって聞き慣れない言葉だと思うが、これは「Observe（監視）」「Orient（情勢判断）」「Decide（意思決定）」「Act（行動）」という一連のサイクルを、1日程度の短いサイクルで回すというプロセスのことを指す。なぜこのOODAループが有効なのだろうか。

　「セキュリティ対策のPDCAサイクルは半年から1年ほどの単位で回しますが、既にサイバー攻撃を受けている状況下では、そんな悠長なことは言っていられません。そこで、OODAループを素早く回すことでその場で迅速に適切な対応を行い、被害を最小化する必要があります。このOODAループの考え方は、近年多くの企業に評価いただき、導入されています」（木城氏）

OODAループの必要性（出典：日立システムズ）

　SHIELDクラウドCSIRTサービスでは、このOODAループの各プロセスに役立つ情報やサービスを適宜提供している。例えば、Observe（監視）のためには国内外のサイバー攻撃の情報や周辺状況に関する情報を、ポータルサイトを通じて適宜提供するほか、実際のセキュリティリスクの発生、あるいは発生する恐れがある場合には、具体的な対応策を適切にアドバイスする。これがOrient（情勢判断）のプロセスに当たる。さらには、実際に対策の行動を起こす際にはその支援サービスも提供する。

　さらには、こうした事後対応の結果を、未然防止のための各種取り組みにフィードバックする。「セキュリティ対策というと、どうしても何か起こった際の事後対応に目が行きがちだが、実際には全体の取り組みの8〜9割は未然防止のための取り組みなのです」と木城氏は話す。例えば、普段から関連するセキュリティ情報をチェックしたり、社員に対する啓蒙活動を行ったりということは、まさにこれに当たる。

　SHIELDクラウドCSIRTサービスは、こうしたCSIRTの取り組み全般に渡り、クラウドサービスを通じてきめ細かく支援するものだという。木城氏は、セキュリティ対策で最も大事なのは対策製品の導入ではなく、日ごろからの取り組みを継続することにあると指摘する。

　「セキュリティ製品を導入しっぱなしで放置していては、すぐに新たな攻撃パターンが登場して無力化してしまいます。大事なのは、脅威に対抗するための人的な体制を作り、その運用をきちんとしたプロセスに沿って回すことなのです」（木城氏）

　なお、日立システムズでは、製品や技術だけでなく人的なサポートも含めたサポート力と、日立グループや国内外のパートナー企業との長年に渡るセキュリティソリューションの開発、提供を通じて培った総合力を生かし、企業を強力にサポートしている。

　企業の情報セキュリティ対策は一朝一夕で実現できるものではない。被害を未然に防ぐための組織体制をあらかじめ設けておく必要があるし、変化し続けるサイバー攻撃などの手口にも継続的に対処しなければならない。決して楽な道ではないのだ。

　しかし、社員のちょっとした油断から起きた情報漏えいで会社そのものが吹き飛ぶ時代である。だからこそ、他人事ではなく、すべての社員が“自分事”として取り組んでいくべきなのだ。

提供：株式会社日立システムズ
アイティメディア営業企画／制作：Business Media 誠 編集部／掲載内容有効期限：2015年3月31日