2016年3月15日掲載
サイバー攻撃の被害数も被害規模も増大傾向にありますが、その対策への投資は必要不可欠でありながらリターンを生まないため、経営者が率先して指示することが必要となっています。つまりサイバー攻撃対策はもはや経営課題なのです。経営者の指示で現場が対策を実施する、つまり全社で取り組む課題なので、誰もがサイバー攻撃に関するポイントを押さえておく必要があると言えます。
埼玉県にある従業員約280人のEMS(Electronics Manufacturing Service)企業、YMC電子工業(仮名、以下YMC)。同社の顧問ITコンサルタントである美咲いずみ(仮名)は、週はじめのシステム部門の定例ミーティングに参加した後、同社の山田昭(仮名)CIO兼システム部長の相談を受けるという形態のコンサルティングをしている。
進捗報告や課題管理など定期報告の後、山田はため息交じりにこう言った。「実は社長からCISOに任命されてしまってね」
「何ですか? そのCISOって?」と、山田の片腕と自他ともに認める真鍋勇(仮名)課長が即座に反応した。
「“Chief Information Security Officer”の略だよ。日本語にすれば、『最高情報セキュリティ責任者』だ」
ため息交じりだったのと「されてしまった」というネガティブな言い方だったのを見逃さなかった木村美佐子(仮名)主任が質問する。「それが、どうして重荷なんですか?」
「結構面倒くさいんだ、これが。いや企業が社会的責任を果たすうえで必要なことだから『面倒くさい』という言い方は不適切だと思うのだが…」
この後の山田の話を簡単にまとめるとこうだ。
昨年(2015年)の12月28日、つまり正月休みの直前に経済産業省から「サイバーセキュリティ経営ガイドラインを策定しました」というニュースリリースが発行された。「なんで、こんな年末に」と思いながらも目をとおしたら、こんなことが書いてある。
「サイバー攻撃は増加傾向にあり、その手口は巧妙化しています。(中略)そこで、企業戦略として、ITに対する投資やセキュリティに対する投資等をどの程度行うかなど、経営者による判断が必要となっています」
「経営者による判断が必要」ならば、これは社長に報告すべきだと、経産省のホームページから「サイバーセキュリティ経営ガイドライン Ver 1.0」という32ページのPDFファイルをダウンロードして印刷し、社長に渡しておいた。
年明けになって社長から「とにもかくにもCISOというのを任命しないと始まらないので、昭、おまえがやれ」ということになったのだと言う。
理由は「ほかにいないから」という単純明快で反論のしようがないものだった。ちなみに社長の山田勝は山田CIOの叔父である。気安い口調はそのためだ。
さて「サイバーセキュリティ経営ガイドライン」には、「情報セキュリティ対策を実施するうえでの責任者となる担当幹部(CISO等)に指示すべき「重要10項目」というものがあるのだが、これがどの項目を取っても一筋縄ではいかないことばかりなのだ。
たとえば項目3には次の内容が記載されている。
「経営戦略を踏まえて守るべき資産を特定し、セキュリティリスクを洗い出すとともに、そのリスクへの対処に向けた計画を策定すること」
さらりと書いてあるが、これがどれだけ大変なことか。守るべき資産を特定するためには、当然ながら全資産を洗い出すことを先にしなければならない。どれだけの工数がかかるかを考えるだけで気が遠くなりそうだ。
問題は手間ひまだけではない。セキュリティへの投資は、守りの投資である。被害のことを考えると実施せざるを得ないが、お金をかけてもリターンがない。つまり売り上げや利益にはつながらない。
だからこそ、どこまでやるかを経営者が判断しなければならないのである。そして経営判断のための材料を出すのもCISOの仕事だ。とにかく大変な役割だといえる。
なお「サイバーセキュリティ経営ガイドライン」の詳細はほかの文書にまとめたので、ここでは割愛する。
運用担当の宮下浩二は、山田の困った様子がついついおかしくなってしまい、ニヤッとしてしまったのだが、こういうときに限って山田と目が合ってしまう。
山田は少し怒気を含んだ声で「宮下くん、笑っているけれど、一番たいへんなのは君なんだぞ」と言う。確かに運用担当の宮下は大変に違いない。
さらに山田は言う。「いや。宮下くん以外は油断しているようだが、そうでなくても人が少ないんだ。全員で協力しあって体制を作らないといけない」
そして、山田は高らかに宣言した。「だから、社長、CISOの私、および君たち情報システム部員全員で『サイバーセキュリティ対策本部』を設立することになった。よろしくお願いします」
「ええ~」全員の声が会議室に響く。
そのとき会議室のドアが開き、咳払いが聞こえた。全員が振り向くと、そこには社長がいたのである。
「なぜ社長が…」と驚きを隠せない真鍋がつぶやく。
社長が答えた。「私から説明しよう。『サイバーセキュリティ経営ガイドライン』にこうある。『経営者とセキュリティ担当者、両者をつなぐ仲介者としてのCISO等からなる適切な管理体制の構築』をすること。そこで、経営者である私とCISOの山田CIO、そして君たち『セキュリティ担当者』が一堂に会する時間を作るように、私から指示したのだよ」
山田CIOは無言で頷いている。相談なしに決められたこととはいえ、社長自らが率先して体制に入っているので、情報システム部員も従うしかない。
山田CIOが続ける。「ということで、毎週定例会の後に『サイバーセキュリティ対策本部』の全体会議を実施することになった。まだできたばかりでこのような体制だが、以後ユーザー部門やグループ企業、あるいはパートナー企業からも出席してもらうことになるだろう。とはいえ、我々自身がサイバーセキュリティについて知らないのでは話にならない。そこで美咲いずみさんを講師として『サイバーセキュリティ勉強会』を開催することにした。美咲さん、よろしくお願いします」
いずみは簡単に挨拶を済ませると、さっそく本題に入った。
「サイバーセキュリティについて考えるためには、まずサイバー攻撃の手口を知らなければいけません。宮下さん、どんな手口をご存知ですか?」
「えーと。DoS攻撃というのは聞いたことがあります」
「ほかにご存知の方はいますか?」
木村が手を挙げた。「標的型メール攻撃というのを聞いたことがあるわ」
「僕は身代金ウイルスというのを聞いたことがあります」。運用委託先である伊達システムズ(仮名)からの常駐要員である高橋正弘(仮名)が発言した。
「いろいろ出てきましたね。サイバー攻撃の手口は日々新しく開発されていますが、いくつか典型的なパターンがあります。それを見ていくことにしましょう」といずみは言い、ホワイトボードに以下のとおり書き込んだ。
プログラムのぜい弱性につけこむ
巧妙な手口でだます
「大きく2つ、プログラムのぜい弱性につけこむ方法と、巧妙な手口でだます方法に分けることができます。ただし、明確に分けられるわけではありません。しいて言えばこのように分けられるということです。
代表的な手口としてはまず7つを知っておけばいいでしょう。昔からある攻撃法が『改良』されて今に至っているものもあります。もちろん、私たちから見れば『改悪』ですけれど。これぐらいのパターンを知っておけば、どのような対策が必要か見えてくると思います」
「私にも分かるように頼むよ」と山田社長がリクエストすると、いずみはニッコリ笑って「もちろんです」と答えた。
まとめ
日立システムズは、システムのコンサルティングから構築、導入、運用、そして保守まで、ITライフサイクルの全領域をカバーした真のワンストップサービスを提供します。