セキュリティのデザイン：衣替えの時期

2021/12/16

サイバーセキュリティブログ記事一覧セキュリティのデザイン

筆者が「ナポリブルー」を意識して描いたサマージャケットのデザイン画

SOMPO CYBER SECURITYのフェローで服飾などのデザインも趣味の熱海徹が、これからの情報システムやセキュリティに関するデザインについて、長らく務めた放送業界でのエピソードも交えながら記していきます。

アツミです
セキュリティの衣替え
プロフィール

アツミです

みなさん　こんにちは
SOMPO CYBER SECURITYの　熱海徹（あつみとおる）です。

熱海という苗字は珍しいと言われます。出身は宮城県仙台市ですが、確かに少ない苗字かと思います。講演の仕事が多く、自己紹介で名前を覚えてもらえるネタにしています。「あたみ」と書いて「あつみ」と読みます。時には「あつみ」と呼んで「あたみ」と書きます。など、冒頭の数分間で聴講者を引き付けられるかどうかが成功のカギだからです。

さて、現在６２歳。４０年近くNHKの技術者として働いていました。エンジニアとしての経歴を持っていますが、実はアナウンサーになりたく勉強した時期もありました。もちろん無理でしたが、マイクに向かってしゃべるのが好きだったのと、何か派手な仕事にあこがれていたからです。学生時代にアマチュア無線の免許取って、マイクに向かっていたので勘違いしたのでしょう。基本、機械いじりが好きな少年でした。また、ラジオが好きで地元ラジオ放送局（民放局）の歌合戦に応募し、決勝まで行って負けた経験をしています。中学生の時でしたが、ラジオから生放送で流れたものを録音するのを忘れ、幻の記憶です（残念）。布団に入ってから深夜番組を聞きリクエストはがきを何枚も書いた記憶があります。また、遠くの放送局を受信してベリカードを集めるのが好きな少年でした。

歌ったタイトルは、フィンガー５の「学園天国」。サテライトスタジオで歌いましたが、良く出来たなーと感心しています。講演活動が活かされているのもこの経験のお陰かもしれません（自画自賛）

セキュリティの衣替え

さて、本題に入ります。今日から紹介するコラムですが、４０年近いNHK生活のエピソードも交えて、これからの情報システムやセキュリティに関するデザインについてお話をしていきたいと思います。

連載の全般としては全く堅苦しい内容にはなりませんが、お茶とお菓子を食べながらゆっくりお読みください。よろしくお願いします。実は趣味のひとつに絵を描くことがあり、最近はタブレットに向かって風景画を描いています。結構うまそうに書けるのがいいですね。

さて、今日は経営者向けに少し厳しいお話になります。　

世の中のスタイルがコロナ禍に本当に変わりましたよね。テレワークを中心とした形が当たり前のようになってきています。その中で従来のセキュリティ対策が変化に対応できているとは思えません。特にセキュリティ担当者の業務量は増える方向にあります。新しいスタイルには経営層が本気で取り組んでいるのでしょうか。

従来の境界型セキュリティ対策では、外から入ってきたものを入口で確認し、万が一内部に入った場合でも検知できる機能を持っていましたが、リモートワークやクラウドが中心となり、急速なDX推進に舵取りをした企業は、さまざまなセキュリティリスクが顕在化したように思えるのです。しかしそのリスクを知りながらもコロナ禍の中では急ごしらえの対応をせざるを得なかった企業も多かったのではないでしょうか。

今まで出来なかったことがコロナ禍の中で実現できたのだから、否定するものではありませんし、このタイミングは、新しいビジネスに切り替える時期でもあったかもしれません。調子のいい話ですが、セキュリティ対策の見直すチャンスととらえるほうが自然という人も多いのです。

一方、テレワーク推進のため情シスの役割が重要になったとは思いますが、経営者側の役割は、重要な資源を確保するための、新しいセキュリティ投資は考えているのでしょうか。情シスからの報告に反応しているだけでなく、積極的なセキュリティ投資をしていく時期に来ていると思います。事実コロナ禍の中でもサイバー攻撃の脅威は増大しています。セキュリティ対策に重大な不備や欠陥があれば、自社のみならず顧客や取引先にまで大きな被害を及ぼし、会社そのものの信頼を失墜してしまいます。攻撃者のほうが上手だということに気づかなければなりません。つまり経営目線でのリスク対応が必要だということです。

境界型のシステムには投資をしていると思いますが、今後は、攻撃を受ける前の対策と受けてからの迅速な対応に目を向けるべきと考えます。

以前講演かコラムの投稿で侵入されることを前提に「検知」や「対応」への注力を高め、素早い対処によって影響を最小化するアプローチが有効であることを言ったことがあります。

ゼロトラストという考え方もありますが、正しいと認めた者を常に確認し続けることで、境界型セキュリティから離れるものですが弱点も存在しています。一度なりすまし等で侵入したものを見極めることの難しさがあり、運用面で問題点を抱えています。

ランサムウェア被害が急増し「暴露型」が目立っているのはご存じかと思いますが、あまり個人的な問題としてとらえられないことも問題です。

テレワークが急増し、職員の端末が踏み台にされていれば、調査に必要な通信ログも残っていないケースがあり、まさに急ごしらえで実施しているテレワークは気を付けるポイントと思います。正直ニュースになっていないランサム被害事例は結構存在しているような気がしてなりません。実際パソコンが壊れた状況と同じなため、被害を報告するに至っていないケースかと思います。しかし、この攻撃の恐ろしいところは、情報を抜き取っているため、違う形で会社本体への攻撃が来るということと、攻撃が継続していることが脅威なのです。

一度被害に遭った企業が再度狙われるケースは少なくありません。根本的な対応が出来ていないからです。攻撃者は一人の個人情報から会社組織構成を作り、攻撃の仕方をばらまき型から標的型攻撃に変化し本来の目的を行うことがあります。これらの動きを見つけて対策するには一般の情シス担当者では難しいと思います。OSINT情報やダークウェブ上のサイトを毎日調査することは不可能だからです。

以前の職場でイントラネットワークの侵害調査をしたことがあります。これは、過去のログを解析し、攻撃を受けていた箇所があるかを調査するものですが、ネットワーク上での弱点や、狙われやすい箇所、時期などが分かるものです。実際に攻撃にあって被害か確認されれば大事になりますが、幸い被害箇所がなかった記憶があります。実はこのような環境の可視化をすることや、ダークウェブサイトの調査実施を決めるには情シス担当者だけでは出来ません。経営者は、なぜ必要なのかを問う前に優先順位を認識すべきなのです。

セキュリティの検討は、情報システム部門やセキュリティ部門だけの問題ではなく、会社のリスク調査の一部として捉え、経営者が積極的に絡んでいく分野なのです。

サイバー事故に遭った企業ですが、事故直後には対策のための費用が掛かって大変です。しかし翌年から慣習に従って予算を削ってはいるのが実態と聞いています。まさに偶然の事故対応ですが、サイバーセキュリティ対策が、コロナ禍によるワークスタイルの変化で変えていかなければいけない部分といいましたが、今後の事業革新やDXを進める際にも、セキュリティ対策は後手に回る傾向があるため、何かが起きてからでは状況判断が複雑化してさらに被害が大きくなってしまう恐れがあることを認識して欲しいところです。

今までは、会社に攻撃されることを会社の規模から判断し、「うちは盗まれるデータがない」で済ませていましたが、これからは、被害は自社だけも問題でないことを知っていただけたでしょうか。DX推進は先のことと思っていても、周りの環境が急速に変化しています。

有事になって何をすべきかではなく、平時の時にどう予測して行動するかを議論するところから始めてみては如何でしょうか。

次回は、予算獲得に向けた成功事例とプレゼン方法についてお話をします。

また、お会いしましょう。

冒頭のデザインを基に完成した、ナポリブルーのジャケット