最近は益々、ICTの重要性が増してきている。既にご存知の通りだが、DX(デジタルトランスフォーメーション)への取組みや、RPA、AI、IoT、XR・・・・・などテクノロジーやソリューションなどの進化も速く、今後もビジネスや社会に大きな変化をもたらすに違いない。
その様な中、サイバーセキュリティにおける事故も多く発生している。個人情報漏洩に関しては2018年に約561万人分、被害総額は約2,700億円にもなり、増加傾向である。また、情報漏洩に限らず、標的型攻撃や不正利用など、サービスそのものへの妨害、IoTやAIなど新しいテクノロジー分野でのセキュリティ脅威などをトレンドとして押さえておきたい。
日本はセキュリティ後進国?
総務省の令和元年版情報通信白書によれば、日本は、CISO設置状況、セキュリティ計画の計画スパン、サイバーセキュリティ人材充足度について、いずれも諸外国に比較し劣後している。原因分析は他に譲るが、先に述べたDXを推進する動きから分かる様、デジタル化の余地が多くあり、セキュリティ対応の成熟化もこれからと言える状況である。
DX時代のセキュリティに必要な3つの取組み
では、セキュリティ対応に取組むポイントはどこにあるのか?
以前よりガバナンスというコンテキストの中でも語られてきており、セキュリティポリシーや組織体系などの対応をしてきた企業も多く存在する。無論、その様なものも重要ではあるが、ここではDX推進でも課題とされる、“当たり前”だが必要な3つの取組みを改めてあげる。
(1)経営層の理解
先日、とあるプロジェクトで「今回のセキュリティ対応で、どれだけ強化されたのか経営陣に説明したいため、数値で成果を表して欲しい」とリクエストを受けハッとした。機器や設備の老朽化による刷新対応の一環でセキュリティ対応を行っているが、セキュリティ自体の必要性は理解しているものの、どの様な対応をすれば良いのかコンセンサスが得られていない状況であったのだ。
何よりも先に、経営層のセキュリティへのリーダーシップやコミットメントが必要だ。そして、少し地道な取組みだが、自社のリスクアセスメントを実施し、ICT全体のセキュリティリスクを可視化することが第一歩である。リスクアセスメントのリファレンスモデルは様々存在するが、初期段階では余り重たくならない様な工夫も検討したい。
リスクの可視化では物足り無い、または納得できない場合、Red Teamテストを利用する手もある。一般の企業ではシステムを守るTeam(Blue Team)しか存在しないが、システムを攻撃するTeam(Red Team)を設置し、実際に攻撃をしかけてシステムの穴を見つけ、対策に繋げるテストである。セキュリティ専門会社などもサービスとして提供しているが、大手SNS会社などは自組織でRed Teamを抱えているケースもある。百聞は一見に如かず、1つの選択肢として考えてはどうか。
(2)セキュリティ人材の育成
自社内でのセキュリティ人材育成も、重要な取組の1つであろう。先に述べた様に、デジタル化は急速に進みつつあり、構成要素となるアプリケーション、インフラ、ネットワークなどの知識無しには適切な対応ができない。システムのフルアウトソーシングするにしても、判断を伴う場合もあり、自社内に目利きの存在が必要であろう。ただ、この様な人材はすぐには育成できないため、中長期での育成計画を立てると良い。
米国EC-Council社が実施しているCEH(認定ホワイトハッカー)という資格は、攻撃できるスキルは防御に役立つという理念のもとに設計されたものであり、実効的な防御を検討可能なセキュリティスキルを持つ人材育成の目標の1つとして紹介しておく。
(3)ビジネス設計段階からの取組み
ビジネスの設計段階など、より上流の工程からセキュリティ設計を進めるべきである。最近のICTサービスは、ユーザ体験を最適化するUXデザインなどの取組みも多く行われているが、ニュースで取り上げられる様なセキュリティ事故が起これば、たちまちそのサービスは潰れる。デジタルサービスは安全でなければいけないのだ。
記憶にも新しい昨年、ローンチからわずか3か月で終了に追い込まれた某小売業の決済サービスは、経営層のセキュリティ軽視、および上流からセキュリティ設計を上手く実施できていない典型例であり、反面教師として心に留めておきたい。
最後に
今後は、サプライチェーンの中でデジタルサービスやデータの連携なども一層活発になり、セキュリティは自社に閉じた課題ではなく、社会的責任も大きくなることが予測される。重要な経営課題の1つにあげ、安全安心な社会を作って頂きたい。