サイバー攻撃による被害が相次いで報じられています。なかには「自社には、狙われるような情報はないから大丈夫」と考える方もいるかもしれませんが、サイバー攻撃者はそうは捉えません。脅迫する理由は後からいくらでも付けられるため、脆弱性が残り、容易に侵入できるシステムであればターゲットになることは十分想定されるのです。
国内のそのような背景から目線をグローバルに向けると、経営層も関与する形で脆弱性の管理・対策に取り組む動きが広がっています。このレポートではKPMGコンサルティング(以下、KPMG)のサイバーセキュリティ担当パートナーである澤田 智輝とテナブル・ネットワーク・セキュリティ社(以下、テナブル社)のカントリーマネージャーである貴島直也氏のコメントを踏まえながら、企業がどのように脆弱性管理に取り組むべきかのポイントについて、3回にわたり紹介していきます。
被害相次ぐランサムウェア、影響は社会全体に
「ランサムウェア」と呼ばれる悪意あるソフトウェアに感染し、企業の重要なデータやシステムが稼働不能な状態に陥り工場の稼働や決算業務に影響を及ぼす事態が生じるなど、サイバー攻撃の影響はますます増大しています。海外では、大手パイプライン企業が被害に遭った結果ガソリン供給が不安定となり、人々の生活に影響をもたらした事件が報じられています。
このことからもわかるように、サイバー攻撃がもたらす影響はもはや一企業の問題にとどまることなく、社会全体や我々の生活にまで影響を及ぼしかねない状況です。新型コロナウイルス感染症(COVID-19)の影響でインターネットへの依存度が高まる中、今後もその傾向はとどまることがないでしょう。
こうした背景もあり、KPMGが世界各国のCEOを対象に実施したサーベイ(KPMG 2021 CEO Outlook Pulse Survey)によると、今後3年間の成長を阻害する最も大きなリスクは何かという問いに対して、「サイバーセキュリティ」を挙げた経営者が最も多い回答となりました。「IT環境は社会のインフラとなっており、それを脅かすサイバーリスクが関心事になっています。」(KPMG 澤田)
グローバルな水準に基づく対策を
サイバーセキュリティリスク、たとえば昨今被害をもたらしている攻撃の原因をよく見ると、対策の立案や実装が事業部ごと、拠点ごとに縦割りになっており、そのギャップを衝かれてしまうケースが増えています。境界型防御で表門は固めていても、対策の手薄な海外子会社がまず侵入され、そこからグループ全体へ被害が拡散するケースが増えています。
「以前から、セキュリティも含めたITシステムをグローバルに統一し、ガバナンスを効かせようとする計画を立てている企業は多いのですが、言葉の壁もあり苦労されています。」(KPMG 澤田)
こうした課題に経営層はどのような指針を持って向き合うべきでしょうか。
1つは、「ITやサイバーといった言葉を聞いて及び腰になるのではなく、物理の世界になぞらえながらシンプルに考えていくことです」とテナブル社の貴島氏は語ります。
「重要な資産や設備を守るとき、壁を立て、警備員を配置し、鍵を付けてかつ、それが簡単に開けられないよう定期的に付け替えるのと同じようなことだと捉えると、サイバーの世界におけるセキュリティのあり方もすんなり理解しやすいでしょう。」(テナブル社 貴島氏)
もう1つは、目線を海外に向けることです。これからの企業はデジタル技術を活用し、海外のさまざまな企業と戦っていかなければなりません。セキュリティ対策についても、国内だけの比較から脱し、グローバルな水準と同等の守りを目指していく必要があります。「海外の競合他社とベンチマークをして、我々はしっかり対策できているかどうかを意識していく必要性があります。」(KPMG 澤田)
経営層の関与で脆弱性管理に向き合う文化を醸成
日本の対策と海外の対策との「ずれ」が顕著な領域の1つが、脆弱性対策です。たとえば米国では、金融当局が各金融機関に脆弱性対策を行うことを求め始めました。一方、日本では、そこまで対策が徹底しておらず、巧妙化するサイバー攻撃に狙われている形です。
しばしば「うちは機密情報を持っていないから」「うちのような小さな企業は狙われないから」と、脆弱性対策を先送りにしようとする声も聞かれますが、前述したように、攻撃者にとっては情報の価値や企業規模は2の次なのです。
「サイバー攻撃はますます巧妙化しています。特定の企業を標的にする場合もありますが、脆弱性対策が放置されている企業を標的にする攻撃も増えています。つまり、機密情報の有無ではなく、簡単に攻撃できる脆弱性の有無が標的にされる基準へと変わってきています。」(KPMG 澤田)
その一例が、テレワークで広がったVPN機器の脆弱性を狙った不正アクセスです。事業継続のため、リモート接続環境を止めるわけにはいかないと脆弱性対策を後回しにした企業が、残念ながら狙われてしまうケースが増えています。「サイバー攻撃はグローバル規模で脆弱性対策ができていないところを探し出し、最も弱いところを狙ってきます。国内の競合他社もまだやっていないから大丈夫、とは言えないでしょう。」(KPMG 澤田)
ここまでの考察から、「脆弱性を放置しない」というルールを定め、拠点も含め企業全体でしっかり対応していくことが必要であり、なおかつ、経営層のコミットの元で進めていくことが重要であることがわかります。なぜなら、確実な脆弱性対策を企業の文化として植え付けていくには、経営層の関与が不可欠だからです。
「現場には、❝とにかくシステムを止めてはいけない❞という可用性信仰があり、少しでも止まるとすぐ❝どうなっているんだ❞と電話がかかってきます。つまり、セキュリティ対策よりも可用性が優先される文化の中では、パッチの適用を先送りしたり、または当てない方針に傾きがちです。その文化を変えていくのは、やはり経営層の仕事の1つです。」(KPMG 澤田)
自社がセキュリティに対してどのように向き合っていくか方針を定め、社員の意識をその方針に向かわせていくには、まず経営層が脆弱性対策にしっかり向き合っていく必要があるでしょう。
もう1つ、投資計画のあり方という点でも経営層の関与は不可欠です。セキュリティに限らずITシステムへの投資全般に言えることですが、工場など生産設備への投資と同じ考え方で初期投資を行い、それで事足れりとしてしまいがちです。
しかし、サイバー攻撃はどんどん進化しています。その攻撃に追いつき、向き合うには、一時的な投資で終わるのではなく、継続的な投資・運用を行うことが重要です。その意味でも、CAPEXからOPEXへという流れを経営層がしっかり理解していくことが、セキュリティ対策のベースとして必要でしょう。
サイバー攻撃に関するさまざまなニュースが世間を騒がせていますが、経営層がやるべきことはシンプルです。CISOなどのセキュリティ担当者に「自社にはどんな資産があり、その重要なシステムにはどのような脆弱性があるのか。今すぐ対策が必要なのか」を確認し、自社が確実に脆弱性を管理できているかを判断することです。もし若干の不安が残るような場合は、外部の信頼できるアドバイザーに相談することも有効な選択肢の1つでしょう。