セキュリティーは経営の最優先課題、カギを握る3つの「C」とは？

2016年5月26日、「IBM Watson Summit 2016」で「セキュリティーは企業経営における最優先課題」をテーマにパネルディスカッションが開催された。デジタル化とグローバル化を推し進め、企業が競争力を高めるためにいかにサイバー・セキュリティー施策に取り組むべきかを議論した。

[PR／ITmedia]

PR

　2016年5月25日、26日の2日間に渡り、日本アイ・ビー・エム（日本IBM）主催のイベント「IBM Watson Summit 2016」が開催された。コグニティブ・コンピューティングに関連したIBMのさまざまな技術や事例が紹介されたが、その中からパネルディスカッション「セキュリティーは企業経営における最優先課題」を紹介する。

巧妙化する攻撃、先ずは可視化から

　サイバー・セキュリティーへの脅威がますます深刻化する中、企業は現状をどのように認識し、どんな手を講じるべきなのだろうか。

　セキュリティー事業全般を統括するとともに、最高情報セキュリティー責任者（CISO）として社内施策の責任者も務める、日本IBM 執行役員 セキュリティー事業本部長の志済聡子氏、日本IBMが顧客に提供するセキュリティー関連サービスを統括する立場にある、日本IBM セキュリティー事業本部 セキュリティー・サービス・デリバリー 理事の我妻三佳氏、そしてモデレーターのアイティメディア エグゼクティブエディター 浅井英二の進行により議論を展開した。

日本IBM 執行役員 セキュリティー事業本部長 志済聡子氏

　まず、サイバー・セキュリティー・リスクの現状について、両氏は攻撃手法の巧妙化や組織化、グローバル化、またドライブ・バイ・ダウンロードやランサムウェアといった近年の攻撃のトレンドなどを紹介しつつ、経営にとって最大の課題は「これらの攻撃が可視化されているかどうか」にあると指摘する。

　「弊社が実施した調査によれば、多く企業ではいまだに情報セキュリティーを経営課題と認識しておらず、あくまでもITの課題だと捉えています。"うちだけは大丈夫""できればセキュリティーのことは考えたくない"といった心理が働いているものと想像できますが、"そもそも攻撃を受けていることを知らない"というケースも意外と多いのです」（志済氏）

定期的な経営会議でサイバー・セキュリティーの脅威対策に関して議論はしているが、CRO、CMO、CHRO、CFOの議論への参画率は低い。

日本IBM セキュリティー事業本部 セキュリティー・サービス・デリバリー 理事 我妻三佳氏

　「少し前と比べれば、企業側が自社のマルウェア感染に気付くケースも増えてきているとの調査結果もありますが、まだ気付いていないケースの方が多いのが実情です。まずは、"自社も攻撃を受けているかもしれない"という意識を持つことと、攻撃を可視化できるITの仕組みの導入を検討することをお勧めしています」（我妻氏）

　こうした意識付けや対策と同時に、重要な取り組みとして両氏が挙げるのが、外部のセキュリティー関連組織や団体との交流や情報交換の重要性だ。感染に自社で気付くことは少なく、むしろ他の企業やセキュリティー団体、警察などからの指摘で初めて気付くケースの方が多い。志済氏は、「普段から業界ごとのセキュリティー関連コミュニティーや、セキュリティー団体などに社員を参加させて、コミュニケーションを取っていれば、情報をいち早く得やすくなります。少なくとも、ある日突然社外から指摘を受けて右往左往するようなことはなくなるでしょう」と指摘する。

IoT時代、後回しにできないセキュリティー

　業種・業態によって企業が取るべきセキュリティー対策の傾向に違いはあるのだろうか。情報セキュリティー対策にシビアな業界といえば真っ先に金融が思い浮かぶが、やはりこの業界では以前にも増して厳格なセキュリティー対策が今後も求められていくだろう。

　「金融業界、特に銀行ではこれまでも監督省庁の厳しい指導の下、非常に手厚いセキュリティー対策を施してきましたが、近年ではネットバンキングの不正送金被害が拡大の一途を辿っており、さらなる対策強化が叫ばれています。特に日本では欧米とは異なり、預金者のPCがマルウェアに感染して不正送金被害に遭った場合、銀行側が責任を負う必要があるため、より厳しい状況に置かれているといえます」（我妻氏）

　クレジットカード情報などお客様の情報を数多く持つネットビジネスを主な生業とするEコマース企業にとっても、セキュリティー対策は極めて重要事として受け止められている。近年では製造業における知財保護のためにも、欠かせない取り組みになってきている。このように、業界ごとにセキュリティー対策が求められる背景やその目的が異なる。

　「日本IBMでは、業界ごとの特性や法規制などを踏まえ、守るべき情報を明確にして優先順位付けをした上で、メリハリのある投資を行うことが重要だとお客様に提案しています」（我妻氏）

　また、やがて訪れるであろう「IoT時代」を迎えるに当たって、企業はこれまでとは異なる情報セキュリティーへのアプローチが必要となるだろうと両氏は述べる。

　「IoTの技術は運輸、電力、ガスといった社会インフラの領域はもちろん、一般家庭の中にも入っていきお客様に近付いてきていいます。ここにセキュリティーの脆弱性があると事故につながり、最悪の場合は人命に関わることも考えられます。進化するテクノロジーの流れは止められません。セキュリティー対策は製品開発と同時並行で行う必要があり、後手に回ることが絶対に許されません」（志済氏）

　「IoTを前提とした製品・サービスでは、設計段階からセキュリティー対策をしっかり組み込んでおく必要があります。これまでのエンタープライズITの製品・サービスの中にはビジネスの進化に注力し、セキュリティー対策が後回しにされていたものもあります。われわれも、これからはセキュリティー対策をきちんと組み込んだIT基盤づくりに貢献したいと考えています」（我妻氏）

セキュリティー対策、実は地道で継続的な取り組み

　志済氏は、日本IBMのCISOとして同社内のセキュリティー対策を統括する立場にある。日本IBMでは全社のセキュリティー委員会が設けられており、志済氏を中心に、各部門から選出された委員によって構成されている。このセキュリティー委員会は四半期ごとに全体会合を開いており、活動の報告や今後の活動方針などの確認が行われているという。

　ちなみに直近の委員会では、2016年の重点アクティビティとして3つの領域を定義している。1つ目が経営陣に向けた活動で、これは実効性のある備えを行うには不可欠な取り組みである。

　「インシデントを未然に防ぐ取り組みはもちろん行っていますが、一方で事件・事故をゼロにすることはできません。従って、何かあった際にいかに情報を共有し、素早く意思決定できるかが重要になります。そのためには、意思決定者である経営陣に継続的に脅威情報を共有してもらい、意識啓蒙に努める必要があると考えています。また、インシデント発生時に経営陣が取るべき対応のシミュレーションも実施していきます」（志済氏）

　2つ目の重点領域が、社員のセキュリティー意識向上の取り組みだ。海外も含めたIBM全社のセキュリティー情報を広く社内で共有し、既に取得済みであるISMS認証の実効性を強化する取り組みを通じて、現場におけるセキュリティー意識を底上げするとともに、常に高いレベルを意識するような施策を講じていくという。

　そして3つ目が、顧客情報の保護だ。SIサービスや運用サービスを通じて顧客企業の現場に深く入り込むことが多い同社では、顧客に関するさまざまな情報を手にする機会が多い。そうした情報が決して外部に漏えいしないよう、顧客情報取り扱いのベースラインを確保するとともに、プロジェクトにおけるセキュリティー課題や対応を全社で共有する仕組みを構築するという。

　こうしてみると、日本IBMが志向するセキュリティー対策は、テクノロジー系はもちろん、人間系も重要視していることが分かる。この点について我妻氏も「セキュリティー対策は、システムやプロセスを導入して終わりではありません。それをその後、継続的にPDCAサイクルをまわしながら、覚悟を決めて運用し続けることが大事です。そのためには、トップ層の高いセキュリティー意識が欠かせません」と述べ、実効性のあるセキュリティー対策のためには人間系のスキルも欠かせないことを強調する。

グローバルの知見を生かす3つの「C」

　では、こうしたセキュリティー施策を企業が打っていく上で、IBMはどのような支援策を提供できるのだろうか。「セキュリティー・ベンダーとしてのIBM」は20年にもわたって世界中の企業にセキュリティー・サービスを提供してきた、世界屈指の強力な支援体制を保有している。

20年にわたるセキュリティー・ベンダーとしてのIBMが誇るグローバルレベルの支援体制。

　同社のグローバルレベルのセキュリティー・サービス体制は、大きく2つある。1つが「IBMセキュリティー・オペレーション・センター（SOC）」だ。世界10箇所の監視拠点から、133カ国・4000社の企業の約2万台の機器を、24時間・365日体制で監視し、顧客企業に迫るセキュリティーのリスクをいち早く検知できる体制を整えている。

　そしてもう1つが「X-Force」と呼ばれる、セキュリティー分野に特化した研究開発組織だ。世界9箇所のリサーチセンターで、1万5000人ものセキュリティー・エンジニアを擁しており、研究開発への投資額は年間15億ドル以上にも上る。

　このSOCの監視拠点と、X-Forceのリサーチセンターは東京にも設けられており、ここで得られた情報や知見は日本の顧客企業にいち早くフィードバックできる体制を整えているという。こうした体制をバックに今後、「3つの"C"」を柱に顧客にセキュリティー製品・サービスを提供していく。

　「1つ目のCは"Cloud"。エンタープライズITの世界では、今後ますますクラウドの重要性が増していくと予想されるため、弊社でもこれまで以上にクラウドセキュリティーに力を入れていきたいと考えています。2つ目のCは"Collaboration"。先ほど紹介したX-Forceで得られた知見や情報を、密接なコラボレーションを通じてお客様やパートナー様と広くシェアしていきます。そして3つ目のCが"Cognitive"です。現在、Watsonにセキュリティー関連の文献や知見を学習させており、今後はWatsonを中心としたコグニティブ・コンピューティングのセキュリティー分野での応用が広がることで、セキュリティー人材不足などの課題を解決できる道が開けるのではないかと期待しています」（志済氏）

大量のセキュリティー情報を解析する技術に、Watsonが加わることでさらに多様な分析が可能になる。

　我妻氏も、IBMのセキュリティー・ソリューションにおいて今後Watsonが果たす役割について、大きな期待を寄せているとう。

　「弊社では現在でも、世界中から取得した大量のセキュリティー情報を解析する技術を持っていますが、これにWatsonが加わることでさらに多様な分析が可能になり、来るべきIoT時代に予想される広範囲なセキュリティーのリスクにも十分対応できるようになると確信しています」

　今後ビジネスはさらに加速していくだろう。加速するためにはますますセキュリティー対策が重要になる。ビジネスを止めないためにもセキュリティーの優先順位をしっかりと考えてほしい。

世界的な民間セキュリティー研究開発機関「X-Force」

　IBMの「X-Force」は、サイバー・セキュリティーの脅威や脆弱性を調査・研究する世界的な権威として知られている。ジョージア州アトランタを本拠とし、欧米やアジア、そして日本など計9カ所にリサーチセンターを展開、日々、100名以上の研究員が情報の収集と分析にあたっている。やはりIBMが世界10カ所に展開しているセキュリティー・オペレーション・センター、いわゆる「SOC」では、約4000社の顧客が保有する2万台ものセキュリティー機器が常時監視されており、収集されるデータは1日150億件にも上る。X-Forceは、これらの膨大なデータを基に、脆弱性の発見・分析や対処方法などを研究開発している。

　IBM Watson Summit2016のために来日したX-Forceリサーチのシニアマネジャー、ロバート・フリーマン氏は、「X-Forceは、IBMセキュリティー・ソリューションの基盤となるもの」と話す。

　SOCなどが収集する膨大なデータの研究から得られたインテリジェンスは、すぐさまIBMのセキュリティー製品やセキュリティー・サービスに反映されているという。

　X-Forceの研究成果は、クラウドベースの「X-Force Exchange」からアクセスすることもできる。700テラバイトにも及ぶ膨大なインテリジェンスが可視化され、脅威に対して適切に対処できるほか、新たなインシデントに対して企業の監視担当者、アナリスト、CISO、さらにはX-Force調査チームが迅速に連携するためのプラットフォームとしても機能するという。