企業のリスク管理にITセキュリティをどう組み込むべきか――韓国サイバーテロ攻撃に見る経営防衛策：重大な経営課題となるサイバーの脅威

サイバーセキュリティの脅威は、ウイルス感染などが騒がれた時代から、今では重要な機密情報を搾取するものや、大規模なシステム障害を起こすものに変化し、企業にとって深刻な経営課題となった。大切な情報資産を守るためには、リスク管理の視点でITセキュリティに取り組むことが求められている。

[PR／ITmedia]

PR

伝統的セキュリティ対策が通じない時代に

　かつてITセキュリティの中心的な話題となっていたのは、PCのウイルス感染や社内ネットワーク環境でのワームの蔓延などといったものだ。これらは、犯罪者が自らの技術力を誇示することなどを目的とした愉快犯的な事例であった。それが現在では相対的に減少しており、直接的な利益を狙った純然たる“犯罪”と呼べる事例が増えている。企業内の個人情報、顧客や取引先の情報データベース、企業機密に属する知的資産など、何らかの手段で換金可能な情報が狙われるのはもちろん、最近では政治的な動機などに基づき、示威的な意味合いで企業を攻撃する“サイバーテロ”的な事例も増えてきている状況だ。

　業種によっては、「当社には誰かがほしがるような知的資産や顧客データベースなどは無いので、狙われることはないだろう」と考える企業もあるかもしれない。だが、サイバーテロとなれば話は別だろう。こうした脅威では、犯罪者は重大な被害を発生させて、それが大きく報道されることを目的としているようなものである。被害企業がどのような企業であるかは特に問題にしない。無差別テロのような状況を考えれば、狙われる可能性のない安全な企業というのは既にあり得ないと言って良い状況である。

　例えば、最近では韓国において放送局や金融機関などを対象にした大規模なサイバーテロ事件が発生している。手法についての解析は進んでいるが、犯罪者は韓国特有のIT環境などを熟知した上で、何段階ものプロセスを経て攻撃を仕掛け、大きな被害をもたらした。日本では日本語の壁もあって、これまで欧米で発生したサイバー攻撃や詐欺などがそのまますぐに国内で被害をもたらす例はあまりなかった。しかし、日本国内の犯罪者が国内企業を対象とした攻撃を仕掛けたら、韓国と同様に相当な被害が発生する可能性が高い。

テクノロジーコンサルティング統括本部 テクノロジーマーケティング本部 セキュリティソリューション担当マネージャー 増田博史氏

　日本ヒューレット・パッカード（HP） テクノロジーコンサルティング統括本部 テクノロジーマーケティング本部 セキュリティソリューション担当マネージャーの増田博史氏は、「昨今の大きな被害を企業にもたらす標的型攻撃では、攻撃側が事前に入念に調査を行い、ユーザーが反応せざるを得ないような形で攻撃を仕掛けてきます。いくら用心深いユーザーでもついマルウェアに感染してしまうということがあります。業務時間中に付き合いの深い取引先からメールが来れば、つい開いてしまうものでしょう」と解説する。

　こうした攻撃では犯罪者が、企業の外部から強制的にマルウェアを送り込むのではなく、社内のユーザーを誤解させて自らマルウェアを呼び込むように仕向ける。このため、外部からの攻撃を想定して講じられている一般的なファイアウォールやIDS／IPS（不正侵入防御／検知システム）といった「境界型防御策」だけでは、完全には防ぎ切れないのである。

経営課題として考えるITセキュリティ

　多くの企業においてITセキュリティは、IT部門の担当とみなされていることが少なくない。しかし、上述した通り攻撃側の手法は洗練されてきており、昔のように「対策を講じれば防げる」という単純な構図ではもはや無くなってきている。韓国での大規模なサイバーテロ事件のケースをみても分かるように、サイバー攻撃によって被害が発生すれば、企業としての事業継続に深刻な影響が及ぶことになる。

　増田氏によると、HPではITセキュリティについて、IT部門に限定されるテーマとしては捉えていないという。企業のビジネス全体に深刻な影響を及ぼす可能性が高いリスクである以上、これは経営レベルの問題という認識であり、リスクマネジメントの観点からITセキュリティに取り組むことが求められているというわけだ。

　企業には、ビジネスなどのさまざまな場面において直面するリスクに対し、その発生頻度や被害規模などに応じて対応策を講じることが必要とされる。東日本大震災のような大規模な自然災害は、仮に発生頻度が数百年に一度といった程度でも、一度発生した際の被害規模がいかに甚大であるかはまだ記憶に新しいところだろう。こうしたリスクが起きれば、事業拠点が丸ごと機能しなくなるレベルの被害が生じる。一方で機器の故障といったレベルのリスクは、発生頻度として極めて多い。影響の大小はあるが、限定的なものであることが多い。

　企業ではそれぞれの事業に関連する範囲でこれらのリスクを想定し、対策を検討しているが、ITセキュリティもこうしたリスクマネジメントの対象に含めて考えていく必要がある。国内で時折発生する顧客情報の流出や大規模なサイバーテロといったインシデントでは、被害企業において数日〜数カ月にわたって営業停止を余儀なくされるケースがみられる。つまりITセキュリティ侵害とは、その被害規模が大規模な自然災害に匹敵するものであると同時に、発生の頻度も極めて高い、リスクマネジメントの中でも最も警戒すべきリスクの一つになっている。

ITが関わるリスク管理の全体像

　それでは企業は、リスクマネジメントの観点からITセキュリティにどう取り組むべきだろうか。上述した通り、最近のサイバー攻撃の手法は高度化しており、被害を未然に防ぐことが極めて困難になりつつある。現実的に犯罪者の対象となれば、ほぼ確実に何らかのマルウェアが社内に侵入し、何らかの被害が発生することは不可避だろう。適切な対策製品を導入し、境界型防御によって完全に防げるというものではない。

　そうなると、現場レベルの戦術論ではなく、どこまでの被害なら受忍せざるを得ないか、逆に絶対に守らなくてはならないのはどこの部分なのかという戦略的な意思決定が必要になる。これが、ITセキュリティが経営課題とみなされる理由である。

現実論からスタートするセキュリティのアプローチ

テクノロジーコンサルティング統括本部 ソリューション開発本部 セキュリティソリューション部 シニアセキュリティコンサルタント 平山宗一郎氏

　現在の企業を取り巻くITセキュリティのリスクに対し、HPでは広範な対策手法を提供している。テクノロジーコンサルティング統括本部 ソリューション開発本部 セキュリティソリューション部 シニアセキュリティコンサルタントの平山宗一郎氏は、同社の提供するセキュリティ対策では「完全な防御は不可能」という現実論から出発していると話す。

もちろん、企業ではITシステムのレイヤごとに有効な防御策が想定されており、それに基づいて適切な対策製品の選定が行われているが、HPではITセキュリティ全体の枠組みに企業での対策の現状を重ね合わせ、欠けている要素や対策が不十分な部分を把握できるようにしている。全体像を見渡した上で現状の弱点を見つけ出すための方法論というわけだ。もちろん、こうして対策の抜け穴をふさげば、セキュリティが確保されるわけではない。

　HPのセキュリティソリューションでは、社内のITシステムへの脅威の浸入をブロックするための対策だけでなく、万一浸入された場合に、企業の内部で不正なアクションが実行されてしまうことを想定した対応策も用意している。

　理想的には、社内のさまざまシステムがそれぞれに出力する膨大な量のログデータをリアルタイムでモニタリングし、さらに、そこに高度な相関分析の手法を組み合わせることによって、「いつもとは違う」あるいは「疑わしい挙動」を見つけ出せるようにする。例えば、金庫に鍵を掛けるのはもちろんのこと、わずかな変化を見逃さないよう常に金庫の中身も監視し続けるようなイメージだ。仮に不正に鍵を開けられることがあったとしても、中身が持ち出された段階で即座に発見できれば、被害を最小限に留めることができるだろう。

　企業のセキュリティ対策においては、長らくシステムや業務の全体像を俯瞰して、守るべきところに適切な防御を施すというアプローチが取られてきた。常識的な取り組みともいえるが、実際にはこれまで「必要な部分に対策製品を導入すればそれで十分」というポイントソリューションで済んでしまうことが多々あった。それが通用しないというのが、現在のITセキュリティのリスクである。システムや業務といった企業全体の視点からセキュリティ対策と事業継続計画を提供できるベンダーはごく限られているのが実情だ。

　HPは、特定のポイントソリューションに留まらず、サーバやネットワーク、アプリケーションといった企業内のITシステム全般をカバーできる立場にあり、さらにはコンサルティングファームなどのパートナーとも協力することで、ITに留まらず業務プロセス全体の見直しや最適化まで対応可能な厚みのあるサービス体制を構築している。

HPの目指す「ITセキュリティ・インフラ」の全体像

　現在のITセキュリティは、経営レベルのリスクマネジメントの一環として取り組む必要があるのは言うまでもないが、その際には経営レベルのリクエストに応えられるITベンダーの力を借りる必要があるのは明らかだ。HPはこうした要求にも対応できる体制を備えた数少ない総合ITベンダーであり、企業トップのシビアな要求に対しても、最適な答えを導き出してくれるだろう。

関連ホワイトペーパーのダウンロードにつきまして

ダウンロードの受付は終了いたしました。