世界は変わった？ 変わらない？ 変化の中で引き続き求められるバランスの取れたセキュリティ対策：ITmedia エグゼクティブセミナーリポート（1/2 ページ）

[高橋睦美，ITmedia]

　十年一昔と言われるが、社会が目まぐるしいスピードで変化する現代においては、5年、あるいは3年もたてば、世の中のトレンドも、それに関する知識や価値観も変化する。かつては「常識」と思われていたことがそうではないケースも珍しくない。

　Armoris取締役専務 CTOの鎌田敬介氏は「コロナで変わった（？） サイバーセキュリティマネジメント経営・管理・運用の3つの視点」と題する講演を通して、社会やIT環境、サイバーセキュリティを取り巻くトレンドの何が変わり、何が変わっていないのかを解説し、経営、管理、運用という3つの観点でバランスよく対策に取り組むことの重要性を訴えた。

コロナ禍を機に変化した世の中、価値観と、変わらず求められる知識

Armoris 取締役専務 CTO 鎌田敬介氏

　鎌田氏はJPCERT/CCにはじまり、三菱UFJ銀行、金融ISACと活躍の場を変えながら、20年以上にわたってサイバーセキュリティに携わってきた経験の持ち主だ。現在はセキュリティ人材育成に特化した企業、Armorisを設立して育成に取り組むほか、金融庁や茨城県警察のセキュリティ面でのアドバイザーを務めている。

　「その中で感じるのは、昔からサイバーセキュリティに携わっている人にとっては当たり前の事柄を、最近業界に入ってきた人たちは知らないことがあることです。長年にわたりいろいろな知識が蓄積されてきた業界であるにもかかわらず、それが浸透していないように感じます」と鎌田氏は指摘し、その上であらためて基本的な部分を伝えていきたいとした。

　この数年で世の中を変えたものといえば、何と言っても新型コロナウイルスだろう。コロナ禍は個人の生活はもちろん、企業や社会の在り方も大きく変化させた。

　「コロナ禍の大きな影響の1つは、リモートワークが仕事の中心になったことです。コロナが終わった後も引き続きリモートワークを続けている会社もあれば、出社に切り替えるところ、ハイブリッドで進める会社もあるといった具合に多様化しており、“いろいろな考え方がある”ことが当たり前の社会になりました」（鎌田氏）

　他にもITシステムに関しては、さまざまな業務においてアナログからデジタルへのシフトが進んだほか、スピードや柔軟性、コストの観点から外注から内製化へのシフトが進んだ。そしてIT人材の価値が向上したのと同時に、ChatGPTをはじめとする生成AIの台頭が始まった。また、リモートワークの進展と相反するようだが、物理的に顔を合わせる「対面」の価値が再認識された。そして、興味深いことに、陰謀論もまた盛んになるという動きが見られたという。またこれらの変化に相反する部分があるかもしれないが、頑なにこれまでのやり方を変えまいとする人たちと変化しようとする人たちの「二極化」も進んでいるとした。

　そして一連のトレンドを踏まえた全体的な変化として、デジタルネイティブ世代のマジョリティ化も相まって、価値観の変化が本格的に、世の中全体で始まった。さらに価値観の変化とともに「このままではいけない」という危機感を持ち、これまでのやり方、在り方に疑問を抱く人が増えているという。

　サイバーセキュリティに関する議論も同様だ。「全体として、技術的な知識を持つ人が少ない状況になっているものの、ITやセキュリティに関する知識や技術をきちんと手を動かして身に付けようとするスタンスの人が増えているように感じます」（鎌田氏）

サイバー攻撃の目的が複雑化する一方で、技術的な部分がおろそかに？

　では、サイバー攻撃の観点では、どのような変化が起こっている、あるいは起こっていないのだろうか。

　昨今のサイバー攻撃関連の話題といえば、ランサムウェアやDDoS攻撃が取り上げられがちだ。一時期に比べ、いわゆるマルウェアの話題は前ほど聞かなくなった一方で、特にこの1〜2年はフィッシングメールが非常に増えている。

　鎌田氏は、ランサムウェアと標的型攻撃の手法が重なり合っていることもそうだが、「境界が曖昧になっていること」が昨今のトレンドだとした。以前はサイバー攻撃者は、国家とハクティビスト、お金儲け目的といった具合に明確に区分されていたが、昨今、国家が金銭目的で攻撃を仕掛けたり、金銭目的の攻撃者が国家とつながっていたり、あるいはハクティビストが国家の意思で動くといった具合に境界が曖昧になり、複数の主体が合わさっている状況が進んでいる。

　そして攻撃目的の複雑化、多様化によって、発生事象から攻撃の目的や背景、動機を読み取るのが難しくなってきている。ロシアのウクライナ侵攻に伴うサイバー攻撃が一例だが、サイバー空間における事情には、物理世界における歴史や政治的な事情、宗教的な事情などさまざまなものが重なってきており、サイバー空間だけ見ていてもまったく文脈が読み取れなくなってきている。

　この結果、サイバー攻撃を政治や地政学の観点から解説していく比重が高まっているが、鎌田氏は「逆に、技術的な部分がおろそかになっている側面があるのではないかと思います」と指摘した。

リスクコミュニケーションを改善して認識を向上し、経営との歩み寄りを

　こうした複雑な情勢の中、サイバーセキュリティにおいては経営、管理、技術という3つの要素のバランスをいかに取るかが課題になってきている。

　サイバーセキュリティは経営課題であると言われるようになって久しく、経営層の積極的な関与が求められるようになっているが、実際にはまだまだ食い違いやずれも見られるようだ。

　例えば「情報漏洩」が発生した場合、技術的な観点からは「原因はサイバー攻撃なのか、設定ミスなのか、あるいはバグなのか」といった「原因」が重視されがちだ。だが経営的な目線で見ると、原因は何であれ情報漏洩が発生してしまったという「結果」が重視される。こういった視点の違いが、経営と現場のコミュニケーションがうまくいかないポイントの1つになっている。

　また最近ではランサムウェアの猛威を背景に、サイバー攻撃を想定したBCPの策定に取り組む動きが広がっている。だがその際、「想定外」を考慮せず、規定のシナリオ通りに物事が進む前提で影響を小さく見積もりがちだという。「世の中で起きた被害事案を見ると、どれも基本的には、当事者にとって想定外のことばかりが起きています。サイバー攻撃への対応という観点では、いかに想定外と向き合うかが非常に重要な視点です」（鎌田氏）。一度経験しなければなかなか分からない部分ではあるが、想定外のことが起こりうるとの前提に立つことが重要だとした。

　このBCPにおいてもやはり、経営と現場の歩み寄りに課題が見られるという。例えばBCPが求められる事象が発生した時、現場としては「しっかり調査して、ある程度内容がまとまってから報告しよう」と考えがちだ。一方経営側は「もし業務や顧客への影響といった実害が生じているならば、わずかな情報でもいいので逐一インプットしてほしい」と期待する。そんな「認識のズレ」が随所に見られるという。

　こうした認識のズレを埋め、経営、管理、技術のバランスを取っていく上で重要なのは「リスクコミュニケーション」だ。

　もし問題が起きたらどんなことが起こる可能性があるのか、何をしなければならないのか、といった事柄について、社内関係者の間で認識を共有し、ズレをなるべく小さくしておく努力を日常的に行っておくことが必要だ。このとき現場はつい「対策しているから大丈夫」といったトーンで伝達しがちだが、「対策をしているが、それでもここが危ない」と伝えることが重要であり、それにより会社全体のリスク認識を向上できるとした。

　そして、リスクコミュニケーションを改善する有効な手段の1つが、全社的な机上演習だ。それも、想定されたシナリオをベースにした形式的なものではなく、現実味のある議論をしていくことが、関係者の意識を同期させ、変えていくきっかけになるという。

　もちろん、いきなり全社横断的な演習を行うのは難しい。現実的には、まずIT部門プラスアルファ程度の規模から汎用的なシナリオでスタートし、少しずつ範囲を拡大させることで、サイバーセキュリティの難しさや重要性を浸透させていくことができるとした。また、ありがちなことだが、演習それ自体が目的になってしまい、「やってよかったね」で終わってしまっては効果が薄い。その後の改善や課題解決までを視野に入れて取り組むべきだという。

　会社によっては月に1回程度のペースで定期的に経営層向けのサイバーセキュリティ勉強会を開催し、経営と現場の歩み寄りに努めているケースもあるという。その際には、互いに言いにくい部分については外部の第三者の意見をうまく使うこともポイントだとした。

多数の施策が存在する管理、一方で細部がおろそかに？

　2つ目の要素である管理・マネジメントについては、「俯瞰的な戦略の策定とリーダーシップの確保」「リスク管理の観点」「危機管理の観点」そして「組織間連携、情報収集、インテリジェンス」を通じて会社の外の情報を見るという4つの要素が重要になるという。

　鎌田氏は、「サイバーセキュリティの費用対効果を計算しようとしても、なかなかうまくいかないと聞きます。費用対効果の計算式はたくさんあります。ですが、国内外のいろいろな人と話してみても、実感が伴わない数字が出てくるばかりで、きれいに出たという例は聞いたことがないくらいです」と断言した。

　サイバーセキュリティマネジメントに関しては、各種のフレームワークやガイドラインに始まりゼロトラストセキュリティといった考え方に至るまで、多数の施策が存在する。ただ、「サイバーセキュリティ意識の醸成にしても、セキュリティ人材の育成にしても、数年単位で時間がかかるものばかりです。計画を立てて実行し、年度内に終わるといったことはほとんどありません。年単位で時間がかかることが、なかなか伝わりにくい理由の1つかなと思います」（鎌田氏）

　鎌田氏はまた、フレームワークやスタンダード通りに対策を実施することばかりに目が行きすぎて、細かな技術的な部分がおろそかになっていないだろうかと警鐘を鳴らした。「最近セキュリティ対策を始めた企業では、管理策に関する知識は豊富でも、サーバの設定やアクセスコントロールの設定といった細かな技術的なところがおろそかになっていることが課題になり始めているのではなでしょうか」（鎌田氏）