刻々と変化する脅威にもブレない企業セキュリティの根本的発想:日本IBMのCISOに聞く、セキュリティへの取り組み
情報資産を執拗に狙い続ける標的型サイバー攻撃など、セキュリティの脅威は常に変化し続け、企業や組織の成長を脅かす深刻なリスクとなった。だが、セキュリティ対策において求められるのは一貫性のある取り組みだ。CISO(最高情報セキュリティ責任者)が果たすべき役割とは何か――日本IBMでCISOを 務める我妻三佳氏に話を聞いた。
今年3月にサイバーテロとして大きく報道された韓国でのセキュリティ侵害事件、また、スマートフォン普及を背景として急速に高まるBYODの導入機運など、企業のIT部門やセキュリティ担当者は次々と出現する新しい脅威への対応に追われているのではないだろうか。しかし、重要なのは個々の脅威に個別に対応することではなく、揺るがない根本方針を定めることだろう。
企業の情報セキュリティ担当者がどのような取り組みを行うべきか。日本IBMでのこれまでの取り組みから、その重要なヒントが得られる。同社でCISO(最高情報セキュリティ責任者)を務めるGTS事業 ITSデリバリー ユーザー&コミュニケーション・サービス 統括部長の我妻三佳氏に話を聞いた。
CISOの役割とは何か
―― 先日も韓国で大規模なセキュリティ事件が発生したように、企業を取り巻く脅威は深刻な問題になっています。脅威の現状をどうみていますか。
我妻 情報セキュリティには幅広い脅威がありますが、かつての愉快犯的なハッキングを主とした時代から、近年では金銭目的などを背景とする動機に変わり、社会問題としても認識されるようになってきました。また、昨今特に、不特定多数の相手だけでなく、特定の企業や組織を標的にするサイバーセキュリティ関連の事件が増えています。
例えば、韓国の事件に関しては、対象となる組織が限定されていましたので、典型的な標的型攻撃と思われます。そして、極めて巧妙な手口が使われました。ただ、今回の事件は放送局や銀行など社会インフラとして影響力のあるところで混乱を生じさせましたが、「それ以上のものではない」とも言えるでしょう。金銭目的というよりも、政治的主張や攻撃者自身の能力の誇示といったところが目的ではないでしょうか。同じような攻撃が、日本の企業や組織、あるいは個人を対象として実施される可能性は充分あります。
現在はあらゆる物事が世界規模で動いています。以前から存在する内部犯行による情報漏えい等が問題であるのはもちろんですが、一方で外部のインターネットからの脅威は高度化、洗練化してきています。そのためIBMのようにグローバルにビジネスを展開している企業はもちろん、政府や公共機関、各種団体などでもインターネットからの脅威への対策が緊急課題となっているわけです。
―― 企業や組織におけるセキュリティ対策もますまず難しくなりそうですね。
我妻 セキュリティ問題をどう扱うかというテーマに、まだ多くの企業が整理して解を見つけられていないでしょう。私が2007年に社内の情報セキュリティを担当するようになった時、IBMの中では情報セキュリティ問題はまだ二の次という位置付けで、多くの社員があまり重要なものと意識せず、注意すべきなのは「PCの置き忘れ/紛失」といった程度で、それも結局は個人の問題という認識でした。
しかし、個人情報の漏えいが問題視されるようになり、そのことによって企業に対する「社会の目の厳しさ」が関係者の想像を超えるものであることが分かると、IBM社内でも「情報には極めて高い価値がある」ということが再認識され、「会社として、組織として、真剣に取り組まなくてはならない」課題という位置づけに変わりました。
IBMは情報を扱い、情報によって価値を生み出していく“情報産業”に従事しています。ですので、セキュリティ問題に的確に対応しなければ、ビジネスの根幹に関わります。当時IBMでもさまざまな問題が発生しており、「セキュリティは経営課題であり、しかるべき責任者のもと適切に対応する」という経営判断がなされ、「CISO(Chief Information Security Officer)」を世界に先駆け設置しました。
まだ、世の中にCISOという言葉が認知すらされていない段階で、まず「CISOの役割とは何か」という点から検討を始めました。当時主流の情報セキュリティの考え方は「問題が起きてから事後対応する」という場当たり的なものです。事前に対策を講じて備える「予防措置」の考え方は希薄でした。この状況下で、CISOの役割をどう捉えるかが課題だったのです。
―― 企業としてのセキュリティの根本をどう位置付けるかということでしょうか。
我妻 まず、セキュリティの問題は誰にでも起こり得るものです。会社として問題発生時に適切に対応できる準備が必要だと考えました。対策方法を練るだけでなく、社員に対して「事前に考えておくべきだ」という教育にまず着手しました。一方で起きた事に対する事後対応や再発防止策にも取り組みましたが、結果として、次の事故を防止する「予防対応」につながりました。当時は、予防対応と事後対応の両方を同時に進めながら、望ましいあり方を模索していたという状況です。
セキュリティ問題に対処するには幅広い知見が必要です。まず自社のビジネスをよく理解する、お客様のビジネスや組織風土も理解していることが求められます。社内の組織やガバナンスに対する正しい理解や洞察、さらには子会社や業務委託先なども含んだサプライチェーン全体に対する理解も不可欠です。当然ITも深く関わりますので、テクノロジーに対する知見も欠かせません。
CISOの役割は、社内の各部門や部署などに対して、横断的に「セキュリティの視点からこうしたことが必要だ」ということをきちんと訴えることです。当初は情報セキュリティの予算すらきちんと割り当てられていませんでした。しかし対策を進めていく中で、「発言権」や「調整能力」「予算に関する権限」がある程度なければ、CISOの役割は務まらないと分かってきました。
CISOは、こうした広範な知識を持って、経営層にあって重要な責任を果たす存在です。CISOの立場と社内の認識が一致し、CISO主導のセキュリティ対策を確実に組織内で実行していくことが、企業の情報セキュリティを向上させる鍵になります。
越えてはならない一線
―― グローバル企業のIBMだからこそ、こうした方針をいち早く打ち出せたのではないかとも思いますが、一般的な企業はどこから取り組めばよいでしょうか。
我妻 情報セキュリティをどう位置付けるのかは、ビジネスの性格や規模などによって異なります。どの企業にも一律に当てはまるものではなく、自社のビジネスにとって踏み越えてはいけない(最低限守らなくてはいけない)一線がどこにあるのかを、それぞれの企業が独自に明確化しなくてはいけません。
潤沢な予算を投じても、セキュリティが確実に保たれる保証はありません。さまざまな対策が必要になりますが、まず一番に組織全体に効果的なもの、あるいはリスクの高いところへの対策が優先されます。多額の投資が必要な対策ならば、段階的に導入するなど中長期的施策として取り組むべきです。
情報セキュリティは企業内の経営課題です。特別でも、異質でもなく、リスクマネジメントに含まれる各種リスクの1つとも言えるでしょう。総合的な判断から位置付け、リスクを順位付けして、投資の優先順位を決めていきます。
IBMでも考え得るリスクをリストアップし、順位付けをしています。もちろん、自然災害などを含めた広範なものの中から、リスクが顕在化する頻度や顕在化した際のインパクトを勘案し、対策の順序を考えていきます。情報セキュリティは当然ながら近年優先順位が高く、その中でも「外部からの脅威」が高い優先順位をつけられています。もちろんIBM自身も多くのことを経験し、その中にはお客様に先駆けて経験した事例も多くあります。この経験があるからこそ、現在お客様にノウハウとしてのサービスをご提供できるのです。
―― 対策の具体的な手順などは確立されていますか。
我妻 具体的な対策に関しては、IBM自身も模索している部分があり、道半ばです。テクノロジーの進歩はあまりに速く、法制度による対応は間に合っていません。そもそもテクノロジーは性善説に基づいて進化するという側面があり、開発時点では想定されていなかったような手法で悪用されるということが相次いでいます。利便性を優先して導入した後に問題が発覚するという状況は、ある程度はやむを得ないことでしょう。
むしろ、起こった事を確実に捉えて、再発を確実に防止するにはどうしたらよいかと、丹念に対応していくしかありません。韓国の事件では攻撃者が、セキュリティアップデートを配信するサーバに浸入し、有害なコードを置いたことで、セキュリティ意識の高いユーザー企業で被害が広がったと伝えられています。セキュリティを高める手法が逆手に取られた形です。
攻撃者とセキュリティ担当者の「知恵と知恵の戦い」は今後も続くと思います。こうした状況の中では、さまざまな情報を収集し、普段と違う振る舞いをいち早く検知して対処するといった取り組みが必要なのです。
利便性と保護にテクノロジーの活用
―― 最近ではBYODの導入が企業の関心事となっています。
我妻 IBMでは2000年代前半から、業務にもプライベートにも使えるPCを従業員が個人所有できるようにする取り組みを行ってきました。「IBMはなぜそんな状況を作っているのか」とご批判を浴びることもありましたが、東日本大震災をきっかけに、そうした見方が完全に変わってきました。
震災前からスマートフォンの普及が始まり、IBM社内でも会社がスマートフォンを支給すべきか検討していました。一方で日本企業のコスト意識が高まり、PCや携帯電話に加えてスマートフォンも支給すべきかといった支出の増加を懸念する傾向もありました。
そこで、「好きな人はすでに自分で購入して使い始めており、仕事でも使えるようにしよう」という発想が自然に生まれ、BYODという方向性が出てきたわけです。IBMはモバイルを推進していますので、PCの持ち歩きも許可していました。結果的に、そのことが震災時の業務継続を可能にし、出社できない状況でも自宅で業務を続けられるということが実証されたのです。モバイルは業務継続に有効であり、リスク対策の一つとして、今後はBYODの流れが出てくるでしょう。
もちろん責任の範囲や、情報とその管理の切り分け方、BYODの活用方法などを考慮しなければなりません。しかし、セキュリティのために「あれはダメ、これはダメ」と禁止ばかりを掲げるのではなく、「これを守れば使って良い」という具合に、リスクを勘案しながら具体的に動機付けしていくべきではないでしょうか。
IBMではテクノロジーを追求し、新しいテクノロジーやデバイスを「どう活用できるか」を考えていますので、ある程度のリスクは取っていくべきだというスタンスで進めています。その意味でBYODも採用しており、リスクを考えて、システムインフラ構成に工夫をしたり、守るべきガイドラインを定めています。また特別に設定した構成ファイルをデバイスに導入させ、会社資産等と同様な管理対象であることを社員に求めています。
セキュリティ担当者が重視すべきこと
―― これからの企業のセキュリティ対策にはどのような姿勢が求められますか。
我妻 CISOにとってもうひとつ重要なものは情報収集力です。さまざまな事件や事故の情報が共有されず、対策を打てないままでは、被害がどんどん広がる可能性があります。セキュリティ担当者には、ともすれば伏せられがちな情報についても日常的に収集し、自社の対策を常に見直すといった取り組みが求められるでしょう。
BYODにもあまり消極的になっていると、気付いた時には「ビジネス環境の変化に適応できず自社だけが時代遅れになっていた」ということにもなりかねません。そうなると、本来得られたはずのメリットを生かせないという損失になります。何でも禁止するという硬直した方針ではなく、慎重ながらも積極的に情報を集めて新しいテクノロジーを活用する方法を検討していくべきではないでしょうか。
企業を取り巻くさまざまなリスクがある中で、セキュリティのどこを重視し、どこに予算を配分するか、そのバランスに対する意思決定が一番難しい点です。企業として「最低限ここは守る」というルールを明確にし、従業員個々に共通の判断基準を持たせ、新しいテクノロジーへの対応をタイムリーに決定したりしていく必要があります。また、問題が起きるという前提で、インシデント等が発生した場合に適切な対応がとれる体制と対策が自社にあるのかどうか、外部から調達の必要な支援は何か等、ケーススタディやシミュレーションの実施も重要です。
Copyright © ITmedia, Inc. All Rights Reserved.
提供:日本アイ・ビー・エム株式会社
アイティメディア営業企画/制作:ITmedia エグゼクティブ編集部/掲載内容有効期限:2013年5月22日