日本企業に求められるサイバーレジリエンス体制とセキュリティの国際連携（後編）

サイバーセキュリティのリスクとその取り組みについてNTT チーフ・サイバーセキュリティ・ストラテジスト 松原 実穂子氏にインタビューした内容の後編。
前編では、ますます巧妙化してきたサイバー攻撃の傾向と手口、攻撃対象とリスクの変化、さらに拡大する地政学的なサイバー脅威について紹介した。
後編では、サイバーセキュリティの脅威から企業を守るために日本企業と社会が何をすべきかについて、セキュリティのガバナンス・運用・人材育成の観点から解説していただくとともに、インシデントが起きた場合に備えるサイバーレジリエンス体制の構築、セキュリティ面での国際協調と連携の必要性について伺った内容を紹介する。

天野：
国内でもサイバーセキュリティリスクに対する取り組み環境が整備され始めた中で、企業はどのようにセキュリティマネジメントと向き合えばよいのでしょうか。ガバナンス・運用・人材育成という3つの大きな視点があると思います。まずガバナンスについて教えてください。

松原：
最近、子会社や海外拠点などのサプライチェーンが狙われるようになってきました。それはビジネス全体のガバナンスが確保できていないために、サイバーセキュリティやITのガバナンスも効かなくなり、その隙を突かれて被害が出てしまうのだと思います。サイバーセキュリティ以前に、まずビジネスのガバナンス体制を見直す必要があります。
定型的な業務プロセスを継続的に改善していく際に従来の「PDCA」は大事ですが、サイバーセキュリティの場合は予想外のことが起きるため、臨機応変な対応が可能な「OODA」（ウーダ）のほうがピッタリくると考えています。これは、Observe （観察）、Orient （状況判断、方向づけ）、 Decide（意思決定）、Act （行動）を回すアプローチです。
NTTグループでのガバナンスの取り組みについて紹介させていただきます。グループ全体の最高情報セキュリティ責任者（CISO: Chief Information Security Officer）が委員長を務めるグループCISO委員会があり、各事業会社のCISOがメンバーとしてガバナンス体制を構築しています。執行役員会議の際に、CISOから脅威動向を経営層に報告し、ビジネスガバナンスの中にもセキュリティガバナンスを浸透させています。
また、セキュリティとトラストは表裏一体のものであり、トラストがなければ安心・安全が得られません。そこで横浜信一CISO率いるセキュリティ・アンド・トラスト室が2020年にNTT内に発足、NTTグループのセキュリティ施策を立案し、横断的に実行しています。そして、NTTグループを代表し、サイバーセキュリティに関する対外情報発信や外部連携も進めています。
おそらくNTTは、日本に本社を置く企業のなかで、サイバーセキュリティに関して唯一、営利活動と切り離した情報発信を行う専門チームがある企業だと思います。これだけ個人、社会、国家のデジタル依存度が高まっているのですから、個々人がサイバーセキュリティに関心をもっていただかなければ、サイバーセキュリティの確保は不可能です。だからこそ、サイバー攻撃や取るべき対策について一般の方や経営層、政府の方々に分かりやすくかみ砕いて発信するように心がけています。より多くの方に問題意識を持っていただき、ビジネスガバナンスや国の戦略の一要素として、サイバーセキュリティを位置付けて頂くための取り組みが大切です。
海外向けに、日本の取り組みを英語で発信する取り組みも進めています。

天野：
先ほどOODAの話も出ましたが、セキュリティの運用面において、我々が新たに考えておくべきことはありますか。

松原：
このDXの時代、守るべきIT資産が爆発的に増えてきた中で、脅威の侵入を100％防ぐことが難しくなっています。万が一侵入された際に備え、なるべく早期に検知し、対応できる体制を確立することが重要です。
「インシデントは必ず起きる」という前提を経営層にも共有してもらい、被害最小化のために、経営陣へのエスカレーション手順、広報による対外コミュニケーションの在り方や、営業担当者からの顧客への対応の方法など、組織マネジメントのオペレーションを確立しておく必要があると思います。

天野：
これまで以上に複雑な運用が必要になるので、セキュリティ部門だけではできませんね。そこを経営層がしっかり統括し、インシデントに対応する体制をつくっておかねばならないということですね。次に、セキュリティ人材の育成に関するお考えを教えてください。

松原：
残念ながらコンピュータウイルスは簡単には撲滅できず、新型コロナウイルスと似ています。目に見えない敵との終わりのない長い戦いですので、サイバーセキュリティ人材は疲弊しています。しかし、完璧に防御できて当然と思われ、叱られることはあっても、褒められることはなく、今、サイバーセキュリティ人材の大量離職が世界的に問題になっています。コロナ禍でエッセンシャルワーカーに感謝しようという動きがありますが、サイバーセキュリティ人材にも同じように経営層や同僚から「ありがとう」と言ってもらえ、貢献に報いる動きが出てきたら、心の支えになると感じています。

天野：
同感です。本当に大切なことです。

松原：
セキュリティは地味な仕事ですが、常に最新技術や最新の動向を勉強し続けなければならず、本当に大変な仕事です。インシデントは起きなくて当たり前と思われていますが、それは日ごろから彼らがしっかり管理してくれているからです。まずは感謝の気持ちを伝え、仕事をバックアップし、給与面でも考慮してあげて欲しいですね。

天野：
教育面では一般的な座学やeラーニングなどで基本的なリテラシーを保つ教育が行われています。しかし、ここまでサイバー攻撃が広がると、関連部門のみならず、現場も含めたインシデント対応に迫られます。座学だけでなく、訓練や演習を行う必要があるでしょうか。

松原：
例えばテレワーク時のセキュリティ対策などに関する研修や、社内で実施される標的型攻撃メール訓練など全社員を対象にした研修は、年2回くらい行うことが望ましいでしょう。これはセキュリティ担当者、全社員、いずれも演習を通じて「万一の時の動き方」を体得・確認してもらうことが目標となります。
標的型攻撃メール訓練では、不審なメール見つけた場合とメールを開いてしまった場合、手順に従って適切な窓口に報告を上げる後処理や時間が大切です。ここでポイントになるのは、添付ファイルを開いてしまった人を叱らないことです。叱ると事実を隠したり、委縮して報告が遅れてしまって、元も子もなくなってしまいます。
ファイルを開いてしまった人であっても、まずは報告してくれたことにお礼を言うことが大事です。技術的な対策を取っていても、攻撃者にすり抜けられたら最後の守りは人ですから、サイバー攻撃の兆候に気づいたならばすぐに報告することを奨励する文化づくりが肝要になります。さらに何かことが起きた場合を想定し、経営層や法務、経理、広報など様々な部署を巻き込んだ、大規模サイバー演習を年に1回は実施したほうが良いと思います。
例えば広報の方は、サイバーセキュリティやITの専門家ではないので、危機が起きた時に何が問題なのかを現場で今まさに対応している方にどう確認するのか、どのように対外発信するのか、日英両方でプレスリリースを出すのか、などの手順を事前に決めておくことも重要です。

天野：
現場で演習を実施している企業はありますが、経営層や広報などへの報告ルーチンまで含めた演習も必要ですね。とかく技術やソリューションに目が行きがちですが、最後の砦は人であり、組織としてのプロセスも大切になりますよね。

天野：
グローバルにみると、重要インフラ、産業インフラを狙った攻撃も増えています。日本としてレジリエントな社会を実現するという視点に立った時には、セキュリティの領域では、普段はビジネスで競合する企業とも協調していかなければなりません。グローバルも含めて、業界内、官民学などの連携について、示唆をいただければと思います。

松原：
今後5G、6Gが普及し、ネットワークに繋がる機器がさらに増えると、サイバーセキュリティ対策は一層重要になります。攻撃侵入の間口が増えるため、侵入を止めることだけではなく、早期検知し柔軟に対応する、レジリエントな体制づくりが重要になります。
また、国をまたいでサイバー攻撃が行われたり、被害がサプライチェーンの様々な業種におよんだりする可能性もあります。しかしながら、どんな組織でも、持てる知見や人材には限りがありますので、これに対応していくためには、業界横断、国際的な連携によって、自分たちの知見やサイバー攻撃のインテリジェンスなどを迅速に共有できるようにすることが大切になるでしょう。とはいえ、自社が受けた攻撃やサイバーセキュリティ上の問題点などについて外部に共有するには、お互いが信頼できる、話せる立場になるという「トラスト」の問題になります。
サイバーセキュリティのコミュニティは小さいものです。しかし、互いに顔見知りであることと、機微な情報を共有できることは違います。米国のとある情報共有枠組みの関係者から聞いた話では、サイバーセキュリティの知見や脅威情報を地域で共有しようとしても、競合他社や様々な業種の方がいるため、最初は上手くいかなかったそうです。そこでポイントになったのが、地域のリーダー的な存在だったそうです。そういう方が長期的に活動し、定期的に会合できる環境を整えること、情報を取るだけのフリーライダーを許さないルールづくり、それから飲みニケーションを通じたざっくばらんな話をできる関係づくりも大事です（笑）。

個人間で築いた信頼の上に、さらに組織間で制度化されたシステムとしての信頼関係で情報が共有され、各メンバー組織で情報を活用していく仕組みも大切ですね。
また、終わりなきサイバー攻撃との戦いにおいては、こうした地道な活動の長期的継続が不可欠であり、それを後押する企業体制も必要です。たとえ収益として目に見えなくても、サイバーセキュリティ強化に役立つ活動自体を評価するシステムが企業にあるかどうか。さらに、大企業だけでなく中小企業も参加するには、活動費の確保も必要です。

天野：
中小企業まで含めると、ある程度の支援が必要なのかもしれません。

松原：
日米には業界ごとにサイバーセキュリティの情報収集や分析を共有する組織「ISAC（Information Sharing and Analysis Center）」があり、例えば、日本のICT-ISACと米国のIT-ISACが連携しています。さらに米国の場合には、州ごとに業界横断的な情報や分析を共有する機関「ISAO（Information Sharing and Analysis Organization）」もあり、その活動費は国土安全保障省（DHS）が出しています。ISAOが、中小企業にも取りやすいサイバーセキュリティ対策についてのワークショップを開くなどの活動を行っています。

天野：
関連する話として、NTTさんの「IOWN（Innovative Optical and Wireless Network）」構想におけるセキュリティの考え方について教えていただけますか。

松原：
IOWN(NTT研究開発のサイト)は、既存のIT環境が多くの問題に直面する中で、それらを光ベースの技術で解決しようという構想です。現在のIT環境の抱える課題として、インターネット内の情報流通量の爆発的な増加やデータ量の増加、IT機器の消費電力量の増加が挙げられます。データセンターの消費電力量は全世界の3％を占め、英国の消費電力量を上回っています。
また、様々なモノが繋がる「スマートワールド」をITで実現していくと、サイバー攻撃も増えていきます。しかも今後、量子コンピュータが進展して暗号解読に使われると、従来の暗号技術が安全でなくなる可能性もあります。そこで東芝さんが手掛けるような量子暗号通信や、ポスト量子暗号の技術が重要になってくるでしょう。様々な知見、ビジネスチャンスが生まれていくスマートな世界をさらに享受していくためには、こうした新たな暗号技術を先取りして取り入れていく必要があると思います。
また恒常的なセキュリティ業界の人手不足には、AIや機械学習で作業の一部を自動化し、サイバーセキュリティ人材は、人にしかできないことに集中できる環境づくりが求められます。

天野：
最後になりますが、NTTさんは「セキュリティは、防衛力から価値創造の原動力へ」と発信されています。このメッセージに込められた思いを教えてください。

松原：
私たちの生活やビジネス、イノベーション、経済安全保障、国家安全保障がデジタルに依存していく中で、DXにも安心・安全が確保されていなければ、あらゆる活動の推進が担保できなくなってしまいます。そのため、国家や企業のリーダーたちが、サイバーセキュリティを最初から組み込んだ国家戦略、経営戦略を考えなければなりません。そうすることで、政府機関や企業が信頼され、情報共有してプロジェクトを進められる相手となり、サービスや製品を購入する相手としても選ばれる時代になってくるでしょう。
サイバーセキュリティは、脅威や攻撃から防御してくれる存在であると同時に、自分たちが信頼される相手、価値を創造するエネーブラーとなり、企業の成長や経済安全保障、国家安全保障に寄与する価値創造の原動力となるものだと考えています。

天野：
とても共感します。「信頼＝価値／リスク」という話を聞いたことがあります。企業は比較的価値のほうにウエイトを置きがちですが、実はリスクを低減することでも信頼を高めることができるわけですね。信頼とリスクは表裏一体であり、リスクを下げることが信頼につながるものであると改めて感じました。本日は大変ありがとうございました。

【前編はこちら 】

執筆：井上 猛雄