デジタルトラストに向けて求められるエコシステムと人材育成（1/2）

サイバー攻撃の脅威は、いまやIT領域だけでなく、工場や重要インフラなどOT領域にも広がっている。従来閉ざされていたネットワークがインターネットに接続され、セキュリティが甘いところが狙われている。また、たとえ各企業が十分な対策を講じていても、関連会社や取引先などサプライチェーンが狙われての情報漏えい事故等も多く起きているほか、近年はAIやDXの進展により守るべき資産も複雑で、かつサイバー攻撃がより巧妙化・高度化している。そのような中で、ネットワークだけではなく生み出されるデータも含めて安全性、信頼性を確保して活用できるようにする「デジタルトラスト」の構築がますます重要になっている。
今回は、株式会社BLUE 代表取締役 篠田佳奈氏と、株式会社 東芝 サイバーセキュリティセンター ゼネラルマネジャー 下田秀一に、本ウェブメディア アドバイザーの福本勲が、デジタルトラストに向けたコミュニティづくりや人材育成の取り組みについて話を聞いた。

福本：
まずお二人の自己紹介からお願いします。

篠田：
株式会社BLUE代表の篠田です。この会社は「CODE BLUE」という世界トップクラスの情報セキュリティ専門家による講演や、国や言語の垣根を越えた情報交換・交流の機会を提供する国際会議を立ち上げるために、2012年に設立しました。毎年東京で開催されており、当初400名からスタートしましたが、今では国内最大級のサイバーセキュリティの国際会議に発展しています。

下田：
私は東芝のサイバーセキュリティセンターに所属しており、グローバル規模で東芝グループのサイバーセキュリティ全体を統括しています。情報セキュリティ、製品セキュリティ、プライバシーに加え、今はOTと呼ばれる工場セキュリティにも、しっかりガバナンスを効かせていこうとしています。東芝ではセキュリティビジョンとして「サイバーレジリエンス」を軸に、リスクベースで物事を考えていく方針を立てました。脅威の完全な防御はできないというスタンスに立ち、侵入後にどのように事業を継続していくのか、その仕組みづくりを進めてきました。

福本：
昨今のデジタル化の進展に伴って、社会や企業ではどのようなセキュリティ上のリスクが拡大しているのでしょうか。

篠田：
今最もタチが悪く、対応が難しいと言われているのが「偽情報」です。これは偽物とまでは言えないものも含めてです。人々の情報ソースが従来のメディアからSNSに移ってきたことにより、意思決定や世論がそこで発信される情報に動かされる時代になってきました。これはコントロールしにくいファクターで人為的・作為的に誘導されてしまうリスクもあり、ITの進展の中でサイバーセキュリティの大きな課題の1つになっていると感じています。

福本：
ITとOTが繋がる世界になって、従来のITシステムのリスクが、社会インフラを構成するOTにまで広がってきています。さらにIoTが普及することで、セキュリティが甘いところが攻撃されることも懸念されていますが、そのリスクは大きくなっているのでしょうか。

篠田：
社会インフラのデジタル化が進んでいくことで、これまで完全に閉じていたものがインターネットに繋がり、外から接続することが可能になったことで脆弱性を突かれる事案も数多く出ていますから、その対策がますます重要になっています。特に重要インフラの場合は、予算をどう配分するかということもあります。例えば米国では水道インフラが弱いことが知られており、電力インフラでも水道の水が必要になるため、電力インフラのセキュリティ予算を脆弱性の高い水道インフラに割り当てているという話もあります。

福本：
新技術として生成AIが登場し、それがセキュリティ上のリスクになるという指摘もあります。この点について下田さんはどうお考えでしょうか。

下田：
昨今のサイバー攻撃は大半がAIで仕掛けられていると言われており、防御する側もAIを使う技術開発が進んでいます。例えば、機微な情報の質問に対して、生成AIが回答しない、あるいは質問を退けるような技術も研究されています。我々も、どのような情報を守るために、どの部分でどのような対策を講じるかの定義を急いでいます。ただ、生成AIについてはまだ発展途上ということもあり、どこにターゲットを置いてレジリエンスを高めるかを判断するのが難しい状況です。生成AIによるこの先の社会変化やビジネスインパクトを可視化しにくいという点が、現在のセキュリティリスクなのかもしれません。

福本：
フィッシングメールなども人間がやっているのか、AIがやっているのか、その相手がよく見えない世界になると、ますますリスクが高まりそうですね。そういった状況の中で、今後のセキュリティ対策をどのように見直していけばよいと思われますか。例えば欧州では、トラスト（信頼）を持った人だけが権限を持ってデータにアクセスして使えるようにする動きがあります。

篠田：
きちんとオーソライズされたマシンや人間がアクセス権を持つことが大前提ですが、最近では「ゼロトラスト」という概念が注目を浴びていますね。従来のようなファイアウォールの内側が安全で外側が安全ではないという境界型のセキュリティではなく、基本的に全てのアクセスを信用せずにフラットな状況で常に認証・認可を求め、正しい相手とだけ接続するエンド・ツー・エンドのセキュア環境を構築するという考え方です。重要インフラについて触れると、国民生活に密接に関係するものなので政府が責任を持って関わる必要があり、そうなると企業が個々に対応するのではなく、政府の取り組みの中で企業がリーチしていく形に変わってくるでしょう。そのようなトラストのレイヤー変化も出てくると思います。

福本：
CODE BLUEでは、サイバーセキュリティに関するさまざまな講演やワークショップを開催されています。従来のビジネスでは縁がなかったグローバルな人々との付き合いも広がるような場だと思いますが、開催の狙いや開催して新たに気づいたことはありますか。

篠田：
私自身が最初に出会ったエンジニアやハッカーは、多彩なビジネスのバックグラウンドを持つ人たちでした。そのためビジネスレイヤーを意識することなく、「技術面でどこまで攻撃が可能か」「それを防ぐ技術や体制はどこまでできているか」といった本質的な話をしてきました。CODE BLUEでは、ビジネスの壁というより、言語やカルチャーの壁を越えて議論することを目的に開催しています。海外では当然のように語られている危険な脆弱性が、日本国内では語ることさえタブー視されていました。そのような壁を取り払い、フラットに話せるようにしたいと常々考えていました。

下田：
確かに日本の場合、セキュリティに関する情報、事故情報は社内でも伏せられがちです。何か事故が起こっても経営層に報告を上げず内々で処理してしまう文化があると思っています。ところが海外の企業では、いかなる情報もどんどん経営層へ報告し、経営層一丸となって前向きに対策を検討しているという話をよく聞きます。

福本：
それは国によってインシデント報告の義務化があるかどうかという違いでしょうか。日本にはインシデントの報告を阻害する要因があるのでしょうか。

下田：
日本では悪いことに蓋をしてしまう文化が正直あると思います。本来はそういう情報も社内でオープンにしないといけません。さらに、その情報をセキュアな会話のプロトコルとして共有する仕組みが求められています。今私達は些細なインシデントでも、どんどん経営層に報告しています。そうしないと、経営層は「うちの会社は安全なんだ」と思い込まれ、セキュリティに予算を割いていただけなくなるなど、正しい経営判断を阻害する要因になるからです。

篠田：
とても大事なカルチャーの話をされていると思います。物事を動かすのは最終的には人間の意思決定なので、カルチャーを変えていくことが非常に大事です。あるインフラ企業の経営会議でヒヤリハットの共有を長年し続けたところ、経営層も徐々にマインドが変わり、セキュリティへの投資や体制の強化という判断につながっていきました。ヒヤリハットの共有という文化の醸成により、皆で考えていくべきリスクが明らかになったのです。

福本：
セキュリティのガバナンスや運用体制などで、東芝内で何か取り組んでいる事例はありますか。　

下田：
この数年、サプライチェーンまわりの事故が増加しています。現在、当社グループ内でのインシデントはかなり抑えられていますが、取引先へのサイバー攻撃によって情報漏えいしてしまう事故が起きており、その漏えい情報にお客様の機微情報を含むケースもあります。サプライチェーンへのセキュリティ対策は、どの製造業でも課題になっていると思います。特に、難しいのがサプライチェーンで事故が発生した際、リスクの大小の判断や、お客様を含めた影響範囲の特定に時間を要してしまうことです。
例えばA社に仕事を依頼して、そのA社が下請けのB社に委託し、その先の孫請けのC社に委託する。その際にC社が攻撃を受けて情報が漏えいすると、階層が深くなっているために、お客様に迷惑がかかるような機微な情報が漏れたのかどうかが、すぐには判断しにくいのです。サプライチェーンの下流にいくほど、セキュリティ投資が行き届いていない小さい規模の企業が多いため、そういうところから狙われてしまうわけです。

篠田：
とはいえ対策を打たずに攻撃されると、結局はお客様のダメージになり、経営の継続性に深刻な影響を与えてしまいます。契約書にセキュリティの内容を記載し、どこまで情報が渡っているのかを常に把握しておかないといけませんね。

下田：
おっしゃる通りです。どの企業に対してどの情報を与えたのかを明確にし、テストデータなどに個人情報を使わざるを得ない場合はその情報授受の管理をしっかりすべきです。ISMS（情報セキュリティマネジメントシステム）の基本中の基本ですが、そういうことをやらなければ迅速なリスク判断はできません。何か起きてから慌てて関係各所に聞きまわっていたら、初動対応が遅れてしまいます。ここは機械化できる部分があるので、そういった仕組みを考えながら地道に進めているところです。

篠田：
ぜひ進めて欲しいと思います。東芝さんが効率的なソリューションを作れば、他の企業でもニーズがあると思います。

下田：
東芝グループの取引先は非常に多く、そのサプライチェーン企業も含めてアタックサーフェス（攻撃対象領域）となっているわけです。他社さんの下請けになっている企業も多くあり取引先がクロスオーバーしているため、サイバーセキュリティ対策は個社対応では限界があります。国家ぐるみの攻撃者も多く、一社一社で個社対応していては非常に効率も悪く、また防御にも限界があります。もっと仲間の輪を広げて、コミュニティづくりをしなければいけません。既に電力や金融、交通、医療などではISAC（Information Sharing and Analysis Center）のような業界団体があり、また半導体などではSEMI規格が定められ、情報共有・連携・規格化の取り組みが進んでいますが、まだ製造業全体ではそういった団体がないのが実情です。

福本：
今おっしゃられた仲間づくりが、セキュリティのエコシステムになるのだと考えています。いろいろな業界の人々と関係を築くことで、新たなサイバーセキュリティへの対応ができるようになるのだと思いますが、そういった仲間づくりに、CODE BLUEのような団体がどのような役割を担っているでしょうか？