ITトレンド記事コラム

「サイバーセキュリティの近未来」（１）

サプライチェーン・サイバーセキュリティ・コンソーシアム
運営委員会議長　梶浦敏範

パソコンやシステムを「直す」だけではない。お客様に「満足」していただくことが私の仕事

はじめに

　冷戦期以来という国際的な緊張の高まりから、各国で起きる紛争や内戦、先進国の中でも社会不安や貧困・格差問題が深刻になる中、日常の犯罪から国家間の衝突まであらゆる分野でのリスクが高まっている。一方でインターネットを経由して全てのもの（個人・企業・設備等）がつながる社会となった今、サイバー空間はリアル空間と同様に重要なものになると同時に、悪意のあるものも自由につながることのできる無法地帯であることにも留意が必要である。

　このコラムでは、昨今の事情を鑑みて、サイバーセキュリティの近未来像を概説する。視点としては、企業のセキュリティ部門責任者（CISO）及びCISOを補佐する立場の人に合わせたものにしたいと考えている。

１．企業が直面するリスク

　かつてサイバーセキュリティといえば、情報漏洩対策、特に個人情報をどう守るかに議論が集中していたことがある。サイバー攻撃も、Webサイト改ざんのような愉快犯や、情報を窃取する技法を誇るようなものが多く、企業側は「１件あたり○○円のお詫びを漏洩対象の個人にお送りする」くらいの対応で良かった。しかしその後、情報窃取後そのファイルを暗号化して「復号化キーが欲しければカネを払え」とする身代金要求型や、企業活動そのものを止める攻撃も目立ってきた。個人情報漏洩も問題だが、それ以上に企業の事業継続に対する脅威が経営者の悩みのタネとなっている。

　「ウチの会社に盗られるような（個人）情報はほとんどない」と考えていた経営者もいたが、事業継続ができなくなれば財務上大きな影響があるだけではなく、直接の取引先を含めたサプライチェーン全体を危機に陥れることにもなりかねない。努力を重ねて復旧し事業再開にこぎつけても、企業にとって最も大切な「信頼」を失ってしまえば、自社の存続自体も危うい。

　全ての企業は、事業継続をすることで社会的責任を果たしているわけだから、今やサイバーセキュリティ対策は経営課題となったわけだ。そこで大手企業を中心に、セキュリティ部門の体制を整備し、予算を付け、CISOを置いて対策を推進できるようにしている。

２．ゼロトラストとすべき必然

　これまでも企業は、しかるべきセキュリティ対策を施してきた。事業所の入り口には入退場管理システムが置かれ、企業活動に関係のない人の入場を拒んできた。いわゆる「境界防御」である。この方式の問題点は、入場できてしまえばかなりの内部システムにアクセスできること。このリスクを多くの企業関係者が実感したのは、「COVID-19」禍で急速に普及したテレワークである。

　サテライトオフィスは管理できても、家庭のIT環境までは企業の情報システム部門などは把握できていない。VPN経由の接続も、

多くのテレワーカーが同時にアクセスし、VPNの許容量を超えた
VPNそのものの脆弱性情報が流れ、安心できなくなった

などあって、十分な対策とは言えない。

　またテレワークとは別に、外部のサービスを利用することも増えていた。例えばクラウドサービスならば、そもそも自社内にサーバ等は存在しないので「境界防御」の対象にならない。そこで利用されるようになったのが「ゼロトラスト」という考え方。

　諜報の世界では「自分以外何も信じられない」という意味で、この言葉を使うという。法も秩序（Law & Order）もない世界で、自分を守り任務を遂行するための心得である。実はサイバー空間にも「Law & Order」はないか、少なくとも不十分である。理由は、

サイバー空間には国境がなく、各国の法律は一般に国内でしか有効ではない
日本に限らず有体物法の規定だけで、無体物を守る法体系は存在していない

　からである。後者の問題については、データ窃盗罪が存在しないためUSBメモリなど媒体を盗んだ罪しか刑法では問えないことが典型例である。そのような環境下では、今コンタクトしようとしている相手をまず「信用できないもの」とし、信用度をゼロから計り始めるべきというのがこの考え方だ。

３．ゼロトラスト導入の前に

　では具体的にどう「ゼロトラスト」を実現するのか、各種のソリューションが提案されるだろうが、導入前にユーザ企業自身が行うべきことがある。それは自社内、および自社が利用している各種の資源を整理することである。次の６項目を見える化して評価し、どのくらい信用できるかを定量化しておくのが望ましい。

Identity　利用者、つまり人のこと
Devices　PCやスマホなど、シャドーITは排除すべき
Apps　Officeのように一般的なものから、独自開発のアプリケーションまで
Infrastructure　ハードウェアや基本ソフトウェア
Network　VPNなども含め経由する通信路

　に加えて「Data」の整理も必要だ。恐らくこれが一番難しいだろう。企業内にはローカルなデータも多いし、IoTで産み出されるデータもあって日々増え続ける。とても全部はできないとしても、企業活動にとって重要なデータ区分を定めて、各部門が個別に保有している、もしくは外部から取得しているデータについての評価はしておくべきだ。

　では何が重要なデータなのか。どのような企業にとっても共通して言えることは、

失われる、もしくは改ざんされることによって、自社の事業継続に重大な障害をもたらすもの
漏洩し、または公開されることによって、自社の社会的信頼を決定的に失わせるもの

　と考えられる。その重要度についてもレベル差があろうが、整理法としては米国政府の例を参考にする方法もある。米国政府は機密情報を４段階に分けて管理し、アクセスできる人の資格など管理の方法やレベル分けしている。

Top Secret（機密）漏れたことで致命的な損害を受ける情報
Secret（極秘）漏れたことで重大な損害を受ける情報
Confidential（秘）漏れたことで損害を受ける情報

　ここまでがClassified（機密に指定された情報）で、その下にこれに準ずるものとして、Controlled Unclassified Information（CUI）が設定されている。

　数年前ある巨大IT企業にヒアリングしたが、やはりデータの整理を強調していた。その時点では、このような特別な企業にしかできないことだと考えたのだが、テレワークやクラウドなど外部サービス利用が増えるにつけ、難しくても挑戦すべきだとの危機感が日本企業にも高まり、実践する企業が増えたのは良いことだと思っている。

４．クラウドセキュリティの必要性

　どんな企業にも多くの部門、事業所、拠点などがある。大企業なら、関連会社や海外拠点も少なくないはずだ。中には規模の小さなところもあって、個別にIT環境を整えるなど本社のITガバナンスが効かないことも珍しくない。規模の小さな拠点については、複数を束ねてIT環境のクラウド化が有効だ。外部サービスを利用することで、より経済合理性も追及できる場合もある。

　クラウド化のメリットは、合理化だけではない。サイバーセキュリティ対策としても、有用なものがある。いくつもあるサイバーセキュリティ対策の基本項目（*1）の中で、クラウドサービス上で実現できるものも少なくない。これによって、本社のIT部門、セキュリティ部門がリモートで逐一対処するより効率的に、必要最小限の対策を標準的に施すことができる。

　加えてクラウド上でセキュリティをサポートしているサービスの中には、対策の自動化を実現しているものもある。昨今のサイバー攻撃者は、自動攻撃の手法を使っている。人手によって攻撃相手を探して仕掛けをし、後始末をするような手間はかけない。ランサムウェアのような攻撃手法を持っていたら、真に目標にする相手の周辺にもウイルスを自動化してバラ撒くなどする。自動化された攻撃に対して、人手で立ち向かうのでは、無策というもの。ただでさえサイバー攻撃に対しては攻撃者優位が一般的なのに、これでは現場が疲労してしまうだけだ。そこで、自動攻撃には自動防御が望ましい。

　ただしクラウド利用にあたって留意すべきことがある。まずセキュリティ以前に、業務やデータの標準化をしないで、ただクラウド化するようでは効率も良くない。まずSaaSレベルでの実現を目指し、出来ない部分はPaaSレベルで、それも困難な特殊業務などについてはIaaSでもやむを得ないとするのが望ましい。

　次に契約条項に注意し、特にインシデントが起きた場合のクラウド事業者と自社および関係する第三者機関の責任分界点や復旧等の条件は確認しておくべきである。それを運用にあたる組織・従業員に徹底することが求められる。また日々の運用で、設定をミスするなどのヒューマンエラーについても事前に評価し、チェック体制などを確立しておく必要がある。このようにして、クラウド化による合理化、効率化、自動防御に向けた体制構築が一通り実現できる。

　「ゼロトラスト」は業務遂行の考え方。クラウド化はその考え方を必要とする原因であると同時に、実現のための有力な手段という関係にある。これらは相互に関係しあいながら、企業の成長とリスク軽減に役立っていくことだろう。

　攻撃側がこれまでの自動化を上回る、AI（人工知能）による攻撃をかけてくることも予想される。ならばAIによる自動防御も出来るのではないか。この点については次回にご紹介したい。

*1：https://www.ipa.go.jp/security/guide/sme/about.html