ITトレンド記事 コラム
「中堅・中小企業のサイバーセキュリティについて
エキスパートが語る
~経営者と現場に今求められること~」(2)
サプライチェーン・サイバーセキュリティ・コンソーシアム
運営委員会議長 梶浦 敏範氏
![[イメージ]「中堅・中小企業のサイバーセキュリティについてエキスパートが語る~経営者と現場に今求められること~」(1)](../../lib/img/solution/column/it_trend/kv_discussion23B01_pc.png)
メンバー紹介
サプライチェーン・サイバーセキュリティ・コンソーシアム
運営委員会議長梶浦 敏範氏
東芝ITサービス
セキュリティビジネス推進部 主幹(技術専門職)枡田 鉄也
東芝ITサービス
セキュリティビジネス推進部 参事鈴木 孝臣
本記事は、「中堅・中小企業のサイバーセキュリティ対策」をテーマに、サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)の運営委員長や一般社団法人 日本サイバーセキュリティ・イノベーション委員会(JCIC)の代表理事などの要職を務める梶浦敏範様と、弊社でセキュリティビジネスを担当する枡田と鈴木が語り合った座談会の模様を、全4回に渡って紹介しています。
第1回目では、中堅・中小企業のサイバーセキュリティ対策の現状や課題について語り合った内容を紹介しました(未読の方は、ぜひこちらからご一読ください)。第2回目となる今回は前回に引き続き、中堅・中小企業で求められる具体的なセキュリティ施策について、より具体的で突っ込んだ議論が展開されました。
01元請け企業がサプライチェーン全体の観点に立って対策を指導することが必要
そうしたチェックを行う方法としては、現時点では元請け企業が下請け企業にチェックシートを配って自社の対策状況を申告してもらうやり方が一般的ですが、それ以外にも客観的な評価を行う方法は存在します。例えばIPAでは中小企業や零細企業でも自社のセキュリティ対策のレベルを判定できる「5分でできる! 情報セキュリティ自社診断」というツールを提供していますし、中小企業が自ら情報セキュリティ対策に取り組むことを宣言することで「一つ星」「二つ星」の認定を得られる「SECURITY ACTION」という制度も実施しています。
そうやって対策状況を可視化することで、セキュリティ対策に対するモチベーションの向上も期待できそうですね。セキュリティ対策はリスク管理上極めて重要な取り組みであるにもかかわらず、その効果が目に見えにくいため、やはりモチベーションを維持・向上させるための取り組みは大事だと感じています。
モチベーションを上げるためのコツは、減点方式ではなく加点方式で取り組みを評価することだと思います。例えば社内で標的型攻撃メール訓練を実施する際も、フィッシングメールを開封した従業員にマイナス評価を与えて叱責するのではなく、開けてしまったことを速やかに申告した場合にプラス評価を付けて褒めるといったやり方の方がはるかに効果的です。
02平時からインシデント発生時のシミュレーションを行っておく
セキュリティ対策というと、どうしてもマルウェアの侵入を防ぐための防御策のことが真っ先に思い浮かびますが、近年ではサイバー攻撃の手口が極めて高度化・巧妙化しているため、「感染・侵入を100%防ぐのは無理」「万が一感染・侵入を許してしまった場合に備えることが不可欠」とも言われています。
インシデントが発生した場合に備えて、平時からインシデントレスポンスの体制やプロセスを整備しておくことはもちろん重要です。しかし実際には、大企業でも全社規模でこれを行うのは容易ではなく、せいぜい部門単位で局所的に行っているのが実情です。従ってその企業の事業継続にとって最も重要な事業やシステムに範囲を絞って、インシデントのシミュレーションを実施するというのが現実的なところだと思います。
でも実際にやってみると、たとえインシデント対応時の手順をあらかじめ詳しく定めていたとしても、かなりの抜け・漏れがあることが分かります。従って年1回でもいいのでシミュレーションを実施して、体制やプロセスの不備を洗い出しながらいざというときに備えることはとても重要だと思います。
弊社の統合セキュリティ診断サービスや標的型攻撃メール訓練サービスなどの提供を通じて、お客様の脆弱性の可視化やセキュリティ脅威への対応能力を客観的に評価するお手伝いをしています。また「セキュドック」という弊社独自のホスト型セキュリティ診断ツールを使って、サーバ設定の不備を可視化するようなサービスも提供しています。このように弊社が第三者の視点からセキュリティ対策状況を客観的に評価した結果を、お客様側が「経営層にセキュリティ予算を上申する際の説得材料」として利用されることも多々あります。
経営層を説得する際の材料としては、かなり有効でしょうね。さらに言えば、ベンダーが提示する評価データに加えて、IPAやシンクタンクといった中立的な立場の組織が提示する客観データも加えれば、より説得力を増すと思います。
03複数の中小企業でクラウド上の標準セキュリティモデルを共有
東芝ITサービスさんのようなベンダーが、中堅・中小企業向けにさまざまな支援を提供されていることは素晴らしいことだと思いますし、経済産業省やIPAなどの公的な機関も中小企業のセキュリティを底上げすべく、知恵を絞っていろんな施策を打ち出しています。ただしその一方で、規模が小さい企業はどうしてもセキュリティ対策に投じられるお金や人員に限りがありますから、1社単独でできることには自ずと限界があるのも事実です。
そこで個人的には、複数の中小企業が集まって情報システムをクラウド基盤上で共有するような、いわば「商店街クラウド」のような仕組みができたらいいなと考えています。例えば会計システムのような仕組みはどの企業もほぼ同じですから、各企業がばらばらにシステム投資を行うよりクラウド上に構築した標準システムを皆で共有した方がはるかに効率的です。
そのようなモデルが構築できれば、セキュリティの仕組みも複数の中小企業の間で共有できますね。
その通りです。複数の企業のシステムを集約することで規模が大きくなりますから、その分セキュリティにもより多くの予算や人員を投じられるようになります。先ほど話題に上がったインシデントレスポンスなどもそうした共有モデルにすることで、より強固な体制を築き上げることができるでしょう。
例えば中小企業庁は例年100億円のIT導入助成金の予算を計上していますが、従来はこれを1万社に100万円ずつ配るような使い方をしていました。それを100社で共有するクラウドに1億円ずつ支給して、そのうちの10%をセキュリティに投資してもらうようにすれば、ある程度のレベルに達した標準セキュリティモデルを数多くの中小企業が安価に利用できるようになります。
既に地方自治体の世界では「自治体クラウド」でそうしたセキュリティモデルの実装が始まっていますね。
国内の自治体の数より中小企業の数の方が圧倒的に多いのですから、このような共有モデルを民間分野で実現できれば非常に大きなインパクトがあると思います。実際に私たちは業界団体やシンクタンクとしての立場から行政に対してこのような政策を提言しているのですが、ぜひベンダーやSIerの方々にも前向きにご検討いただけるとありがたいですね。
(第3回に続く)
今日のサイバーセキュリティ対策は1社単独ではなく、サプライチェーン全体でリスクを評価・対処していく必要があると言われています。そのためにはサプライチェーンの上位に位置する元請け企業が下請け企業に対して、対策の重要性をきちんと指摘・指導することが重要だというお話をうかがってきました。
さらに言えば、単に指摘・指導するだけではなくて、きちんと行っているかどうかをチェックすることも重要です。実際のところ、指摘に対して「うちはきちんとセキュリティ対策を行っています」と答えていた企業が、よく調べてみると多くのセキュリティリスクを抱えていたというケースもあります。
元請け企業から見ると、自社のサプライチェーンに連なる複数の下請け企業のうち、1社でもそういう企業があれば大きなセキュリティリスクを抱え込むことになりますから、やはり元請け企業がしっかりルールを定めて、サプライチェーン全体を俯瞰しながらセキュリティを管理していくことが重要だと思います。