セキュリティ対策は人や組織にも注目すべき

まずは新倉さんがセキュリティの領域に目を向けたきっかけを教えていただけますか。

新倉 茂彦氏（以下、新倉氏）：ゲームをきっかけに小学生の頃からPCに没頭する、当時としてはちょっと珍しい子どもだったこともあり、インターネットの登場に私は大きな衝撃を受けました。メーカーや大手通信事業者が管理する従来のパソコン通信とは考え方自体が全く異なるわけですからね。「これは大変なことになるぞ」と直感し、当時の仕事であったイベントコーディネート業のかたわら、個人でWebサーバーを立ち上げ、セキュリティを学び始めたことがそもそものきっかけでした。その後、危機管理企業の情報セキュリティ部署の立ち上げに参画し、本格的にセキュリティの仕事に携わるようになりました。それが2000年のことです。

その会社ではネットワークセキュリティの領域に取り組まれたのですか？

新倉氏：ネットワークのセキュリティもテーマの一つでしたが、当時、情報漏えい発生時にまず疑うべきは内部の「人」でした。さまざまな現実に触れる中、私自身の関心もサイバー領域から人間心理や組織管理の領域に自ずと移っていきました。また、人や組織に関する対策を考えることに、イベントコーディネートの経験が生かせると気づいたことも大きな理由でした。

それはどのような意味でしょう？

新倉氏：海外アーティストのコーディネートを例にすると、空港で出迎え、宿舎やテレビ局、イベント会場、コンサート会場に送り届けることが分刻みのスケジュールで設定されているわけですが、どれだけ事前の準備を重ねても、何かしらのトラブルは発生します。その際に求められるのは、動きながら最適な判断を下すというスキルです。当初、私はセキュリティに対して、事前準備が全てを占めるスタティックな世界を想像していましたが、実際は全く違いました。インシデント発生時に「だから言ったじゃないですか」と言ったところで意味はありません。被害の最小化に向け、状況に応じて動きながら考えることが求められるのはイベントコーディネートの世界と全く同じなのです。近年、情報セキュリティはサイバー空間上で外部からの技術的要因が脅威だけと思われがちですが、サイバーセキュリティはその一部に過ぎないことは、まず押さえておく必要があると感じています。

“逆の思考”で考えるそれが対策のヒント

中小企業を踏み台にしたサイバードミノリスクが叫ばれる中、企業は何に注目し、対策を進めるべきだと考えますか？

新倉氏：個別案件ならば、その質問に答えるのは容易です。しかし、業種も取り組みレベルも異なるあらゆる企業に当てはまる答えは存在しません。まず、端末のウイルス対策やネットワークの入口・出口対策などツールで対応できることは対策するのが大前提であることは間違いないのですが、その上で、組織や人の対策に取り組んでいく必要があります。具体的には、中小企業のセキュリティ対策に向けてIPA（情報処理推進機構）が定めた「SECURITY ACTION二つ星」が参考になるでしょう。「基本的対策」「従業員としての対策」「組織としての対策」に分類された全25項目を一つ一つ潰していくことをお勧めしたいと思います。

自己評価を前提にすることがSECURITY ACTIONの課題であると指摘する声もあります。

新倉氏：まさにそのとおりで、対策の深度が重要になると考えています。「理解できている」と「出来ている」は一見同じかもしれませんが、実際は全く違います。私はセキュリティ研修の講師を務める機会も多いのですが、研修の最後に「分かりましたか？」と聞けば、皆さん「分かりました」と答えます。では、実際に同じような事態に遭遇した際に正しい行動がとれるかというと、それは別の話です。頭では理解できていても、引っかかる人はやはり引っかかるわけです。私のような外部の専門家を利用することも選択肢の一つですが、コストの問題に加え、できることに限りがあるというのが実情です。やはり、自分たち自身の成長を通して対策の深度を高めていくことが求められます。

では、深度を高める上で何か具体的なアドバイスはありますか？

新倉氏：私がよくお話ししているのは、「逆を考える」ことです。旅行の準備を考えると分かりやすいのですが、どれだけ詳細なチェックリストを用意したところで、準備の手落ちや忘れ物はなくなりませんよね。それはセキュリティ対策も同じなのです。しかし、攻撃者の視点に立つと、意外なほど簡単に対策の手落ちや弱点が見えてきます。「金銭の目的と搾取」「企業秘密の窃取」など、攻撃者の目的とペルソナを具体的に設定し、その立場で自社の対策を眺めることは対策を考えるうえで大きな意味を持つと思います。同様に、対策の優先順位を変えてみることも有効です。セキュリティ対策は防御対象に優先順位をつけて対策を考えることが一般的です。そうした中、重要度が低い対象を最優先に考えるとどうなるかを具体的にシミュレーションすることで、これまで気づかなかった弱点が浮かび上がってくるはずです。

人を対象にした攻撃リスクは今後さらに高まるはず

近年のサイバー攻撃の変化に関して気づかれたことはありますか？

新倉氏：基本的な考え方は同じですが、より悪質化しているのが近年の状況です。「トクリュウ」ではありませんが、これまで想定してこなかった「そこまでやるのか」という攻撃が確実に増えていると感じています。情報が金になることが明らかになった今、多くの人に知っておいていただきたいのは、攻撃はネットワーク経由に限らないという現実です。攻撃者の視点から見ると、内部の人の弱みを握る方が実は攻略が簡単なのです。ランサムウェアが仕込まれたUSBメモリーをPCに差し込んだり、指定URLを踏ませるだけで同様の成果が得られるわけですからね。米国の情報セキュリティ専門家であるブルース・シュナイアー氏は、セキュリティの強度について「鎖は、いちばん弱い輪以上に強くなれない」という言葉で説明しています。その言葉が当てはまるのはシステムやデバイスだけではありません。組織を構成する人にも当てはまることは肝に銘じておくべきです。また、彼は安全対策とセキュリティ対策の違いを「緊急時、安全に避難できる非常口の数を考える。ことが安全対策。非常口を封印してビルに火をつけ、殺人を行う者がいる。と考えるのがセキュリティ」と、安全対策の域を超えていない現状を知ることが重要だと説明しています。日本と米国の文化の違いもありますが、最悪の事態を想定した対策は、今後さらに大きな意味を持つと考えられます。

「サプライチェーン強化に向けたセキュリティ対策評価制度」（SCS評価制度）が、来年3月をめどにスタートする予定です。

新倉氏：制度の意義は疑うべくもありません。しかし、第三者機関による客観的評価を前提にする★4以上と違い、「専門家による評価」というあいまいさが残る★3については、SECURITY ACTIONと同じような課題が残るのではないかと私は見ています。おそらく★3の評価は、対策を考えたコンサルタントやシステム導入を手掛けるSIer内部の「専門家」が行うことになるはずです。企業のセキュリティ対策は、エクスキューズという意味合いが大きいことは否めません。一口に言えば、「我々はここまでやっている」と対外的に説明できればそれでいいわけです。こうした中、セキュリティの品質が本当に担保できるかというと、私は難しいのではないかと感じています。SCS評価制度は今後議論が深まっていくと思われますが、それとは別に、例えば大塚商会様のような社会的評価と実績を兼ね備える企業が音頭を取り、評価の仕組みを立ち上げることもその解決策の一つになるはずです。承認を得ることで、SCS評価制度に加え、その水準もクリアしていることを担保するSSLのようなブランドシールを表示できるようになることが、私の具体的なイメージです。

ご指摘のとおり、取得コストが安く済めばそれに越したことはないというエンドユーザー様も多いはずです。一方でそれは、万が一のトラブルの際に取り返しがつかない結果につながります。

新倉氏：私が懸念するのもまさにその点です。SCS制度はサプライチェーンの要になる企業が取引先に対し、重要度に応じて★3、★4の取得を求めるというのが基本的な考え方ですが、仮に★3取得企業を起点にサイバードミノが生じたなら、その企業は大きな対価を払うことになります。お客様の立場を考えるなら評価はシビアに行うべきなのです。一方では、この機会に、より高い格付けを得ておきたいと考える企業も少なくありません。格付けさえ得ておけば、既存のサプライチェーンに問題が生じた際に新規案件が受注できる可能性がありますが、未取得の企業は同じ土俵に上がることすら許されないわけですからね。SCS評価制度は今後、大きなビジネスチャンスになることは間違いないと思います。

特に中小企業の場合、「うちは盗られて困る情報はない」という経営者は今も少なくありません。

新倉氏：確かにそのとおりですね。私がセキュリティ相談に乗る企業でもそういう方は珍しくありません。しかし、企業として存続できているのであれば、何らかの強みがあるはずです。中には、職人の手仕事のように言語化が困難な強みもあるでしょう。しかし、その場合も、マニュアル化を目指した時点で情報の人質化などのリスクが生じるのです。そのことはしっかり伝える必要があります。

最後に読者の皆様にメッセージをお願いします。

新倉氏：パートナーの皆様にまずお伝えしたいのは、セキュリティ製品の提案をより分かりやすい形で行っていただきたいという点です。温泉に例えるなら、人々が求めるのはアルカリ度や源泉温度ではなく、効果の説明であることを忘れるべきではありません。もう一つが、セキュリティに関する知見を共有することの重要性です。サイバー攻撃の悪質化が懸念される中、既存の知見を次世代に伝えることが大きな意味を持つと私は考えています。