新年あけまして、おめでとうございます。
本年もブログをよろしくお願い致します
今年も、押さえるべきセキュリティ対策についてお話したいと思います。2022年は、主に以下のような攻撃が数多く行われ、企業や病院などが被害を受けたニュースは皆さんもお目にしたかと思います。
- ランサムウェアを使った攻撃
- サプライチェーン攻撃
- 脆弱なOT系セキュリティを狙った攻撃
2023年も、こうした攻撃はとどまらず、むしろRaaS等により攻撃者側の技術的ハードルが下がり、攻撃は増加していくと思われます。
そのため、今回のBlogでは、そうした攻撃に一つひとつツールやシステムで対策していく、という話ではなく、根本的な対策として、脅威に対する意識、つまり人レベルの対策についてお話しできればと思います。
具体的には、将来のサイバー脅威に対して、企業の存続や健全性に責任を持つ経営者や、それら企業を評価する投資家の立場で考慮しなければならないこと、その対策として徹底すべきことを整理します。
経営者の視点から見るサイバー脅威
2022年には、大きな自動車会社がサプライチェーン企業への攻撃により、1日の間、生産ができない状態になったり、病院がランサムウェアによって電子カルテにアクセスできなくなったりするなど、事業や人命にかかわるインシデントが起きました。こうした攻撃に遭うと、影響を受けるのは企業だけでなく、様々なステークホルダーに影響が出るため、サイバー脅威は組織一体となり、考える必要があります。
経産省は産業界に対し、サイバーセキュリティ政策*1を策定し、あるいはサイバーセキュリティ対策*2を発信しています。2021年6月の政府調査*3によると、日本には会社組織が177.7万社あります。そのうえで、20人以上の企業が、25万社(約14%)あり、そうした企業はある程度資金を持っているため、サイバー攻撃の標的になり易いと考えられます。もちろん個人も、あるいは19人以下の企業もサイバー脅威はあります。特にサプライチェーン攻撃では、対策が脆弱な組織から侵入し、大企業に入り込むことが常套手段として使われます。つまり、攻撃者にとっては、177.7万社を攻撃し、25万社あるいはもっと大規模の企業に入り込める可能性があるため、非常に攻撃対象となり得る領域(アタックサーフェス)が多い国と言えます。
さらに、地政学的なリスクも脅威となりえます。国を挙げたサイバー攻撃が行われたことも、2022年では特にニュースになっていましたが、日本も直接の攻撃対象でなくとも、攻撃によって派生した影響を受けてしまう恐れがあります。「キルネット」や「PHOENIX」といった攻撃集団が、日本政府や企業に対し、攻撃を仕掛けてきたことは記憶に新しいことと思います。
IR活動の視点から見るサイバーセキュリティ
経営者にとっては顧客、従業員、取引先などは売上や利益の発展に重要ですが、事業を行う元となる資本を提供する資本家も重要なステークホルダーです。そのため、資本家が投資するための評価軸は、経営者として気にする観点でしょう。自社の健全性や成長を何で評価するかをブレークダウンし、売上高自己資本比率やROS、ROAなど企業の健全性の維持や改善を測る指標、成長のために必要な新規事業開拓の進捗を測る指標や、現在ではSDGsへの貢献、ESGへの取組みも評価軸として大きな比率を占めています。
欧米の機関投資家やコンサル会社などの報告*4*5によれば、海外においてサイバーセキュリティは、ESGのS=Socialのプライバシーやデータセキュリティと位置付けられており、特にサイバーセキュリティはESG要素のなかでかなり上位に入っています。IR活動を海外に対しても行う企業が増えている中で、こうしたトレンドは、無視はできないのではと思います。つまり、IRの観点からも、サイバーセキュリティ対策を考える必要がありそうです。
日本の大企業でもESGを役員報酬に反映*6し、信賞必罰の対象として取り入れている企業も出てきています。今後、このように役員報酬だけではなく会社が取り入れている執行役員の報酬制度にも取り入れる事例が多く出てくると思います。
サイバーセキュリティ対策で注意すべきポイント
攻撃者は、サイバー攻撃を行うために様々な準備を行います。実行前には、攻撃対象の調査や、攻撃手段の整備、実行段階では攻撃対象システムへの侵入、そして攻撃を実行します。攻撃実行に重要となる侵入のためには、ターゲットのシステムに何らかの脆弱性が必要です。脆弱性と聞くと、ハードウェア、ソフトウェアなどの「ITに関する要素」を思い浮かべるかと思いますが、それだけには限らず人間の弱みや発言を含めた行動、あるいは電灯、機器の発する発熱や消費電気などの環境の脆弱性も含まれます。
NISTのサイバーフレームワーク ver.1.1 *7では、要素として、下記の5段階を定義しています。
- 識別 システム、人、資産、データ、機能に対するサイバーセキュリティリスクの管理に必要な理解を深める。
- 防御 重要サービスの提供を確実にするための適切な保護対策を検討し、実施する。
- 検知 サイバーセキュリティイベントの発生を識別するための適した対策を検討し、実施する。
- 対応 検知されたサイバーセキュリティインシデントに対処するための適切な対策を検討し、実施する。
- 復旧 レジリエンスを実現するための計画を策定・維持し、サイバーセキュリティインシデントによって阻害されたあらゆる機能やサービスを元に戻すための適切な対策を検討し、実施する。
つまり、ITシステムだけではなく、それを利用する人や運用する人も含めた人的な対応や、組織としての対応なども含めた対策が必要になります。サイバー脅威のみならず地政学的な脅威が高まる2023年は、今一度セキュリティ対応や対策全体を見直し、改善、強化する必要が必要ではないでしょうか。(「対応」:何かが起きたときに状況や相手に応じてふさわしい行動をとること。「対策」:何かが起きる前に、相手の状況や事件の様子に応じて施す手段や方法)
キーワードとしては、「サイバーレジリエンス」「3線ディフェンス」「教育」です。最初に2つに関しては、過去Blog「ランサムウェア対策とサイバーレジリエンス」および「情報漏えい、改ざんを防ぐ多線防御」でご紹介しており、対策として「アタックサーフェスの活用」や「アクティブサイバーデフェンス」があります。「教育」に関しては専門家ではないですが、サイバー脅威を正しく認識し、どうすればサイバー脅威を回避できるかに関しては他のBlogで紹介していますので、ぜひご覧ください。
2023年のサイバー攻撃
2023年は
- サイバー攻撃は組織の存命に関わること 組織経営の取り組むべき課題
- 日本も例外なく攻撃対象になること 機械翻訳の進化で日本語の特殊性(日本語としておかしい表現)は解決ではない状況
- 日本には攻撃し易い状況 セキュリティ対策の遅れ、サプライチェーンが多岐にわたるなど
を、再認識しサイバー脅威への対応と対策を考えていただきたいと思います。
組織によっては、業界毎のISAC(Information Sharing and Analysis Center)活動や組合活動に参加されていると思います。自助努力も重要ですが、そのような場で情報や悩みを共有したり、共助、協働したりといった活動も重要です。また、専門分野以外のコミュニティへ参画してみたり、といった視野を広げたりすることも大切です。そうすることで考え方も拡大していくと思います。
繰り返しになりますが、「うちは大丈夫」と考えずに、全ての組織において再度サイバーセキュリティ全体を見直す機会を作っていただきたくお願いします。
ご相談はいつでも大歓迎ですので、当社あるいは私宛にご連絡いただけますと幸いです。
出典(参考文献一覧)
※1 経済産業省|サイバーセキュリティ政策(参照日:2023-01-06)
※2 経済産業省|サイバーセキュリティ対策についての産業界へのメッセージ(参照日:2023-01-06)
※3 経済産業省|政府統計の総合窓口(参照日:2023-01-06)
※4 PwC Japanグループ|なぜESG格付けにおいてサイバーセキュリティの重要性が高まっているのか(参照日:2023-01-06)
※5 RBC Global Asset Management|2022 Key Findings(参照日:2023-01-06)
※6 ITmedia ビジネスオンライン|デンソーが役員報酬にESG指標を反映 “信賞必罰”の制度に迫る(参照日:2023-01-06)
※7 NIST Technical Series Publications|重要インフラのサイバーセキュリティを 改善するためのフレームワーク(参照日:2023-01-06)
