セキュリティ担当者への「現状把握」と「積極的諦め」のススメ　“サイバーリスク＝経営リスク”の時代の処方箋

フリー株式会社の最高情報セキュリティ責任者が登壇

茂岩祐樹氏：みなさまこんにちは、フリー株式会社の茂岩と申します。本日は、「もし明日、セキュリティ担当者に指名されたら」と題しまして講演をさせていただきます。よろしくお願いいたします。最初に自己紹介をいたします。フリー株式会社に2022年の4月から入社し、CISO（最高情報セキュリティ責任者）を務めさせていただいております。

その前は、ゲームや横浜ベイスターズという球団等でご存じの方も多いと思いますけれども、ディー・エヌ・エーという会社に創業の頃から22年ほど勤めておりました。

前半の15年ぐらいはまだクラウドがない時代でしたので、サーバーネットワークやデータベースといったインフラストラクチャーの設計、構築、運用を行う部門を統括しておりました。2010年頃から、企業でもサイバーセキュリティ対策が無視できない状況になりましたので、セキュリティ部門を立ち上げて以降、セキュリティに従事しております。



フリー株式会社のご紹介も簡単にさせていただきます。創業が2012年ということで12年経過しました。フリーは会計のSaaSプロダクトを提供しております。

ミッションは、「スモールビジネスを、世界の主役に。」です。世の中にあるほとんどの会社がスモールビジネスに分類されるんですけれども、これらのバックオフィス業務を簡単にすることを通じて、起業家のみなさんが本業に集中できるようにし、社会に貢献していこうという会社になっております。



先ほど会計SaaSと申し上げましたけれども、会計、人事労務、電子契約、その他請求書など、企業を支えるバックオフィスのいろいろな業務を簡単にするサービス群を「統合型経営プラットフォーム」と呼んでおり、さまざまなプロダクトを提供しております。

ご視聴の方の中には、ここに書いてある各プロダクトをご利用の方もけっこういらっしゃるのかなと思いますので、今後ともよろしくお願いいたします。



有料課金ユーザー数、53万事業所になっておりまして、毎年多くのユーザーさんにお使いいただいているプロダクトになっております。

セキュリティ担当者に指名されたらまず考えること

では、自己紹介、会社紹介は終わりまして、さっそく中身に入っていきたいと思います。今日は、セキュリティ担当者に指名されたらまず考えることということで、主にこれからセキュリティを始める方、あるいは「セキュリティのことをやってくれ」と会社の上層部の方に言われた方をターゲットに、内容を組んでまいりました。

ですので、最初に始めることや、セキュリティの組織化をする際によくお勧めしている、CSIRT（コンピューター・セキュリティ・インシデント対応チーム）の構築の話。その他、経験をもとにセキュリティ（対策）を進めていく中で注意したほうがいいですよというTipsをまとめてきましたので、そういう順番でお話ししていきたいと思います。

最初に、なぜセキュリティ対策が必要かという内容についてお話しするんですけども。このへんは、セキュリティ対策自体をすでに始めている方にはあんまり大きな意味を持たないかもしれません。

ただ、経営層の方を説得したり、上から言われたんじゃないけど、自分自身がセキュリティが気になっていて、これから始めるんだという方には、このへんの内容は非常に役に立つかなと思います。

「サイバーリスクは経営リスク」

まず、「サイバーリスクは経営リスクである」といろんなところで言われていると思います。この話は、セキュリティにあまりなじみのない方にとっては、つながりがよくわからないことが多いと思います。



ランサムウェアを例にすると、そのつながりというか、まさにサイバーリスクは経営リスクだということを、非常にきれいに説明できるのでよく使っております。

ランサムウェアはご存じの方が多いと思いますけれども、IPA（独立行政法人情報処理推進機構）が毎年発表している組織の10大脅威で9年連続1位ということで、まさにいつ自分の身に起こってもおかしくないものになっております。

これが経営にどういう影響を与えるかというと、日経やNHKなどのいろいろな大きなメディアでも何度も報道されていますように、上場企業で自動車の製造ラインが止まったり、決算データが暗号化されて決算発表できなかったり。

あるいは、医療機関の電子カルテのデータがなくなってしまって、医療行為に非常に影響を受けてしまったと。その際はBCP（事業継続計画）を発動して、昔のように紙のカルテで診察したそうですが、非常に効率が悪くなって外来が止まってしまったと。

そういった非常に大きな影響を与えている（サイバー攻撃）というのが、日本でも複数発生していることになります。つまり、こういうランサムウェアに感染すると経営が非常に大きな影響を受けることはわかっていただけると思います。

ランサムウェア対策は、経営リソースを使った総力戦

一方で、「セキュリティ部門、情報システム部門ががんばればいいんじゃないの？」と思われる上層部の方も多くいらっしゃるかもしれませんが、ランサムウェアの問題の解決は、経営リソースを使った総力戦になります。

まず業務が止まって機会損失・契約不履行が発生します。機密データが盗まれるとNDA違反。顧客情報が漏洩すると、個人情報保護法に触れる可能性があります。1,000件以上、あるいは漏洩したデータによってはそれ未満でも、個人情報保護委員会（および本人）に報告する（義務があります）。

あるいは、海外で事業を展開していらっしゃる事業者さんにとってはGDPR（EU一般データ保護規則）とかですね。米国であれば、また同様の海外プライバシー法令があります。こういうものに準じて報告をしなければいけないという法律の問題があります。

あるいは、バックアップも暗号化されてしまい、このままでは事業が止まってしまうので、やむなく身代金を払う決断をしたいという場合もあります。しかし日本では、「ランサムウェアの身代金を払うことは厳に慎むべきである」というふうに経済産業省が実際に公表しています。

ですので、身代金を支払うこと自体がレピュテーションリスクになったり、その資金の出どころによっては会社法に触れる可能性がある。仮にこういう身代金を払うとしても、財務基盤上大丈夫なのかという。

一番下に書いてあるように、技術、法律、倫理、財務。こういった経営のあらゆるところで対応が必要になってくるという経営全体の問題。ここまで説明すると、やはり経営者の方も、ちょっとぞっとするんじゃないかと思います。

ということで、「セキュリティは企業の身だしなみ」と書いていますけれども、あらゆる企業がもうすでに、無形資産が総資産価値の大部分を占めている状況になりまして、やはりセキュリティ対策はしっかりしなきゃいけないんだというふうになると思います。

セキュリティインシデントが発生すると、何らかの損失があります。事業が止まったり、復旧のための情報システムの投資があったりします。いろいろな機関がその影響を試算して公表しています。中小企業でも数千万円ぐらい損害額が上るんじゃないかとか、株価の下落、純利益の減少といったものが発表されています。

大規模インシデントは中長期的な戦力低下にも影響

あとは、米国では投資家の9割がサイバーセキュリティの情報開示を投資判断の1つとして捉えているということで、これはおそらく5年ぐらいの間に日本にも浸透してくるんじゃないかと思っています。先ほど申し上げましたように、法令対応もあります。

経営陣がしっかり責任を持って、無形資産の管理を行うべきとみなされています。最近では日本でも、大規模な情報漏洩事件を受けて社長が引責辞任するというケースも出てきています（注：この件は内部不正事案であった）。少なくともこういったランサムウェアのような、世の中で非常に流行っている問題に関しては、対策をしっかりやっていく必要があると思います。

一時的な出費や契約不履行だけではなくて、一番怖いのは中長期的な戦力低下です。セキュリティの仕事を長年やっていると、いろいろな事件や事故にあった方とお話しする機会があります。大規模インシデントの対応が大変なのはなんとなくわかると思うんですが、対応が非常に長期間にわたるケースがあります。1年、2年と対応が細々と続くケースもあります。



こういう場合はやはり優秀な社員をアサインしないとしっかり対応できない。2次被害があったり、たくさんのお客さまが見ているということで、優秀な社員をそこに充てると。

それでも、やはりハードな仕事の中で疲弊してどんどん辞めていったり、戦力や競争力、企業価値の低下という流れで、企業価値が下がっていく。そういうところに行き着いてしまうのが、非常に大きな問題だと思っています。

あとは、大事故が起こった時に謝罪会見をして、株主さんやパートナーの方々、いろいろな方々に「今度はしっかりセキュリティ対策をやります」と約束をすることになると思うんですけども、どうしても過剰対応に振れるところが多いようです。

何も起こっていない時は、これぐらいでいいのかなと思って普通に対応する。でも、やはり事故が起こるとみなさんに注目されてしまうので、「中途半端なことはできないよね」ということになり、過剰な対策をすると、業務がけっこう面倒になってしまったり不便だと。

こういうことでも競争力低下を招いてしまうということで、何か起こる前にセキュリティ対策をバランス良くやろうというのがお勧めしている内容になります。

セキュリティ担当は技術に詳しくなくてもいい

ということで、セキュリティが重要だということをわかっていただいたと思いますので、次はセキュリティ担当になったら何をするかというところに入っていきたいと思います。

すでにセキュリティ分野を勉強されている方にとっては、このへんはもう飛ばしてもいいかなと思う内容なんですけども。まだセキュリティ分野があんまりわかっていないよとか、あらためて勉強したいよという方にとっては、「何から手をつけるか」の参考になるかなと思って持ってきました。



実はセキュリティの技術は非常に重要なんですけれども、入り口に関しては技術以外にもあります。法令や監査も十分入り口になります。ですので、こういう専門性、あるいは自分が好きな分野ということでどれかを選ぶといいのかなと思います。

最終的にチームを作って対応するんですけども、セキュリティに関しては1人で全部の分野をカバーするのはかなり困難です。実際にそれができている人は自分の周りにもいないです。ですので自分のコアとなるところを選んで、まずはそこを進めてから仲間を増やして、チームで全体をカバーすることが現実的な流れかと思います。

「自分は技術にあまり明るくないからセキュリティはできない」と思わずに、いろいろな入り口があることを覚えておいていただければと思います。

「現状把握」と「積極的諦め」の大切さ

最初に行うのは、やはり現状把握が一番重要ですね。ちょっと技術的な話になってしまうんですけれども、セキュリティのチェックシート等がいろんなところで公開されています。IPAさんや業界団体、さまざまなところがこのシートに合わせてチェックしなさいということで公開しているので、自分の会社に合ったものをダウンロードしてチェックしてください。

下に、IPAさんが出している「中小企業の情報セキュリティガイドライン」から抜粋したものを載せてあります。人的対策、情報資産管理、さまざまな分野がありまして、それぞれやるべきこと、最低限これぐらいやってくださいということが書いてあります。



これに沿って、自分の会社でここはできているな、ここはぜんぜんできていないなということをまずは把握していただく。これは非常にまずいぞということがありましたら、そこを優先的にまず手当てしてみると。自分自身でできなければ、ベンダーさんやほかの部署に応援を頼んで手当てすることを最初に行えばいいかなと思います。

あとは、守るべきデータを思いきって絞り込むのがすごく大事です。会社にはいろんなデータ、情報があるんですけど、それら全部を1バイトも漏らさないぞと思ってもなかなか大変です。

「積極的諦め」と呼んでいるんですけれども、会社で本当に、身代金を払ってでも漏洩から守りたいと思うのはどういう情報なのかを、上層部の経営陣の方とも一度議論をしていただく。そこに絞り込んで対策を進めると入りやすいかなと思います。これは後々、力がついた時にでも広げていけばいいかなということで考えております。

（セキュリティ対策は）1人でできないというのは先ほども申し上げましたけれども、社内で協力者を見つけることもできればいいかなと思います。

最初は「ひとりCSIRT」が当たり前

最低限の対策を始めるきっかけを説明してきたんですけれども、どんどんやることを増やしていくと、組織化しないと手に負えなくなってきます。セキュリティチームやセキュリティの部署を作ろうという時にお勧めしたいということで、CSIRTの構築についてご説明します。



CSIRTという言葉は今はけっこういろんなところで言われているので、聞いたことがある方も多いと思います。CSIRTは、Computer Security Incident Response Teamの頭文字を取った略語で、もともとはインシデントが起こった時にすぐ対応するチームということで編成されています。

なぜCSIRTを作るかというと、CSIRT同士のいろいろな情報交換があったり、過去に多くの組織がCSIRTを作っていることで事例やフレームワークがたくさんあります。そういうことで、これから作る際に失敗が少ないのかなというのがお勧めする理由です。CSIRTを名乗ると、NCA（日本シーサート協議会）という、日本でCSIRTの一番大きい組織に加盟して情報交換ができたりします。

今のフリー株式会社では（セキュリティ対応の担当が）20人ぐらいいるんですけれども、最初から10人、20人というとなかなか投資対効果を示しづらい。ですので、私も前職でCSIRTを立ち上げる時は1人から始めました。

コミュニティにも「ひとりCSIRT」という言葉がありますけれども、最初は1人でCSIRTを始めるのがよろしいかなと思います。

世界初のウイルスへの対抗策もチーム戦だった

「CSIRTって何ですか？」というと、Wikipedia等に載っているので詳しくは読んでいただきたいんですけども。ルーツはカーネギーメロン大学で、1988年に「モリスワーム」という世界初のウイルス（が作られました）。マルウェアと呼ばれることもありますけども。



このモリスワームがコンピューターネットワーク上で非常に大きな騒ぎとなり、対応するためにはチームが必要だということで立ち上げられました。詳しくはwikipedia等を見ていただければと思います。

CSIRTは世界中にたくさんあって、先ほどの団体に加盟している日本の組織だけでも500チーム以上あります。コミュニティでさまざまな情報交換をすることが非常に重要になります。

例えば会社の中では1人しかセキュリティをやっている人がいない、誰にも相談できないというケースがありますけれども、これだと本当に正しい対策になっているのかといった自信がなかなかつかない。こういうコミュニティでいろいろな相談をしながら、自分で軌道修正をしていくことが重要になります。

競合状態にある会社同士であっても、セキュリティは協調領域だということで、私もいろいろな競業他社の方々と日頃から情報交換して対策に結びつけています。

「CSIRT、どうやって作ったらいいの？」って疑問にお答えする、いろんなマテリアルがあります。ここにいろいろなリンクを貼ってありますので、お手元にも配布される資料を参考になさってください。あとはGoogleで「CSIRT 構築」と検索するといっぱい出てきます。こういうものを参考にしていただければと思います。



PSIRTというものもあります。PSIRTはCSIRTの後にできた、プロダクトのインシデントレスポンスチームなんですけども。最初に特殊な目的がなければ、CSIRTのほうを作っていただければいいかなと思います。

セキュリティ対策のネクストステップ

CSIRTを作ってしばらく運用して、だいたいいろんなことに対応できるようになってきた時のことをちょっとお話しします。構想から2年、3年経過して、社内外でもCSIRTの存在が認知され始めて、メンバーのスキルも向上した。



そうすると、社内にまだまだ手つかずの問題があるのがわかってくるわけですよね。そういった時にどういうふうにしていくかという話になります。

ネクストステップはさまざまで……この時には一定のセキュリティの知識を身につけていらっしゃると思いますので、書いてあることに限らずいろいろなリスクに応じて対策を進められていけばいいのかなと思うんですけれども。

ネクストステップというところに書いた3つを紹介していきたいと思います。まず、リスク分析・評価をあらためてしようということです。IPAや業界団体のチェックリストを使って自社の足りないところを見つけるのは、けっこう最低限だと思っていて、もっと詳細にやるべきことがあります。

NISTのサイバーセキュリティフレームワークというものに合わせて、社内にある脅威に対してそれぞれにどういう対策を打つべきかを照らし合わせると。

セキュリティにすごく強度の高い部分があったとしても、弱いところからやられるケースがあります。ですので、満遍なくレベル感を合わせていくことが非常に重要になります。

ガバナンス強化や演習も重要

同時に、技術的対策だけではなくてガバナンス強化も非常に重要です。ですので、「セキュリティポリシーを作ったことはあるけど、しばらく見直していないな」という会社さんは、けっこう多いと思います。これは非常に（重要なので）、毎年見直すぐらいでやっていただければと思います。

セキュリティポリシーも抜け漏れなく（更新する必要があります）。例えば10年前に作ったポリシーには、スマートフォンで業務をするということがあまり書いていなかったりしますよね。

ですから、技術の進歩に応じて業務形態も変わってきます。それに合わせてスマートフォンだったり、リモートワークでの業務環境を想定したセキュリティ対策をポリシーに入れ込んでいく必要があります。

ここにいろいろな雛形や資料を載せておきましたので、参考にしてください。



あとは、攻撃者側はどんどん日進月歩で手を変え品を変えやってきますので、CSIRT自身も勉強する必要があります。さまざまな勉強があるんですけども、ここには演習が非常に大事であるということを載せています。

マニュアルを作ったら、それを使って演習してみましょうということで、昨今非常に重要視されています。国の機関であるNISC（内閣サイバーセキュリティセンター）にしても、毎年1回重要インフラ向けに演習を実施しています。弊社でも毎年、大規模障害訓練という全社レベルのものをやっていまして、ブログにも書いていますのでご参考になさってください。

投資対効果や「バランス解」を意識する

ここまでがCSIRTを構築して運用して育てていくフェーズなんですけれども、セキュリティをやっていく上で、いくつか大事になってくるであろうことを記載してきましたので、最後にご紹介したいと思います。

セキュリティをやっていって、ある程度知識をつけると、やること1個1個は簡単だけど、それを完璧にやるのはけっこう難しいなと思うことがあります。



例えば、数千台のパソコンがあった時に、アンチウイルスソフトやEDR（パソコンやスマートフォンなどのエンドポイント端末を監視し、不審な振る舞いを検知して対処するためのツールやサービス）をそこに入れるんですけども。

全PCで常に最新のシグネチャで運用することを担保するのがどれだけ大変かというのは、運用されている方は非常に身に染みて感じられるんじゃないかと思います。こういったように100パーセント稼働させるには努力が必要です。

あとは、いろいろな新しいセキュリティソフトが出てきます。予算に余裕があればいいことなんですけれども、投資対効果を出すために、「本当にこれを使い込んでいるのか？　実はあんまり役に立っていないんじゃないか？」っていう点検を、1年〜2年に1回はされるといいのかなと思います。

「バランス解」ということで、セキュリティに自信がついてくると、権限をたくさん持ったりして、セキュリティ原理主義に陥ってしまう場合もあります。セキュリティは非常に強い権限を持っているので、なかなか事業の人が相談しづらい。それでは良くないということで、いい落としどころを見つけられるセキュリティチームになることが理想かなと思います。

バランス解を見つけるためにどうすればいいかというと、リスクベースのアプローチを取ることが重要です。リスクが極限までゼロに近い状態を目指すのはあまり得策ではないと思うので、リスクテイク可能なラインをちゃんと見極めて話し合っておくことが大事です。

事業フェーズや経営者のタイプに合わせたセキュリティ対策のコツ

あとは会社や事業のフェーズです。会社の中にもさまざまな事業があって、1つはスタートアップの事業、1つは非常に歴史のある事業だと、それぞれで求められるものが変わってくると思いますので、それに合わせて考えるのが大事かなと思います。

あとは、経営層への報告を忘れてはいけません。CSIRTを作って組織化もできて予算もある程度与えられるようになったと。じゃあこれでOKじゃなくて、事件が起こらなくて平和だと、「もうそろそろ予算カットしてもいいんじゃないか？」と思う経営者の方もいらっしゃいます。



ですので、3ヶ月か半年に1回程度は、どんなリスクが会社にあって、どんな手を今打っているのか。あるいは、日経やNHKで報道される他社の事件は、経営者の方もよく気になって見ていますので、そういう事例を分析して、自分の会社で起こるのかどうかをシミュレーションして報告するといいかなと思います。

定期報告する際に、脆弱性診断を行った結果や、アンチウイルスで何件引っかかったということを定量的に出したりするといいんですけれども。毎回同じ報告だと興味がなくなってきてしまうので、中身に変化が出るように工夫するといいと思います。

あとは、経営層の方にもそれぞれタイプがあります。もともと専門分野が違ったりしますので、相手に興味がありそうなトピックを選んでネタを作ることも、自分は今まで気にしてやってきました。

最後にまとめです。セキュリティは企業経営にとって必修科目です。既存のチェックシート等を利用して、まず対策検討から始めてください。セキュリティを組織化する段になりましたら、CSIRTがお勧めです。CSIRT組織を育てて、企業活動が安全に実施できるように、さらに競争力も高まるように準備していただければと思います。

最後に付録として、いろいろなリンク集ですね。このへんの資料は、CSIRTやセキュリティ対策をする際に役立つものもあるのかなと思いますので、ご覧になってください。



駆け足でしたけれども、私の講演を以上で終わらせていただきます。ご清聴ありがとうございました。