サイバー攻撃のリスクと対策コストの天秤
寺岡篤志氏(以下、寺岡):では、次のテーマにちょっと話を進めたいと思います。今、企業が国あるいは国と関わりのある攻撃者からどう身を守るかという話について考えました。
この時に、具体的なソリューションもそうなんですけれども、どのように予算を確保するか、人を確保するかは永遠の課題かなと思っております。このような課題は多かれ少なかれ、どのような企業さんも持っていらっしゃるのではないかなと思います。
まして国が背景になった場合はインフラの企業が対象になり、さらにそのサプライチェーン。先ほど大佐さんも「弱いところを狙う」というお話をちょっとされていたかなと思うんですけれども、ある程度サプライチェーンまで考えると、やはり予算が非常に乏しい企業にも、ある程度セキュリティの問題が降ってくる。
その中でどのように予算を確保し、どこに投資すべきか・すべきじゃないかを考えていかなくてはいけないのじゃないかなと思うんですけれども。
大佐さんは企業の方、クライアントにも助言をされるお立場にあるかと思うんですけれども。企業さんはどのようなところで悩んでいらっしゃるのかというところを、おうかがいできればなと思うんですが、どうでしょう?
同業他社と同等のセキュリティ投資なら安心?
大佐氏(以下、大佐):日本の方に多いかもしれないですけど、この悩みに関してはわりとみなさん似たような感じですね。だいたい同業他社がどれぐらい投資しているかという話で選ばれる方が多いんですが、一番最初に重要なのは「自分たちが持っているものは何で、それが出回るとどういう被害が起きるのか」を算出することです。
予算と投資判断のフレームワークはほぼ同じなんですが、何か投資を行う、いわゆるプラスの側面の意思決定を経営陣が考える時には、この事業もしくはこの製品、このビジネスにいくら投資するといくら返ってくるかという収益率計算をします。それで部下や役員かもしれないですが、(経営陣は)「こんなんじゃわかんないよ」とだいたい言うわけですね。
ただし、守る側となった時にはみんな一辺倒で、やはり(現場が)知識を持っていて経営陣に提言したり、経営陣自体がセキュリティの知識、情報の知識を持っているケースは、日本だとまだ多くはないです。
なので、どういうふうにしていいかわからないんだけれども、とりあえず不安を煽られる。「これを入れとけば本当に大丈夫なのか?」と確認するんだけれども、「いや、ベンダーが大丈夫と言っていました」「担当者は大丈夫と言っています」みたいな、自分の中でかみ砕いて話せる人がまず少ないと思います。
そうしたら、経営陣としては「そんなふんわりしたのを入れなくても、うちはまだ被害に遭ってないんだから、まだやらなくてもいいんじゃないか?」。なんなら一番ひどいのは、「うちなんか狙わないよ」と錯覚する。
寺岡:(笑)。なるほど。
大佐:このケースに陥ることがやはり多々あります。セキュリティの担当者の方もそうですし、もしかしたらセキュリティのビジネスをやっていらっしゃる方も、そういうふうに(一番最初にやるべきことを)言っていくことで、この国全体のレベルは上がっていくと思うんですが。
自社の被害額のシュミレーションと根拠を出せるか
大佐:自分たちが持っている情報がどの程度流出したら、どんな被害や犯罪に使われる可能性があるのかという、被害額の想定シミュレーションおよび根拠を作る。これがまずファーストフェーズです。
一番最初の「自分たちが持っている資産は何ですか?」ということすらわからなかったら、そもそもふだんの正の側面の投資をどうやって意思決定しているのか、僕にはわからないんですけれども。
負の側面だったとしても、正の側面だったとしても、今の自分たちが持っている資産は何で、その中で重要なものは何かというのは、すべからく全員が把握する必要があると思っています。そこすら終わってない企業は、まずそこからやりましょう。
情報整理が終わっている企業は、次のステップはわりとシンプルです。その情報がネット上で流出しようが、従業員が持ち出そうが、犯罪者が突然USBを挿しにきても、どの経路かはあんまり問題ではなくて。
流出した時に、どのような副次的な被害があるのか。これは一次被害、二次被害、三次被害というふうに分けられるんですけれども。自分たちが直接で、株主や経営陣が負う責任・被害、そして取引先が負う被害、そしてユーザーが負う被害をちゃんと整理した上で、どのような被害が起き得るか。
その被害の規模はどれくらいか。それに伴う責任がまたブーメランするので、それはどれぐらいかという見積もりをする必要がありますよねと。それ自体を防ぐために、どれぐらいのコスト、バジェットを準備しておくかという順序になります。
ほとんどの方は先にバジェットを獲得しないといけないとか、知識が足りなくて被害の想定ができない。これは人間関係を除けばほぼ情報の格差ですから、そういった部分の算出根拠もわからなければ、どういった犯罪が起きるのか、どのような被害が来そうなのかがわからないので決められない。
でも予算を取らないと、自分たちの部署の活動が云々というパラドックスに陥っているだけなので。情報を提供して被害をシミュレーションしてもらうだけでもぜんぜん違うと思いますし。
僕は日本はあまり詳しくないんですが、そういった被害シミュレーションをちゃんとやってくれる会社さんがいらっしゃるんであれば、そういうところに頼む、もしくはわかっている人にアドバイスを求めるのがいいんじゃないかなと思います。
上場企業はセキュリティ対策のIRを出してもいい
寺岡:日本でよく言われるのがですね、セキュリティの予算を単純なコストとして考えてしまう傾向が非常にあると。それをいかに戦略的な投資にするか、自身のビジネスの発展にとって必要なことだとマインドセットを切り替えるか。
日本企業はできてはいないのか、あるいはできている企業は何が違うのか。これは大佐さんの目から見ていかがでしょうか?
大佐:本来だったら、やはり行っている対策を公言したり、自分たちが持っている情報資産はこれぐらいのシミュレーションで、それが流出したらこれぐらいの被害になるというのを、自分たちのデータとしても持っていていいでしょうし。上場会社だったら、有価証券の報告書とかIRで言ってもいいんじゃないかと思います。
例えばここ数年で発生している、わかりやすい被害みたいなところで言うと「SIMスワップ(不正に複製されたSIMカードでスマートフォンの契約者になりすます犯罪)」とかですね。
電話番号や住所情報さえあれば、(SIMカードを)切り替えられてしまう被害もそうなんですけれども。これまでは、盲目的にクレジットカード情報やその他取引先の銀行口座情報、いわゆる金融にひもづいた情報が流出してはいけない情報であると思っている方が多くてですね。
まさに情報流出した企業のプレスリリースを見ればわかるんですが、「重要な情報は流出していません」「個人に被害が及ぶ情報は流出していません」というプレスリリースが、日本では特に多いんです。でも、「それを基にさらなる犯罪はいっぱい起きるんですが」という情報が多分に含まれているプレスリリースが数多くあります。
寺岡:見える化ができていないという。
大佐:そうです。「何の情報が流出すると、どのような被害がどれぐらいの規模で起き得るか」。これらの指標自体が、まだこの国にもフレームワークとして固まってないと思います。
陸海空と同等の重要性を持つ「サイバー領域」
寺岡:先ほどおっしゃった有価証券報告書でPRするというお話は、記者の立場からすると非常に感じ入るところがありました。ユーザー企業さんにセキュリティの取材を申し込んでも、正直言うとかなりの確率で断られてしまうことがありまして。
セキュリティを会社のPRの資産として考えるマインドセットは、まだなかなかないかなという感覚ですが、日本と海外を比較してみると、やはりそういった企業はもうちょっとあるんですかね?
大佐:やはり少しずつ出てきていますし、特にヨーロッパ圏だとGDPR(EU一般データ保護規則)の関係もあって、かなり個人情報の取り扱いに厳しくなっています。それこそ、情報漏えいがあった時の罰則や経営陣に対する訴訟ですね。株主代表訴訟の起きる発生率も、日本と海外では大きく違います。
海外と一括りに言っても、やはり基本的には、特にイギリスを含むヨーロッパ圏、アメリカの事例がよく取り上げられるわけですけれども。そういった情報の管理体制や、情報漏えいした時に企業にどのような被害があって、顧客や政府、法律の部分からも縛りがかかっているとか、対応を求められるケースはどんどん増えてきています。
この国もそういったところに対応していくというのは、わりと近い将来に来る部分かなと思っています。
なぜなら戦争も含め、ロシアとウクライナの問題もですけれども、そういったサイバーというものは軍事力に直結する部分でもありますから、平時の最中に気をつけないといけない部分です。
やはり今後の戦争……。ちょっと出し忘れましたが、先週SBU(ウクライナ保安局)のサイバー部門が、GRU(ロシア連邦軍参謀本部情報総局)によるウクライナ戦術プラットフォームへのハッキングを止めたというのがニュースになったんですけれど。
やはり今後の戦争においても、サイバーは陸海空と同程度の比重を持つ領域だと思います。日本も徐々にそういった知見がある人が予算獲得していった上で、ハードだけでなくソフトとか人員についてもしたたかに、軍民両用のモノとヒトを用意していく必要が出てくると思いますから。
民間企業にもその煽りは絶対来ますし、直接的な被害を受けるのは民間企業が多いですから、そういった部分への対応は求められていくのかなと思いますね。
企業側のPRにもつながる、セキュリティ対策の開示範囲
寺岡:情報公開をどの程度のレベルまでするかという判断なんですけれども。先ほど私が言った通り、取材を断られてしまう企業に「なんでダメなんですか?」とちょっと食い下がって聞いてみると、残念ながら「ダメなものはダメなんです」という返事が返ってくると言いますか。
要は、何を言っても攻撃を誘引するようなことにつながるのではないかと。「このレベルだったら、そんなことにはならないんじゃないですか?」と説得しても、「いや、そういうふうに決まっているんで」というやりとりになるんですけれども。
例えば「こんなセキュリティツールをこう使っています」というものだと、逆に相手側に攻撃方法を想像させてしまうこともあると思うんですけど。どういった内容であれば、攻撃者のモチベーションにはつながらず、かつ会社のPRにつながるのか。この線引きはどう考えるべきでしょうか?
大佐:一番簡単なのは、被害額算出の想定金額自体と、持っている顧客資産の計算式みたいなものを作ることでしょうね。いわゆる攻撃の種類と被害想定額から、自分たちの資産はニアリーイコールになるわけじゃないですか。
これは金融的な資産、BS・PLに反映するものではなくて。「情報資産を金銭価値に換算した時に、どれぐらいの被害が起き得ると想定できますか?」というのが、情報資産として自分たちが守るために予算を割くところとリンクするので。
今は日本ではまだ市場環境が整い切っていないと思いますから、PLやBSというところの、あくまでPLにコストが入るという話にはなるんですけれども。想定被害額シミュレーションを行うことによって、自分たちが持っている情報資産がどれぐらいの顧客や取引先なのか、自分たちがビジネスを遂行している中でため込んだ情報資産なのか。
社員や仲間、経営陣がその価値を認識するという意味合いも込めて、「自分たちが持っている顧客資産が流出すると、これぐらいの想定被害額になってしまいますよ。それに対応するわけだから、これぐらいのセキュリティ予算・対策を積んでいます」という考え方でいけば。
もちろん、そこの計算式が水増しに水増しを重ねたり、「この想定シミュレーションってホンマにあるんだっけ?」「こいつら、『情報資産をめっちゃ持ってます』というふうに盛りたいだけじゃないの?」みたいな見方ももちろんできるわけなんですけれど。
それはそれで別に1つのパラメーターなので、情報資産の計算式は、ちゃんとシミュレーションと、どういう攻撃を想定してというもの自体が内部文書として明確にあれば(いいと思います)。
「自分たちは狙われない」「予算をかけてるから」がリスクに
大佐:それよりも重要なのは、「自分たちは狙われないでしょ」と高を括っている経営陣とか、「いや、別に今すでにこれだけの予算をかけてるんだから大丈夫でしょ?」とか。すでにかけているサンクコストがあるから、対策や対応をコンバートしたりアップデートするのを億劫に感じている“脳死している人たち”とか。
寺岡:(笑)。
大佐:そういう人たちが、「守らなければいけない資産がこれぐらいあって、そのまま流出するとこれだけの被害額になってしまいます。それに対して、これぐらいの予算を割いているんですよ」と、IRとして適切に対外的にも話すことができれば。
それはセキュリティの面から見ても、透明性の面から見ても、それこそイチ有権者、株主や顧客から見ても、「この人たちはしっかりやろうとしているんだ」というのがわかるようになると思います。
「対策してます」「とりあえず言ってみた」という話のテンプレみたいなところがほとんどだと思うので、イチ企業として自分たちが、何を守らなければいけないと思っているのか。顧客や取引先といった、いわゆる自分たちの商圏範囲内の人たちがどうそれを感じるか。
もちろん時間がかかる部分はあるかと思いますけれども、上場企業で年間に何社被害に遭ってるねんという話なので。上場してようがしてまいがやらないといけないと、ガラパゴス化した日本もどんどん変わってくる部分じゃないかなと思います。
IT土方をいくら養成しても、高度なサイバー人材は増えない
寺岡:予算の話をいろいろおうかがいしましたけれども、人材の確保という部分。やはりサイバー人材が足りないという話は、日本でも世界でもよく言われていると思いますが、これはなかなか解決が難しい問題だと思います。
これも予算に絡んでくるかと思いますが、大佐さん、いかがでしょうか? 何か企業の方に助言できることはありますでしょうか?
大佐:これがやはり難しい問題で、スタート地点からで言うと、1980年代から始まったオフショア開発自体が、そもそもこの国の技術人材の空洞化を加速させたという大罪から始まるので。
寺岡:なるほど(笑)。
大佐:現状だけ切り取って話すのはなかなか難しいんですけれども、特にサイバー人材は、別にサイバーに特化して何かを学んでいるというよりは、コンピュータ全般の知識と造詣が深い人間たちを、どういう環境、それから運用ルールで作っていくかという変数がなかなか多いんです。
特にこの国だとやはり司法取引の回数が少ない部分がありますし、どういうかたちで攻撃を学ぶ人間たちに対しての実践環境を作るかという点。企業側がそういった人材をどう受け入れるか。
そして、ひたすらSQLを叩きまくるIT土方みたいな仕事をSESで売っている企業さんがいらっしゃるんですけど、そういった土方を養成しまくっている以上は、土方でしかなくてですね。
それこそスポーツ選手の年俸制もそうですが、移籍金で数億円だ、数十億円だ、数百億円だという一騎当千、一騎当万どころか、1人でほぼ何でもできてしまうやんという高度人材たち。それをどんな枠組みで吸い上げて、企業の中に取り込むかというところが、やはり一番難しい部分です。
国策として、サイバー人材を守り育てて活躍の場を増やすべき
大佐:そして、そういうちょっと斜めに世の中を見ているような「斜好性」を持っている人間たちが、セキュリティ上守らなければいけない重要な会社に入るかというと、その企業自体がおもしろくないと入らないわけですから。
守らなければいけないんだけれども、その会社の一員として入るかといわれると、またこれが難しい問題だというのが、並列で絡んでしまっています。そうなると、やはり重要なのは教育と、教育の中でいわゆる意図的にあぶれ出した人間をどう吸い上げて仕組みで守ってあげるか。
そして、守ってあげる枠組みとして、情報機関や司法取引のような制度がありつつも、その人たちが実践環境として企業に対して擬似的な攻撃をしたり、それこそ他の国との連携の中でそういったことをするとかですね。
単価の問題、それから環境の問題で、もちろん今は人材として稼げる手段も増えてしまっています。「稼ぎたいからこれをやる」という人よりは、それ自体がおもしろいから、それ自体がカッコいいと思っているからやるという人たちがやはり重要です。
そこは「ニワトリ・卵」ではあるんですけれども。「隗より始めよ」じゃないですが、そういった人間をある種すくい上げる。そして、パンダにするわけではないですが、注目させて「ああいうふうになったらおもろそうやん」というのを作り出すようなことは、国の政策としてはやらないといけないところがありますね。
理想は社内にレッドチームを作ること
大佐:「人材をどう育てるか」というのを抜きにした場合、今の市場環境で企業が確保するかというところでいけば、社内にレッドチームを作るのがもちろん理想形です。
ただ、第三者的な視点でもレッドチーム的なオペレーションをやらないといけないことも同時にあるわけです。だから、そういったセキュリティの専門家を集めているような会社に「実際にやらないといけないことが何かわからないから、丸投げする」というのではなくて。
先ほど僕が言ったように、自分たちの資産を可視化して優先順位をつけ、その被害額想定・シミュレーションを行った上で、対策をもう一回確認する。その対策自体がちゃんとはまっているかどうかを実際に擬似攻撃を受けて確認するという。
この一連のフローに対応できる会社に頼みつつ、やはり自分たちの知識もアップデートしていくところから始めるしかないんじゃないかなと思ってはいます。
ただ、最近海外の大学もそうですし、それこそ日本の上場企業でも「サイバー人材を育成します」と言って、いろいろな人材派遣の会社と組んだり、人材を育てて輸出していく企業も増えてはいるので。
自分たちの社内に、そういったレッドチームの準備室を作っていくような環境作りからまずは始めていくのが、イチ企業という部分では重要なんじゃないかなと思います。
作る側と壊す側の両方の考え方を持っておく大切さ
大佐:「右回り」と「左回り」という言い方をよくするんですけれども。ものづくりとか何かを構築するのが左回り。良い製品や良いソリューション、良いプロダクトを作って良いビジネス生み出す、利益を上げて、売上を(増やす)という左回りの考え方と。
逆に右回りで、どうやって攻撃するか、どうやって被害をもたらすか、どうやってこの建物をバラバラにするか、このテレビをバラバラにするかといった、リバースエンジニアリングと呼ばれる部分に近いんですけれども。
左側と右側で異なるベクトルの頭の使い方なので、左回りの人間を右回りに変更するのはまあまあ難しい部分があります。なので、できるだけ若い人材や逆側の回転をしている人間たちを社内の中に抱える。
もしくはそういう人たちを抱えている会社に、知識をちゃんと共有・連携した上で仕事を頼む。そういったところが直近だとできる部分じゃないですかね。
寺岡:なるほど。いろいろなお話をおうかがいしてきましたが、こう言ってはなんですが、やはりバックグラウンドがかなり特殊な方なので、なかなか聞いたことのないお話もおうかがいできたんじゃないかなと思います。大佐さん、あらためてありがとうございました。
大佐:ありがとうございます。いや、そうなんだよな。雑談みたいな話ですけど、左回りの考え方で「めっちゃいい建物を作ろう」という時に、「どうやってこの建物をぶっ壊そう?」というのを同時に考えるのってほぼ不可能に近いので。
寺岡:ああ〜。
大佐:だから、そのあたりの人間の頭の使い方の適性を見た上で、中に入れていくしかないんでしょうね。雑談っぽくなりましたが、そう思います。
寺岡:ちなみに、うちの会社って2009年に新しく自社ビルを建てたんですけど、その当時は耐震性が強すぎて「壊し方がわからない」みたいな話を聞きましたね。「なんじゃそりゃ?」と思いましたけど。
大佐:それはめちゃくちゃ重要です。「どう壊すか」を同時に考えなかったわけなので。
寺岡:そういうことなのかなと、今お話を聞いていて、その話を十数年ぶりに思い出しました。
大佐:非常にセキュリティ上、とても重要な考え方ですね。
寺岡:では以上となります。どうもありがとうございました。
大佐:ありがとうございます。
