第8回「Society5.0」実現に向けたサイバーセキュリティの強化
サイバーセキュリティ月例セミナー

サイバーセキュリティを考える際の基本的な視点 ~ 価値創造と危機管理
経団連は2014年から「サイバーセキュリティに関する懇談会」を設置し、重要インフラを担う企業、ITベンダーを含めて約30社が集まり議論を重ねてきました。各企業がそれぞれの立場で、サイバーセキュリティをどのようにしていくのか、何が問題なのかを話し合い、2015年2月に最初の提言を、2016年1月に第二次提言を行った後、2017年11月には企業行動憲章に初めてサイバーセキュリティという文言を挿入し、意識の向上を図ってきました。
いま日本だけでなく、世界のありとあらゆるものがインターネットでつながり、データが流れる仕組みになっています。さらに得られたデータをAI技術で自動的にすばやく理解し、対策を講じることもできます。その一方で、データを改ざんしたり、盗んだり、あるいは機能を止めたりするような悪意ある行為をされる可能性も増えてきています。サイバー攻撃などのリスクは世界に拡がりつつあり、場合によっては極めて大きな被害をもたらす可能性があります。

もう一つは、今回のメインテーマであります、危機管理です。新しいトレンドの中で、付加価値を生み企業を成長させるときに大きなリスクとして立ちはだかるのは、サイバー攻撃であります。単に一企業の動きが止まってしまうだけではなく、重要インフラ等が止まって社会不安を引き起こすこともあり得るからです。そこでまずは、企業がその社会的責任として主体的にその対策を講じないといけないのです。
ですが、完璧な防御というのは不可能です。国家レベルのサイバー攻撃部隊を相手にした場合、一企業では太刀打ちできません。そこで、攻撃を受けるのはやむを得ないとして、いかにそのリスクを減らしていけるかが重要になります。日本企業の場合は、自然災害に対する十分耐える能力があります。サイバーリスクも自然災害と同じように考えるべきだというのが二点目です。
三点目に、事業継続という考え方です。攻撃をされた場合でも最低限の社会に対するサービスは維持する、そして、いかに早く復旧させるか、いわゆるBCP(ビジネス・コンティニュイティ・プラン)を地震やパンデミックのような自然災害だけでなく、サイバー攻撃にも当てはめていくことです。
具体的に取り組むべき事項
(1)取り組む姿勢
企業がサイバーセキュリティ対策に取り組む姿勢は、まず自分のことは自分で守るという「自助」が基本です。次に、それだけでは守り切れない場合は、業界団体で一緒に考えて、どのようなサイバー攻撃を受けて、どのような被害を受けたのかという情報を共有し、予防に努める「共助」があります。さらに、そこに政府が援助を行うという「公助」があり、さらにはインターネットでは世界が一つなので「国際的な連携」、例えば米国でサイバー攻撃事例があればそれを教えてもらうということが必要になっていきます。
(2)意識改革とリソースの確保
では、企業として具体的には何に取り組んでいけばいいでしょうか。
まずは「意識改革」です。
具体的には、一つ目は、サイバーセキュリティというのは、ある特定の部門が頑張るというのではなく、何かを企画する段階からここのセキュリティはどうあるべきなのか、ということを意識していく、つまり、「セキュリティ・バイ・デザイン」という考え方を持つことです。
二つ目は、経営者の意識改革。一般社員のレベルでは、不審なメールは開けないとか、何か感染したと思ったら相手方にすぐに連絡をとるとかが必要ですが、最も重要なのは経営陣の意識改革です。日本の経営者は、米国と比べて「ボクはコンピュータのことは分からないから」という人が多いのです。サイバーセキュリティは、経営の最重要課題の一つだと認識し、取締役会等で定期的に報告することに務めていただきたい。これは企業経営リスクの一つですから、ITの細かいことまで知らなくても、ITにどのようなリスクがあるのかということを認識した上で、しかるべき要員を雇い、そのための予算を確保するということが必要だと思います。

日本の企業では社外取締役が徐々に増えており、執行役の会議だけでなく、取締役会の場でもより議論を活発にしてもらうという心構えが見られます。取締役会の理解が進めば、人員や予算等のリソースを適切に確保できる場合もあると思います。また社内には、CIO(最高情報責任者)とCISO(最高セキュリティ責任者)を置くということも基本ではないかと思います。双方は違う役割を持っています。CIOはITや社内外のデータをうまく活用し、企業の価値を高める使命を持つ、アクセルのような役割を持っていますが、CISOは、リスクを見つけた時にこのサービスを中断し、お客さまに少しの迷惑をかけても被害を最小限化する、ブレーキのような役割を持っています。その責任分担をどうするのかは、企業によって違いますが、日立製作所の場合は、今年4月の人事異動で、CISOは副社長、CIOは常務となっております。
三つ目は、完全な防御は不可能という認識です。特に国家レベルのサイバー攻撃はそう簡単に対処できません。ですから、一回目の攻撃を受けるのはやむを得ないとして、その被害にいかに対処して最小限化していくかということです。単にソフトウェアを入れ込んでいるだけではダメで、従業員がサイバー攻撃に遭った時、それをどこに伝えて、どう対応するのか、という手順を訓練する必要があります。
このような「意識改革」に加えて、次の四つの取り組みが必要だと思います。
①人材育成
一つ目は、「人材」です。まず、社会全体でリテラシーを向上させることが必要です。特にIT教育というのは、若ければ若いほど効果があり、初等中等教育から始めるのが良いと思いますが、日本の今の教育カリキュラムでは限界があるようです。我々としては、小中学校からITを健全に活用するための教育というのは絶対に必要だと思っています。中でも倫理観というのは大切です。サイバー防御ができるということは、サイバー攻撃もできるということです。そのようなスキルをもった人材が社会的な不遇に遭い、貧困に陥れば、悪事に手を染める可能性は十分にあります。私は、ただ知識を詰め込ませる、現場で仕事をさせるということではなく、彼らがステップアップできる、年齢を重ねても社会に貢献できる、企業内で居場所が得られる、あるいはしかるべき評価を得られる、というシステムを整備することが、人材育成の要諦だと思っています。特に大手企業は、キャリアパスをしっかりと示すべきだと思います。人材が正しく評価されるような人事制度、例えば45歳を過ぎても企業の中で活躍できるようなキャリアパスが必要になります。
②情報共有
二つ目が、「情報共有」です。こんな被害を受けたとか、こんな手口だったとか、という情報の他に、どうやらこの業界団体が狙われているようだとか、この送信先は怪しいとか、様々な情報があります。ですが、その情報をネットワークでリンクさせて物理的に流せばいいのではなく、信頼できる人間から情報を教えてもらう、あるいは教えてあげる、という人間関係を作っていくことが理想的です。一言で「情報共有」といっても、それを仲介するのは人間です。人間関係のトラストのないところには真の「情報共有」はあり得ません。
実際にどのような情報を共有するのか、という話になると、総論では賛成しても、各論で賛成できない事態も起きてしまいます。たとえば、どこかの企業がこのような被害に遭ったという情報が妙なところに流れると、株価が下がる等のマイナスイメージにつながるので、情報を出し渋ることにもなります。日本でも通信事業者の間では、Telecom-ISAC(テレコム・アイザック)という組織を通じて、インシデント情報を共有することは以前から行われており、総務省の管轄で長い期間運営されてきました。今ではICT-ISACに改称されていますが、通信事業者という狭い範囲で、総務省という政府の関与が強ければ、ある程度のことは可能だと思いますが、それが大きくなると、顔の見えない人に情報を提供することは難しくなってくるという意見もあります。これは、米国でも同じようです。また、経済産業省の主導で、日米産業間で情報共有を行おうという議論を1年半前から進めております。日米の大手企業や軍事産業の関係者らも加わり、今年2月に第一回目の議論をしましたが、難しい面があるなと思いました。どういう情報を誰がどこまで見ていいのか、というのは、特に安全保障にもかかわる機微な情報について、企業内でどの範囲まで見せていいのか、廃棄はどうするのかなどを決めなくてはいけません。
金融機関でも金融ISACが2014年に立ち上げられ、いまは大きな組織になっています。300行以上が参加しているという話を聞いておりますが、数が増えるというのは良い面もありますが、弊害もあります。というのは、しかるべきサイバーセキュリティ能力をもった参加者ばかりではなくなり、一部の人にだけ負荷がかかり、ただ乗り論も出るなど、300行まで増えると、全体の運営が難しくなったと聞いております。
やはり、民間企業のみで情報共有や情報収集するには限界がありますので、政府による「公助」も必要になってきます。政府には、一定の条件を確保した上で、横断的な共有情報を民間に提供する仕組みを考えてほしいと思います。1年半ほど前にインシデント情報を自動的に共有するシステム(AIS)について、内閣サイバーセキュリティセンターは米国と契約をしました。たとえば、そのような情報を民間にもフィルターをかけてもいいので提供してもらえないか、そのような枠組みを考えてもらえないか、と思います。民間ではどのような情報を必要とするのか、どのような情報を誰と誰が共有していくのか、という議論を産官の間で詰めていく必要があると思います。
また、情報を取り扱える者の認定制度、いわゆるセキュリティ・クリアランスというのが米国では運用されています。それがどのように運用されているのか、民間ではどのように資格者を採用し、企業の中で情報をどのように回していくのかを検討することは、今後の「情報共有」の課題として挙げております。
③技術対策
三つ目は、「技術対策」です。当然ながら、攻撃側が技術開発をするならば、防御側もそれに対応する、またはそれを上回る技術を開発しなければなりません。多くの企業の中で訓練を含めて、行っていく必要があると思います。
昨年猛威を振るったWannaCry(ワナクライ)というランサムウェアがありますが、今まではマイクロソフトの最新OSであるWindows10にしておけば感染することはありませんでした。日立グループは昨年これに感染したわけですが、原因は旧タイプのOSのままにしておいた装置があったからでした。では、なぜ、そうしておいたのか。日立グループの感染は、ドイツにある電子顕微鏡のモニターをしていたパソコンから入って来たわけですが、これがファクトリー・オートメーション(FA)機器の一種であって、Windowsを使っているのですが、通常のPCとはタイプの違うものでした。ですので、Windows 10を入れると作動するかどうか分からず、電子顕微鏡は毎日研究で使用されているため、アップデートができなかったわけです。OSのアップデートは常にしておくべきではありますが、なかなかできないケースもあるということについて、今回の件で認識を新たにしました。
「技術対策」でもう一つお話ししておきますが、経団連としては、サプライチェーン全体の社会的利益を大手企業としても考えるべきではないか、という問題提起をしています。サプライチェーンの中には国内外の中小企業が入っていますが、中小企業は情報セキュリティ部門はもちろんIT部門ですら置く余裕はありません。そのような企業をサイバーセキュリティの枠内に取り込んでいくために、中小企業が参画する地域のクラウドを立ち上げて、セキュリティを維持する必要があると思っています。
④投資促進
四つ目は、「投資促進」です。企業の場合、資源は「ヒト、モノ、カネ」、最近では「情報」がプラスされますが、この四つに対して、しかるべき「カネ」をかけるという姿勢が経営層に求められます。投資が活かされ社会全体の肺気量が上がっていくというのが、日本の限られた資源の循環エコシステムであると思っています。
(3)基盤となる体制整備
我々はこの4年間、サイバーセキュリティの基盤となる体制として、政府はどうあるべきか、企業はどうあるべきか、法制度や規範はどうあるべきかについて議論してきました。分かったことは、これはサイバーセキュリティに限った話ではないのですが、ITがなかった時代の法律やルールが多すぎるということです。
一つだけ例を挙げますと、企業リソースである「ヒト、モノ、カネ」を盗めば、罪になりますが、情報を盗まれた「情報窃盗罪」というのは国際的にありません。これは民法では、財は有体であるというので、無体であるデータを盗んでも民法上の罪にはならないのです。デジタルデータは民法や刑法では守られておりません。その代わり、不正競争防止法、不正アクセス禁止法、著作権法、または個人情報保護法の改定である程度はカバーできていますが、データを盗んでも、それに対する窃盗罪は成立しません。こうした問題も、今後考えていくテーマではないかと思います。
梶浦 敏範 (株)日立製作所 上席研究員
日本経済団体連合会 情報通信委員会企画部会 部会長代行
情報処理推進機構 産業サイバーセキュリティセンター 主任研究員
日本サイバーセキュリティ・イノベーション委員会(JCIC)代表理事
1981年、日立製作所入社。エンジニアリングワークステーション、タブレットPC、郵便区分機や金融システムの開発を手がける。2001年に新規事業開拓部門の部長職に就き、2003年以降、小泉内閣や麻生内閣のIT戦略などICT政策に関与。ICT/データの利活用促進について研究や政策提言を続けている。2016年より現職。
経団連では15年間ICT政策に関与し、インターネット・エコノミー促進に向けた提言(2012年~)やサイバーセキュリティに関する提言(2015年~)とりまとめている。2017年より、情報処理推進機構を兼務。2017年、サイバーセキュリティのシンクタンクJCICを立ち上げ。