誰もがサイバー犯罪のターゲットになる時代
コンピュータをターゲットとするサイバー犯罪、セキュリティ事案が頻発している。大企業だけでなく、中小零細企業、個人も関係なく、セキュリティ対策をとっておかなければ何が起きてもおかしくない。
個人情報漏洩事件をまとめたサイトを見ていたら、友人の会社が出てきて驚いたことがある。1件は小学校時代の同級生が経営している化粧品輸入販売会社で、もう1件は高校時代の知人が経営しているパソコンサプライ用品通販会社。前者が年商十数億円、後者が年商数億円という企業だ。いずれも外部からの不正アクセスによって顧客名、メールアドレスなどの個人情報が漏洩した。サプライ用品通販サイトではクレジットカード番号、セキュリティコードなどの情報も流出した。数年前の事件であり、両社とも現在は無事に運営されているが、当時は大変な状況に追い込まれたことだろう。
私も小規模ながら通販サイトを運営しているので、セキュリティ対策は他人事では済まされない。
経営層のセキュリティ対策はマネジメント、リスク管理、ガバナンス管理から
本書はNECのCISO(Chief Information Security Officer:最高情報セキュリティ責任者)兼サイバーセキュリティ戦略統括部長を務める淵上真一氏が中心となり、NECのサイバーセキュリティ担当者14人が共同執筆している。国家安全保障レベルから官公庁、民間企業のセキュリティ担当、セキュリティ研究者、セキュリティ製品開発担当、DX推進担当、マーケティング担当など実務経験豊富な選りすぐりのチームだ。
コンピュータセキュリティの本というと、IPアドレスとか暗号アルゴリズム、SQL、ログ解析などネットワークの知識が中心になりがちだが、本書にはそういった技術的な話題はほとんど出てこない。経営層が知っていなければならない、経営上のマネジメント、リスク管理、ガバナンス管理がテーマであり、平易な文章と豊富な図版で解説している。
まずは経営産業省とIPA(情報処理推進機構)が共同で制定している『サイバーセキュリティ経営ガイドライン』を取り上げ、経営者が認識すべき3原則、サイバーセキュリティ経営の重要10項目を説明している。ここでセキュリティ対策は削減したい「コスト」ではなく、事業を拡大するために必要不可欠な「投資」と考えるよう、経営層に意識改革を訴えている。
たとえば、不正アクセスによってクレジットカード情報が漏洩した事例の場合、クレジットカード決済を通販サイト内で行っていたことが原因だ。決済処理をカード決済代行会社に依頼すれば、カード情報は社内に残らない。この決済代行手数料は4%程度で、通販サイトにとってはけっこう重い負担だが、いったん情報漏洩が起きた時の補償や信用失墜、サイト閉鎖中の販売ロスを考えれば、どちらが得かは自然とわかるだろう。
変わってきたセキュリティ対策
ここ数年で、セキュリティ対策をネットワークのどのレベルで実施するかが大きく変わってきている。以前はインターネットと社内ネットワークの接続点にファイヤーウォールを設置することで外部からの侵入を防げばセキュリティは守れるという境界防衛モデルが主流だった。
ところが企業のサーバーが外部のクラウドに置かれるようになり、在宅勤務、テレワークが普及し、社内から社外のサーバーに、あるいは社外から社内のサーバーやパソコンにアクセスすることが増えてきた。こうなると外部と内部の区切りがあいまいになり、境界防衛だけではセキュリティを守れなくなる。
ここで登場してきたのが「ゼロトラスト(=すべてを疑う)」という考え方だ。外部と内部の境界だけで防衛するのではなく、社内のネットワークも危険と考え、すべてのアクセスを信用せず、それぞれのパソコン、ファイルサーバー、複合機など個々のIT機器ごとでセキュリティを確保しなければならないという考え方だ。建物の管理で言えば、正面玄関に守衛が立っていて不審者の侵入を防ぐのが境界防衛で、フロアごと、部屋ごとに入退室の管理を行う状態がゼロトラストだ。エリアに出入りできる社員のレベルを細かく分け、だれがいつ立ち入ったかを把握するわけだ。
今では会社内でもドアを開くのにIDカードが必要なところが増えている。すべてを疑ってかかる、社内も一般道路と同じであり、犯罪者が歩いてるかもしれない。コンピュータセキュリティも各自・各部署で守らなければならないのだ。
サイバー犯罪が「儲かる」ビジネスになっている
社会がIT化するにつれてサイバー犯罪も増加の一途をたどっている。かつてのサイバー犯罪といえば、Webサイトに侵入して画像を張り替えるなど、暴走族が「〇〇参上!夜露死苦」みたいな落書きを残すのと同じような例が多かった。あるいはIT能力が低い「お子様」がアンダーグラウンドサイトで公開されているクラッキングツール(スクリプト)を実行するだけの「スクリプト・キディ」といった愉快犯などもあった。
だが、現在のサイバー犯罪はパソコンやサーバー内のデータを暗号化し、アクセス不能にし、解読できるようにするためには身代金を要求するランサムウェアなど金銭目的が第一だ。ランサムウェアをサービスとして提供するRaaS(Ransomware as a Service)というビジネスモデルが登場し、企業ネットワークへの侵入に必要な情報、ランサムウェアの開発者、企業との身代金交渉者、資金洗浄サービスなど専門家を用意しているという。
RaaSだけでなく、フィッシングメール・サービスを提供するPaaS(Phishing as a Service)、サーバーへのアクセスを集中させてダウンさせるDoS攻撃を提供するDaaS(DoS as a Service)など、様々なサイバー犯罪サービスがあるというのだ。当然、これらの「顧客」も「経営者」もビジネスとしてサイバー犯罪サービスで利益を得られるようになっている。
本書では「今、猛威を振るうランサムウェアによる攻撃は金銭目的であり、RaaSを使って機械的に片っ端から攻撃しています。攻撃先がどのような企業なのかは関心事ではないのです」「今はまだ自社に順番が回ってきていないだけ」と、業種や規模、知名度に関係なく、すべての企業が緊張感をもって対応すべきと警鐘を鳴らしている。
セキュリティ対策は経営者の義務
サイバーセキュリティ対策を取らずに、あるいは軽んじての会社経営は、保険に入っていない自動車を運転するのと同じくらい危険な行為だ。被害者だけでなく、会社も経営者も莫大な損害を被るリスクがある。
裏金疑惑が起きても、ボスたる議員は「知らん」で済ませ、実務を担当している秘書が責任をひっかぶる政治家と違い、一般社会では社員のミスも経営者の責任になる。どのように社内のセキュリティに取り組み、守りを固めるかは経営者の責務だ。
本書では「AIをビジネスの推進力とするのであれば、経営の責任においてセキュリティ対策を実施することは、当然の義務なのです」という。ITは苦手だ、コンピュータのことは分からないという経営層にこそ、最適の指南書として本書を読むことをお勧めする。
まだまだあります! 今月おすすめのビジネスブック
次のビジネスモデル、スマートな働き方、まだ見ぬ最新技術、etc... 今月ぜひとも押さえておきたい「おすすめビジネスブック」をスマートワーク総研がピックアップ!
『ゼロトラストセキュリティ実践ガイド』(津郷晶也 著/インプレス)
近年、急激に進む働き方の変化に伴いセキュリティの在り方にも変化が求められています。セキュリティ強化が叫ばれる中、注目を集めているのが「ゼロトラスト」と呼ばれる「何も信頼しない(=すべてを疑う)」ことを前提にシステムを設計していく考え方です。しかし、ゼロトラストを実現するためには、多くの新しい技術を組み合わせるための高度な知識とスキルが必要となります。本書は、ゼロトラストが組織にどのようなメリットをもたらすのか、どのような技術を使って実現すればよいのかを丁寧に解説します。ゼロトラスト導入を検討する組織にとって、有用な情報が詰まった一冊です。(Amazon内容解説より)
『ランサムウエアに負けない、ゼロトラスト大全』(日経クロステック 編/日経BP)
日本の企業や組織を狙ったサイバー攻撃は止まることがなく、ランサムウエアなどの被害に遭う事例は増える一方です。サイバー攻撃の被害に遭った企業や組織に共通するのが、ファイアウオールなど従来型の「境界型セキュリティー」に依存していた点です。そこで注目されているのが、「何も信頼しない」ことを前提としたセキュリティー対策「ゼロトラスト」です。ゼロトラストとはどのような技術なのか。どうすればゼロトラストを実践できるのか。豊富な事例に基づき、解説します。(Amazon内容解説より)
『サイバーセキュリティの教科書』(Thomas Kranz 著、Smoky 訳/マイナビ出版)
サイバーセキュリティの攻撃、防御、管理のための基礎的な概念について、明確にわかりやすくまとめました。攻撃者(ハッカー)の動機やいったい何を考えて攻撃してくるのか。実際に起きた事案を元に「モデルに当てはめて考える」ことで、実際の脅威にどのように対処するかを学ぶことができます。全章を通して、サイバーセキュリティ戦略モデルの3要素、サイバーセキュリティの3つの要素、OODAループなどのキーワードを一貫して使っています。そのことに気付くと、セキュリティ上における重要な核を意識でき、断片的だった知識のつながりが見えてくるはずです。(Amazon内容解説より)
『サイバー攻撃から企業システムを守る! OSINT実践ガイド』(面和毅、中村行宏 著/日経BP)
「OSINT(オシント)」という言葉を見て、「何これ?」と思った人も多いでしょう。まだまだ耳慣れない言葉ですが、サイバーセキュリティの世界では今、目にする機会がどんどん増えています。インターネット上で入手可能な情報を基にセキュリティ上の問点を洗い出す―。このOSINTの手法を身につけることで“攻撃者と同じ目線”で自社システムのセキュリティ状態を把握でき、また攻撃に先立って手を打つ「攻めのセキュリティ」を実現できるようになります。自社のセキュリティを万全にするために、本書を通じてぜひOSINTの実践方法をマスターしてください。(Amazon内容解説より)
『「サイバーセキュリティ、マジわからん」と思ったときに読む本』(大久保隆夫 著/オーム社)
この本は、一般ユーザー向けのサイバーセキュリティの入門書です。サイバーセキュリティというと専門家が知っておけばよいことで、一般的なユーザーにはあまり関係ないことだと思われがちです。しかし、「SNSに登録している」「通販サイトを利用している」のように、ごく普通の使いかたでスマホやPCを利用している一般ユーザーでも、自分の身を守るために知っておいたほうがよい知識があります。この本の前半では、専門家以外でも知っておいたほうがよい知識として、身近なサイバー攻撃のリスクとその対策を概説します。後半ではより専門的な内容に踏み込み、攻撃や防御で使われる技術や、セキュリティ設計の考えかたなども紹介します。専門知識がない方でも教養としてサイバーセキュリティの基礎知識を身につけることができます。(Amazon内容解説より)
<「今読むべき本はコレだ! おすすめビジネスブックレビュー」 前回リンクと次回予告 >
- 第65回 『なぜ「若手を育てる」のは今、こんなに難しいのか』(古屋星斗 著)──Z世代とともに働くために >>
- 第67回 『静かに退職する若者たち』(金間大介 著)──本音が言えない若者たちに上司はどう対応するのか (近日公開)
土屋 勝(つちや まさる)
