NPO法人ZESDAは、「官民恊働ネットワークCrossover」(中央省庁の若手職員を中心とする異業種間ネットワーク)との共催、株式会社クリックネット まなび創生ラボ の協力により、在京の大使館、国際機関や外資系企業の職員、及び市民社会関係者をスピーカーに迎え、国内外の政治・経済・社会問題について英語での議論を通じて理解や問題意識を高める、「Platform for International Policy Dialogue (PIPD)」を開催しています。
9月26日(火)7時30分より開催された第41回PIPDセミナーでは、リスクマネジメントを中心とするコンサルティング会社を創設・経営されているDr. Karsten Kleinをお招きし、Cyber security: How Japan can tackle the challenges「サイバーセキュリティへの日本の対応」についてお話頂きました。
カースティン氏は、冒頭、サイバーセキュリティを取り巻く最近の社会の変化について説明されました。例えば、これまで銀行の各支店は、顧客情報等を紙媒体で記録し、銀行の各支店で管理していました。しかし、インターネットが普及した現在では、顧客情報等は中央に集約されており、集約拠点がウィルス等によるサイバーアタックを受ければ、その被害は甚大なものとなります。また、日本においては、日本語という独特な言語と日本の地理的条件ゆえに海外から標的にされることは少なかったのですが、インターネットが発達し、言語が簡単に翻訳できる現代においては、そのような障壁はなくなり、世界中のどこでもサイバーアタックのリスクが存在すると説明されました。
また、サイバーアタックに係る脅威シナリオとして、①アクターの存在、②負の影響、③資産への影響の3点を把握することが重要であると説明されました。まず、サイバーアタックの攻撃者の存在として、従業員の不注意などに起因する組織内部のアタッカー、犯罪集団・国家主導の活動、活動家などの組織外部のアタッカーが挙げられました。次に攻撃の結果発生する不利益として、内部情報の流出、不正アクセス、サービス・データの消失などがあり、その結果生じる資産への影響として、秘匿情報や組織としての機能が失われる恐れがあることを述べられました。具体的な例は犯罪組織がつかう「キャンディー・ドロッピング」という手法を紹介されました。会社の入り口付近にウィルスに感染させたUSBを落とし、その会社の従業員が社内のPCに繋げるのを待つそうです。また、デジタルネイティブ世代つまり10代のハッカーたちの興味本位の攻撃なども提示されました。政府や警察などによる対処は限られているため、個々の会社や人が注意し、対策を取らなければいけないと説明されました。
このように、サイバーセキュリティはあらゆる個人、企業、そして社会にとって重要な問題となっている昨今ですが、これに関し、カースティン氏から含蓄のある言葉を紹介いただきました。
「世界には二つの企業がある。ハックされたことがある企業とこれからハックされる企業だ。今後、このカテゴリーは一つに集約されることとなる。ハックされたことがあり、今後またハックされる企業だ。」
その後、私たちが直面している脅威について、参加者同士でディスカッションを行いました。顧客情報の流出リスク、アップデート未実施が原因で脆弱となったソフトウェアがウィルスを保有していた事例などが共有されました。
次に、カースティン氏は、サイバーセキュリティの対策について話を移していきました。サイバーセキュリティ対策を十全なものとするためには、マネジメントの対応とシステム・オペレーション上の対応が必要です。しかし、それぞれについて乗り越えるべき課題があります。
まず、マネジメント上の課題として、経営層のトップの多くはITに慣れ親しんだ世代ではなく、CIO(Chief Information Officer)やCSO(Chief System Officer)がCEO(Chief Executive Officer)よりも立場が低いために、サイバーセキュリティ対策予算が十分に確保されないという点を指摘されました。このため、経営層においても、ITなどの新しいテクノロジーを受け入れる姿勢を持つことが重要になっています。また、多くの企業は社会的な評判が下がることを恐れて、サイバーアタックに係る情報を公表・共有することを避ける傾向がある点を指摘されました。このような情報の共有は、社会への被害拡大を防ぎ、対抗策を検討する上で非常に有益であるため、積極的に情報を共有することが時には必要だと述べられました。
次にシステム・オペレーション上の課題として、IoTのように社会のあらゆるものが相互に繋がっていること、情報システムの構築サービスを提供するシステムインテグレーターが交渉力の点で顧客よりも優位に立っていること、特に日本において古いソフトウェアを更新せずに利用し続ける傾向にあること(Legacy System)によるリスクが挙げられました。
最後に、サイバーセキュリティ上の課題を乗り越えていくために、私たちが組織として、あるいは個人として、何をすべきかを参加者同士で議論しました。
カースティン氏のプレゼンテーションと参加者同士の議論を通じて、参加者それぞれが、サイバーセキュリティの脅威とそれに直面する私たちが持つべき心構えや対策について、認識を深めることができました。
本PIPDセミナーにおいても、会場にご協力頂いた株式会社クリックネットまなび創生ラボの皆様に厚く御礼申し上げます。