事業の存続そのものに影響を与えるサイバー攻撃や情報漏えい。企業のトップや経営層が見落としがちな情報セキュリティのポイントや適切な対処法について、東洋大学の島田裕次教授に聞いた。
島田裕次(しまだ・ゆうじ)
東洋大学総合情報学部 教授
博士(工学)。公認情報セキュリティマネージャー(CISM)、公認情報システム監査人(CISA)、公認内部監査人(CIA)、システム監査技術者(経済産業省)、情報処理技術者試験委員。早稲田大学政治経済学部卒業後、東京ガスに入社し、システムセンター、本社経理部、情報通信部、監査部などで仕事をする。2009年から現職。

情報セキュリティだけを個別に考えてはいけない

──サイバー攻撃やITセキュリティの現状について、どう見ていますか。

【島田】自己満足のための愉快犯的な攻撃ばかりでなく、明確に金銭を目的とした組織的な犯行が増えているというのはよくいわれるとおりです。ランサムウェアなどは典型で、感染したパソコンをロックしたり、ファイルを暗号化したりして、元どおりにする見返りに身代金(ランサム)を要求するというもの。世界中で大きな被害が発生しました。そうした状況で、多くの企業の経営層も事態の深刻さは認識しています。ただ一方で、リスクを広い視野でとらえられているリーダーはまだ少ないようにも感じます。

──どういうことでしょうか。

【島田】経営という視点に立てば、リスクには財務や労務、災害など、さまざまなものがあります。情報セキュリティだけを個別に取り上げるのではなく、それらを総合的に考えることが重要です。また自社だけを見るのではなく、グループ会社や取引先にも目を配る必要がある。なぜなら攻撃する側は、相手の弱点を探り、そこを狙ってくるからです。その意味で、セキュリティ対策に全体観は欠かせません。内部監査や専門家による外部監査なども上手に活用して、ERM(全社的リスク管理)を強化することが求められます。

──総合的な視点が前提になるわけですね。そのうえで、具体的にはどのような情報セキュリティ対策を取るべきでしょうか。

【島田】まず「機密性」「完全性」「可用性」の三つの要素のバランスを意識してほしいと思います。情報を不正利用や漏えいから守る機密性はもちろん重要ですが、同時に情報は正しい内容のものを利用したいときに利用できてこそ価値を持ちます。単に機密性だけを高めるのではなく、情報の確かさ、情報へのアクセスについても担保しておく必要があります。

また、「入り口」「出口」「内部」それぞれの対策を構築しておくことも大切です。かつてセキュリティ対策というと入り口部分が重視されましたが、いまやそれだけでは不十分。具体的な方法は専門会社などと検討することになるでしょうが、出口や内部の対策も欠かせないことは知っておくべきです。

自社の企業文化に即した取り組みを

──島田先生が企業からアドバイスを求められた場合、どのような話をしていますか。

【島田】全体をイメージで把握しましょう、という話をよくします。例えば、組織図や事務所の図面などをもとに、情報資産を取り巻く状況を図にしてとらえるのです。どの場所に、どんな情報が保存されていて、誰がアクセスできるのか──。そうしたことを図にしていくとリスクを洗い出すのにとても有効です。チェックリスト方式で情報を管理する方法もありますが、これだと「リストにある項目だけを守ればいい」と形式的な対応になりがちで、その内容や意味合いが社員になかなか伝わりにくい。図に示すと、情報セキュリティに馴染みがない人でも理解しやすくなります。

──そのほか、知っておくといい方法論や考え方はありますか。

【島田】リスク対応のステージには予防、発見、回復があり、対策の手段には大きく物理的、技術的、管理的なものがあります。これをマトリクス(図参照)で考えると、自社の現状が見えてきます。予防のための対策は充実しているが、回復の措置が取られていない。技術的な対策に偏っている。そうしたアンバランスを解消することによって、セキュリティ対策の質を高めることができます。

島田裕次著『この1冊ですべてわかる 情報セキュリティの基本』より。

また、万一被害を受けた場合の対応を事前に検討しておくことも重要です。弓道では、弦が切れたり、矢を落としたりすることを「失(しつ)」といい、正しい対処方法があります。そして、失への対応も優れた弓道家の条件とされます。情報セキュリティにおいても100%はありませんから、何かあったときのバックアップ方法を準備しておかなければなりません。リスクに対しては、「受容する」という視点も私は大事だと考えています。発生確率が低く、損害が小さいと考えられるリスクはある程度受け入れることによって、コストを抑えたより効率的な対策が可能となります。その際も、対処法が定まっていればより安心です。

──最後に、企業のトップや経営層にメッセージをお願いします。

【島田】ぜひ、自社の企業文化に即した取り組みというものを意識してほしいと思います。論理的な作業に向いている、小グループでの改善活動が得意など、企業にはそれぞれ個性があるはずです。それを踏まえたセキュリティ対策を立てていくと、スムーズに取り組みが進みます。この辺りの見極めは、セキュリティ投資の規模を決めることと合わせて、経営層の大事な役割でしょう。

現在サイバー攻撃などの対象は、売上管理や顧客管理といった業務系システムばかりでなく、製造業、エネルギー関係、交通関係などの制御系システムにも広がりを見せています。情報セキュリティと無関係の分野が確実に少なくなる中で、最終的な意思決定を行う立場の人たちの役割もますます重要になっている。トップや経営層の方たちには、そのことをあらためて認識してもらいたいと思います。