今年11月に開催された「C&Cユーザーフォーラム&iEXPO 2019」において、「デジタル時代の新たな経営リスクとは? 生き残れる企業に必要な将来の“セキュリティ”」と題したラウンドテーブルセッションが行われた。サイバーセキュリティに精通した4人のプロが語った、企業経営者が意識すべきセキュリティのあり方とは──。白熱した議論の様子をお伝えする。

情報漏えい事件で問われる企業のリーガルリスク

日本マイクロソフト
チーフセキュリティオフィサー
河野省二

【岡田】サイバー攻撃を受けて、情報漏えいの責任を問われる企業があります。攻撃したほうが悪いと思うのですが、搾取された企業の法的責任はどう問われるのでしょうか。

【吉井】企業は被害者であると同時に、顧客情報を適切に扱わなかった加害者としても見られます。しかし、むやみやたらと被害弁償が認められるわけではありません。判例を見ると「被害時点で対策できたセキュリティの水準を守っているか」が一つの判断基準となっています。

【河野】企業がリスクマネジメントをできない理由には「技術がない」「お金がない」「スキルがない」の三つがあります。逆に言えば、これらをクリアしているにもかかわらず対策を導入できていないなら駄目だということですよね。

弁護士法人ALAW&GOODLOOP
弁護士
吉井和明

【吉井】そのとおりです。一般的な企業が当然採用するであろう対策を取らずに情報漏えいを起こしたとすれば、やはり責任が問われる。想定しうるリスクを水準として、可能な限り対処していたかを見る意味では、情報セキュリティ関係の訴訟は、医療過誤訴訟と考え方が似ています。

【河野】例えばID・資産管理ソリューションは、当社で言えばかつてオンプレミスで構築するなら初期投資が1000万円で運用には常に3人が必要、といった具合でした。でも今なら、クラウドサービスに無料で付属しています。どんな規模の企業でもセキュアなID・資産管理が簡単にできる時代。技術の進歩によって、先端サービスの導入コストが著しく下がっています。これを生かせているかどうかです。

システムではなく“データ単位”でセキュリティを構築する

【河野】「個人情報をクラウドにアップするかどうか迷っている」とご相談いただく機会が増えています。ただ、それはリスクとは関係ないんです。「自分たちはどんなデータを所有し、どの範囲でデータを共有するか」が重要です。例えば「名刺は会社の資産」と考えるなら、その情報はいつから会社に所属したと見なすのか。営業担当が入手した時点か、それとも会社にデータを登録した瞬間なのか……。これらの資産管理があいまいな状態は危険です。

【吉井】国際的な法対応のうえでも重要な観点です。近年は欧州のGDPRや米カリフォルニア州のCCPAのように越境適用される法律が増えています。日本企業がこれに対応するためには、今自分たちが扱っている情報がどこに住んでいる誰のものなのかを把握しておく必要があります。

NEC サイバーセキュリティ戦略本部
セキュリティ技術センター
センター長
淵上真一

【淵上】しかし、実際には所在不明なデータが企業には数多く潜在しています。管理の仕組みから逸脱した“ダークデータ”は、そもそも把握されていないので、漏えいしてもその事実がわからない。こうしたダークデータをなくしてデータオーナーを明確化し、システム単位ではなく“データ単位”でセキュリティを考える必要があります。従来は、自社のサーバールームに入場できる人に特定の情報にアクセスする権限を与えるなど、境界型の「ペリメタモデル」が多く採用されてきました。しかし現実にはこの方式が多くの情報漏えいの原因になっています。

【岡田】「ゼロトラスト」というモデルに転換すべきですね。これは、誰も認証と認可なしに信頼を付与しないモデルです。アプリケーションセキュリティでは一般的になってきた考え方ですが、それを企業の資産管理の手法として適用していくことです。

【河野】ゼロトラストが徹底されれば、データはクラウド上で集約したほうがセキュアに管理できるでしょう。機密情報がコピーされ、世界中に拡散しているほうが問題です。例えば戦闘機の情報を守ろうとすれば、その部品であるネジをつくっている海外の工場まで同じ厳格さで守らないといけなくなります。そうするよりは、設計情報はすべて中央に集約し、工場には必要に応じて参照してもらうほうが管理しやすい。先ほど話が出たGDPRやCCPAも、データの拡散を防ぎ集中管理しようという発想から出発しています。

モデレーター・岡田氏の進行により、サイバーセキュリティ事情に詳しいプロが、企業経営において重視すべきセキュリティの要諦を語った。

保護すべきデータ範囲の変化にいかに対応していくか

【岡田】国際的な情報管理基準は刻々と変化し、保護すべき情報の範囲も時代によって変わっています。しかし、基準が変わるたびにシステムの設計をやり直し、入れ替えるのも合理的とは言えません。

アスタリスク・リサーチ
エグゼクティブリサーチャ
岡田良太郎

【河野】ポイントは変化に対応できるよう、システムを身軽にすることです。企業が重厚なシステムを築いてデータを守るより、クラウドで構築してデータを一カ所に集めて規制に応じて参照する範囲を変えられるようにしておくほうが効率的です。

【吉井】パーソナルデータについても、それぞれの企業でデータを管理保管せず、利用者自身がデータを管理保管する時代となれば、いわゆる個人情報に関する安全管理措置義務違反や企業の手元での情報漏えい・消失などのリーガルリスクも軽減します。

【淵上】データを起点にしてセキュリティを考えようという流れは、世界的な潮流になっています。また、NECでは「セキュリティ・バイ・デザイン」の考えを拡大し、企画からテストまでの全範囲を対象に、脅威を攻撃者の視点で分析し、対策レベルに応じたセキュリティ技術を実装しています。

【岡田】一層データ活用が広がる企業経営において、優先すべき点が変わっているということは、必ず知っておくべきですね。本日はありがとうございました。