• HOME
  • セミナー
  • トッパンサイバーセキュリティセミナー2021開催レポート

開催レポート

サイバー攻撃からビジネスを守る
~企業が取り組むべきセキュリティ対策とは~

日時2021年5月19日(水)14:00~17:00
場所オンライン開催
トッパンサイバーセキュリティセミナー|凸版印刷

セミナー開催概要

企業を狙うサイバー攻撃への対策は、喫緊の課題となっています。
トッパンでは、サイバー攻撃に対してグループを挙げて対応を強化し、さまざまな企業に対しても、個人情報や機密情報を取り扱ってきた実績をもとに、サイバー攻撃からビジネスを守る支援をしています。

今回のセミナーでは、サイバーセキュリティに関する各方面の有識者をお招きし、サイバー攻撃の最新動向や人材育成のほか、パネルディスカッションを通じて、「企業人としていかにサイバーセキュリティに備えるか」をテーマにお話を伺いました。

Program1
サイバーセキュリティ政策について

「ニューノーマル」時代を見据えた次期「サイバーセキュリティ戦略」に向けて

国のサイバーセキュリティ政策が始まって20年がたち、この間、飛躍的にITの利便性が高まる一方で低コスト化が進展し、各方面でITへの依存度が非常に高くなっています。ITを上手に使ってこそ、快適で安全な日常生活を送ることができますし、そのためには、ITを経済や社会の基盤である重要インフラとして、危険に対する防護策を柔軟に高度化していくことが必須です。

2021年度は、「サイバーセキュリティ戦略」および「重要インフラ行動計画」の改定が予定されており、以下のような点が挙げられています。

「サイバーセキュリティ戦略」は、2000年からと歴史は浅いですが、非常に速度の速い変化に対応してきました。今年9月には「デジタル庁」の設置が予定されており、今後デジタル化が大きく推進される絶好の機会と捉えられています。

次期「サイバーセキュリティ戦略」では、“「ニューノーマル」とデジタル社会の到来”という時代認識のもと、国民全体のサイバー空間への参画を目指し、「Cybersecurity for All(誰も取り残さないサイバーセキュリティ)」を掲げた戦略を進めていきます。経済社会の活力の向上と持続的な発展に向け、「DX with Cybersecurity」という方向を定めて、デジタル庁を中心にサイバー空間への信頼を醸成し、サイバーセキュリティをブレーキではなく加速して豊かな社会へ導くものとしてさまざまな施策に取り組んでいきます。

さらに「国民が安全で安心して暮らせるデジタル社会」だけでなく、「国際社会の平和・安定およびわが国の安全保障への寄与」という観点からも、課題を認識して方向性を定め、これらの推進に向けて横断的かつ中長期的な視点で、研究開発や人材育成、普及啓発活動に取り組んでいきます。そのためにも、サイバーセキュリティ戦略本部を中心に、政府一体となった推進体制が必要です。

次期「重要インフラ行動計画」では、リスクを適切に管理する自主的な取り組みを支援

現在の「重要インフラ行動計画」では、現在14の分野を重要インフラと位置づけ、NISCが関連省庁や関係機関との調整や連携を行いながら、横断的に取り組んでいます。

最近発生した「システムダウンによるサービス提示事案」の特徴について、代表事例を挙げながら説明がありました。統計上から得られる知見として、サービス停止の原因は、自然災害、管理ミスによるものが主流で、サイバー攻撃事案といえるものは、現場の管理不足で発生したものが多いということで、適切に管理されていれば防止できるものが多く、組織に潜在するリスクを組織内で共有するにはどうしたらいいかということが課題になっています。組織の継続的な成功を支援するためには、改めてISO9000:2000「0.2品質マネジメントの原則」を改めて振り返ることが大切でしょう。

次期「重要インフラ行動計画」では、令和3年度内での検討をめどとし、各事業の特質や現状を踏まえた枠組みと行動計画の位置づけの再確認が重要であるとしながら、事業者の自主的な取り組みを支援していきます。

ビジネスとセキュリティのバランスを考えたサイバーセキュリティ施策を

 一方で米国に目を向けると、2013年のオバマ政権下で発行された大統領令「重要インフラの改善」をきっかけに、重要インフラ防護が急速に進化しており、約10年前のものであるにもかかわらず、わが国の対策にも多くのヒントが得られるのではないかと見ています。


日本でも、サイバー依存度の高まりにより、重要インフラ防護は成熟期に入っています。分野、組織ごとに異なるリスクを認識し、現状の取り組みをベースとしながら、何を達成するか、何から何を守るのかを明確にして情報を共有する必要があります。そして、主体ごとにコミットメントを確保して、ビジネスとセキュリティのバランスを取りながら、具体的な対応策を構築していくことが重要です。

  • 内閣サイバーセキュリティセンター|結城則尚
    結城 則尚 氏 (ゆうき のりひさ)


    内閣官房 内閣サイバーセキュリティセンター(NISC)

    内閣参事官

Program2
サイバー攻撃に備えられる人財育成について

DXとは真のIT化

2000年以降、日本社会でもITが活用されてきましたが、企業の現場では、まだ紙と鉛筆などの文房具の代わりのようにITを使うことが多いと思います。これでは真のIT化とは言えません。今、「DX」を考える際には、ITリテラシーが高い、ITを使う事が生活に根付いている一般ユーザーが便利だと思うしくみを作ることが大切です。

DXの事例は、技術的には単純なことが多く、導入したことによって何を解決したかというアイデアのほうが重要です。DXを導入したけれども使いづらい、浸透しないという場合は、極端にセキュリティを重視していたり、利便性を除外して設計したというケースが多く見られます。

DXとは本来の意味でのIT化で、①ネット上の情報の活用 ②これまで手作業でやっていたことの自動化、省力化 ③ネット上の会話によるコミュニケーションの高度化、が実現されることで、これまでの「価値観」のトランスフォーメーションが必要です。もちろん文房具として使っていたITとは、セキュリティの重要性が変わります。一方であらゆるリスクから守る「100%防御の発想」では、DXが求める世界観は実現しません。それには、子どもの頃からさまざまなデバイスを使いこなす「デジタルネーティブ」が持っているような感覚がキーになるでしょう。

サイバーセキュリティの現状

サイバーセキュリティを取り巻く現状としては、まず事業に対するサイバー空間の影響力が拡大していることが挙げられます。攻撃者の種類や攻撃の方法も進化しています。また社会もグルーバルレベルで変化が激しくなっており、例えば、コロナ禍でリモートワークが拡大していることもその一つで、そうした変化に素早くアジャイルすることも必要になっています。

サイバー攻撃で狙われるものは、「お金」「情報」「評判」の3つです。いずれも企業にとっては大きな痛手となることから、サイバーセキュリティは、戦略的な企業リスクという長期的に向き合うべき経営課題であるといえます。サイバーセキュリティはIT部門だけの問題ではなく、経営の意思決定を要する問題なのです。

サイバーセキュリティのガイドラインはいろいろありますが、実際に何を基準にどうやって取り組むかは、各企業で決めていかなければなりません。有料のモノばかりではなく、無償のセキュリティーオペレーションなどもあり、それらを上手に使いこなすことができれば、コストを抑えることも可能です。

サイバーセキュリティ人材を育てるには

そうしたツールを使いこなすには、ITリテラシーの高い人材が必要となり、セキュリティ人材の育成が各企業の大きな課題となっています。

Armoris社がこれまでIT人材を育成してきた中で、IT人材として育つ人の要素として、①IT知識の基礎がある ②学び続ける動機や環境がある ③高い環境適応能力がある ④情報収集と分析にたけている という4つが挙げられます。

この4つを持つ人材に、企業として「自分で考えて、判断する経験を積むこと(主体)」「自分で手を動かして理解すること(実践)」「時間をかけて少しずつ(継続)」「一人ではなく、仲間を作る(共助)」する環境を整えることで、優秀なセキュリティ人材を育成することができます。


  • Armoris|鎌田敬介
    鎌田 敬介(かまた けいすけ)


    株式会社Armoris
    取締役専務CTO

Program3 パネルディスカッション
「企業を狙うサイバー攻撃への備え」

民間企業のサイバーセキュリティの現状

森岡 まず、北村さん、民間企業の立場から見たサイバーセキュリティについてお話しいただけますか。

北村 私は、もともとはゼネコンのIT部門でインフラやセキュリティの仕事をしていました。建設現場には事故などいろいろなリスクがありますが、リスクとセキュリティは別のものではなく、CSIRT※が経営とともに動くようする必要があります。サイバーにおける危険性も高度化する中で、セキュリティ担当は情報を取捨選択しながら、自分の会社の何を守るかというフィロソフィーをしっかり持つ必要があります。そうした考えを育むには、いろいろな人と話して、自分の考えが正しいのか、違うならどう調整すればいいかを自分で探っていく必要があります。

森岡 セキュリティ人材の育成という話になりますが、具体的に何をすればいいのでしょうか。

鎌田 その会社の状況とか規模、ポリシーなどによってやるべきことは変わってくると思います。育成計画づくりから始めることが多いと思いますが、5年後はどう社会が変化しているかわかりませんから、まず自分で手を動かしてみて、変化を見ながら対応していくのがいいと思います。

結城 OT側から見るとITは手段でしかなく、知っていなければならないものです。必要だから勉強するという責任感や義務感がモチベーションを高めると思います。自分を守るのだから自分で考える、自分でやって初めてわかることがあるというのが私の持論です。また、みんなで議論することで答えを見つけることもあります。最近は、わからなければ、すぐ教えろと言いますが、まず自分で考えろと言いたい。

北村 開発と運用の違い、というのはあります。運用側からすると何が起きても逃げられないので、なんとしても工夫してどうにか解決しますね。そうした対応は、大規模災害とかシステム障害とか、いろいろな経験を積むことで蓄積されるものです。


※CSIRT(Computer Security Incident Response Team)、コンピューターセキュリティインシデントに関する情報を受け、調査、対応を行う組織

セキュリティ バイ デザインをどう考えるか

森岡 セキュリティ バイ デザインについてはどう捉えていけばいいでしょうか。

結城 普通に考えたら2年かかるところを半年でシステム構築をやった経験がありますが、その時には、まず何をしたいのかを明確にして方針をつくり、その場で代替案をどんどん出しながらやっていきました。そういう場面は、これまで自分がやってきた経験、むしろ失敗した経験がベースになりますね。最近のSIを見ていると安全策ばかりをとっていて時間がかかる、リスクのためにお金がかかる、結果として使えないということが多い。セキュリティは緻密であることも必要ですが、完全性と多様性の確保も大切です。一番はソフトウエアの品質をどう確保するかということなのですが、ものづくりの観点から見るとセキュリティがきちんとしているのは当たり前の話で、セキュリティのない製品は動作保証のない開発物と同じです。発注者側、受注者側、下請けも含めたリスクコミュニケーション、つまりチーム力が必要で、いわゆる「丸投げ」という状況がセキュリティ バイ デザインを最も阻害すると思います。

鎌田 セキュリティは後付けのような風潮がありますが、ITの開発担当者ならセキュリティを理解している必要があり、それに抜け漏れがないかをセキュリティ担当に確認するというスタンスでやるべきだと思います。

北村 DXに絡めると、プロジェクトメンバーを同じ方向に向かせることが必要でしょう。例えば10年後どうなっていたいかを考えた上で3年後にはどうあるべきかを考え、今あるものをその3年後のかたちにすることがDXだと思います。それから10年後に向けてステップアップしていく。セキュリティも同じように描いていくのがいいでしょう。

結城 ソフトウエア産業は製造物責任法(PL法)を免除されてきましたが、今はそうはいかないので、動作保証のようなものが必要だと思います。SIは実現できないことをリスクと呼んでいるように思いますが、実はリスクコミュニケーションが足らないのではないか。発注側も何がほしいのかをはっきりさせて、関係者が何を目指していくかを明確にすることが必要です。コストベネフィットも考えて、法令順守や動作保証、セキュリティなどの設計の要求事項を明確にすることですね。その上で、適切なチェックポイントを設けて進める必要があります。例えばソフトウエア開発の品質規格はISO9001ですが、資格はあるけれども使い切れていないということが多く見られると思います。

セキュリティの検証に不可欠なコミュニケーション

森岡 リスクコミュニケーションに必要な姿勢とはどのようなものでしょうか?

鎌田 私の場合は、新しい製品があるとまず自分で触ってみるということから始めましたが、もっと理解したいと思って仕様書を読んだりしますし、自分の理解が正しいかどうかを聞いてみることもあります。海外にも詳しい人がたくさんいますので、そうしたコミュニケーションのためのコネクションは大事にして、お互いに助け合っています。

北村 企業内にいるとできることには限りがありますが、例えば会社が新しい技術を入れるというような場合、私の場合はスーパーコンピューターの導入でしたが、誰がやる?となった時に自ら手を挙げることでチャンスをつかみました。また、企業の中にいるときは情報を受け取る側でしたが、情報を発信する側に回ることになると自分の企業について、強く発信できないとだめだなと思います。

結城 仮説を立てて、それを積み立てて分析し、証拠を探すという繰り返しです。これにはさまざまな人の協力関係が必要ですね。ある1つのネタをいろいろな人にシェアしていくことで、それが広がっていって大きなコミュニティーパワーを生み出します。時間がかかりますが、こうしたことを積み重ねながらわかってくることがあります。

セキュリティを魅力ある仕事に

森岡 一人より仲間、というのは皆さんから共通してくる話ですね。ここでいただいた質問をご紹介します。「社内でセキュリティを引き受けたいという人材がなかなかいません。モチベーションを上げるにはどうしたらいいですか」という質問です。

鎌田 モチベーションの問題ではなく、セキュリティの仕事そのものを魅力的なものにしないと、誰も引き受けないと思います。いやな仕事だという環境になってしまっているかもしれない。セキュリティの仕事はセキュリティ担当が全部引き受けるというのではなく、ITに関わっている人も責任を持つとか、会社の機能として組み込んでいかないと難しいでしょう。

北村 運用担当も同じだと思いますが、他の人が作ったものの尻拭いをさせられるというイメージが強いかもしれません。セキュリティ担当に全部を背負わせるのではなく、オペレーションは外部の協力を得たり、雑務はお金を使って軽減したりして、セキュリティとは「ビジネスに必要な環境を守る」というモチベーションを与えることは必要でしょう。

結城 今、企業ではほとんどのことがITに関わっているので、ITセキュリティなしには語ることができません。しかし、問題が起きても原因追究ばかりに目がいってしまい、それが会社経営にどんな影響があるかということに考えが及んでいない。セキュリティが経営の中枢に入り込む仕事だということが理解されれば花形の職業になれると思いますし、会社に与えるインパクトを考えて、それなりの地位を与えるということも大事だと思います。

セキュリティ人材に必要な目線

森岡 「セキュリティ部門に行きたいのですが、日常の目線として必要なことはどのようなことですか」という質問もきています。

鎌田 社内で上司に相談するとか、会社内で自分から動いて道筋を探してみることですね。また、セキュリティの仕事にはバランス感覚が大切で、やり過ぎもだめですし、やらなさすぎもだめです。世の中にあるいろいろな著名サービス、映像配信とかデリバリーなどを自分で使って比べてみることもいいでしょう。

北村 ITの仕事をする上では、ITの全体感、世の中の流れを見ることが大切です。例えばUberのサービスは、アイデアとシステムだけでは実現できず、素人でも道がわかるカーナビが装備された車が必要です。セキュリティに関しても、どんなセキュリティーが入っていればいいのか、使いやすいのかを、いろいろな人と会話をしながら考えていくことが重要です。

結城 私は、セキュリティはプロモーションツールだと思っていますので、過剰なセキュリティは良くないと思います。また、自分のことは自分の目線で決めるということが大事です。セキュリティをやりたいという人は『鬼滅の刃』の炭次郎のごとく、何でもやる気をもって自分でやってみるということが必要ですね。

森岡 今日はお忙しいところ、ありがとうございました。


(モデレーター)
凸版印刷株式会社
情報セキュリティ本部 企画調査部
部長 森岡 聡一郎  

  • SBテクノロジー株式会社|北村達也
    北村 達也 氏(きたむら たつや)

     

    SBテクノロジー株式会社
    法人公共事業統括 法人第一本部 
    プリンシパルアドバイザー

TOP

© 2021 TOPPAN INC.

凸版印刷株式会社 情報コミュニケーション事業本部による、公式HPです。