【覆面座談会】未来の社会をセキュアで安心なものにするために、いまCISOが頭を悩ませていること 後編
2030年の未来のサイバー社会とセキュリティを語る「覆面座談会」。後編では、グローバル企業特有の課題とその行く末にも話が及びます。大手企業でサイバーセキュリティ要職を務める皆様の、真剣本音トークをお楽しみください!
連載スケジュール
第1回 未来の社会をセキュアで安心なものにするために、いまCISOが頭を悩ませていること 前編
第2回 未来の社会をセキュアで安心なものにするために、いまCISOが頭を悩ませていること 後編
オンラインドラマ「Project 2030」が公開されています。Project 2030は、テクノロジーが発展したデジタル社会において、悪意のある存在が優良企業を窮地に陥れるという内容です。さまざまな未来のシーンがあり、その社会におけるサイバーセキュリティ課題についても示唆されています。今回、大手日本企業のCISOを務めているお二方を招き、トレンドマイクロ 執行役員兼CISO 清水 智と語り合ってもらいました。
議論前半では、ますます増えるデータとシステムの海の中でどうしたらサイバーセキュリティリスクを低減することができるのか、規則さえ浸透したらよいのか、現場で陣頭指揮を執る3名の「現場のジレンマ」も伝わる話が交わされました。後半では、そもそも規則とはどうあるべきか、グローバル企業にとってのサイバーセキュリティ課題の根っこは何なのか、さらに広く深い議論が展開されます。
今回ご出席いただいた方たち
規則とは、「隣の人の真似」では作れないもの
清水 これはセキュリティだけに留まる話ではなくなってしまいますが、規則ってそもそもなんのために作るものだったっけ、ということから考えないといけないかもしれないですね。パーパス経営の考え方になるかもしれませんが、どんな規則を作ってどこまで強制するかは、どんな会社を目指すのかで変わってくるのでしょう。「ビジョンを実現するために何をしなければならないか」についての共通理解があれば、自ずと現場の行動は決まってきますし、部門長のリスク判断も全体最適化されてくるのでしょう。
A氏 すべてに建前と現実があります。たとえば、コロナ禍でテレワークが増えましたが、本来ならば全社員のテレワークをする場所をすべて監査する必要があります。
B氏 本来ならば、なのですよね。でも、現実的ではありません。そのあたりのさじ加減についても、共通認識を育てていく必要があります。
文化的なギャップは、グローバル企業にとって大きな課題
清水 ここにいる全員がグローバル企業に務めています。全社に共通のセキュリティ規準を設けて運用するとなると、国家や文化の違いは大きな課題になりそうです。中央集権国家なら国の言うことは絶対ですし、文化を共有する人口の少ない国ならコンセンサスを得やすいという側面はあるでしょう。デジタルでうまくいっている国は、たいていどちらかに当てはまります。一方、日本は1億人以上の人口を抱え、文化も共通かというとそうでもない。世代間のギャップも大きいですし。国内ですら難しいのに、グローバル企業となると社内に共通の文化を醸成することはさらに難しくなりそうです。さきほどBさんが話されていた「人の心」は、文化的な背景もあるでしょう。強制することはできません。全世界の全社員、そしてパートナー企業を含めた共通理解というのは難しい課題ですね。
A氏 ここ数年で強く意識するようになったのは、個人情報の扱いです。文化によって違いはかなり大きいです。欧州ではGDPRが標準化されて強い規制が働いていますし、その流れはこれからも加速しそうです。すでに、海外のグループ会社との情報連携は難しくなってきています。
B氏 同意を取って、個人情報を受け取り、それをデータとしてセキュアに保管するところまでは対応できます。ただ、GDPRの難しいところは、後から同意を取り消された際に削除が義務付けられているという点です。システムの運用と考えると、そこが極めて難しい。セキュリティとシステムを一体として考えなければならないという例の1つでもあります。
清水 いまはプラットフォームが社内だけにあるわけではありません。たとえば、マーケティングにSNSなどの外部サービスを利用していて、自社の偽アカウントが出てきてもサービス提供者側で即座に対応してくれないという不満をよく聞きます。サービスが魅力的であっても、それを使うことがリスクになったり、逆に使わなければ偽物が出てきたり…。
A氏 そのあたりは日本の会社はきちんとしていますよね。徹底してリスクを排除して、怪しいものには即座に対応してくれます。
B氏 一方、それが日本の構造的な問題という見方もできるかもしれません。日本企業は完璧なものを作って売ろうとします。Project 2030のような世界を作るためには、「多少バグがあってもパッチで何とかしよう」というくらいの割り切りとスピード感が必要になりそうです。加えてサイバーセキュリティの観点から言えば、データを過度に保護しすぎているように見られます。「国内にデータセンターを置いているから安心」という論調は昔からありますが、デジタル畑が長い私の視点では、ちょっと違う気がします。確かに「同じ法律が適用される場所にデータがある」という安心感はあるのかもしれませんが。
A氏 デジタルの担当者という視点で見ると、違和感はよくわかります。どこにあっても管理のやり方が同じなら、関係ないですよね。接続スピードがわずかに劣ることくらいで。ただ、他国にデータを置いておくと、データを移動できないようなリスクが生まれる可能性もあり、難しいところです。それこそ、GDPRとの絡みもありますし。
B氏 日本でも規制は進んでいます。このまま厳格化の流れが加速すると、個人情報は「情報銀行」から買う方が楽になるかもしれません。情報銀行は、同意を得た個人情報のみを提供するため、買う側は安心して使えます。情報銀行を使うから、企業としては個人情報を一切収集しません、というやり方も将来はありうるでしょう。実は、個人的に情報銀行のデータ活用を検討したこともあり、現状ではまだ使えるようなデータではないと感じました。しかし、将来はわかりません。
清水 データをどこに置くかという問題では、物理的な対策も考える必要があります。電力、通信、サイバーセキュリティと一体化したシステムという将来のビジネスインフラの中で、物理的な攻撃を受けるリスクもあります。発電所や変電所、海底ケーブルの陸揚げ拠点などを物理的に狙われるリスクです。悪人たちは、われわれの数歩先を考えています。国家がこれらを物理的にどう守ってくれるのか、というのは心配ですね。
求められるセキュリティ監査制度
A氏 私たちは、攻撃されて被害を受けるリスクに常にさらされています。ですので当然、各企業違いはあれど、攻撃から身を守ろうと皆精一杯手を尽くしているわけです。しかし仮に攻撃を受けてしまった場合、企業側は被害者なのに、なぜか「悪者」のように見られてしまうことが往々にしてあります。実際には、情報を奪い取ったりランサムウェアで身代金を奪おうとしたりしている方が悪者です。弊社ではまだ大きな被害は出ていませんが、世間から悪者と見られてしまうと事業に影響してしまいます。明日は我が身かもしれません。
B氏 セキュリティについて、「これだけやっているから安心」という明確な制度がないのですよね。「ここまでやっていたのに守れなかった」という共通理解があれば、世間も「きちんとしている企業なのに被害に遭ってしまった」と見てくれるようになるかもしれません。
清水 現実には、サイバー攻撃による被害が起こったときなど状況が混乱していると、その主たる要因が「企業の落ち度」によるものなのか、はたまた「隙をついてきた悪者」によるものなのか、正確な情報を得にくいこともあるのでしょうね。それでも、それぞれの事件がどちらの性質のものか、この社会に生きる我々皆しっかり理解しようとすることが大事だと思います。サイバーリスクは誰にとっても身近なもので、対岸の火事ではありませんし。フランク・ナイトの不確実性論にあるように、サイバーリスクは被害に遭う確率を正確に算出できるような性質のものではありませんから。
A氏 サイバーリスクの評価については、まさにおっしゃるとおりです。しかしながら、なかなか上層部はわかってくれません。何かが起こって、ようやく予算を取れるという側面もあるのです。
B氏 何も起こっていないから大丈夫というわけでないのですよね。何も起こらないようにするために、どれだけ私たちががんばっているのか。予算の話はいつも頭が痛いですよ(笑)。セキュリティにもJ-SOXのような仕組みがあれば、基準ができますから「予算」でなく「投資」と見てくれるはず。明日のイノベーションにもつながりますから、監査制度はぜひ整えてほしいですね。
参考記事:日本の組織のサイバーセキュリティの実力は? 29の国と地域を対象とした国際意識調査「Cyber Risk Index」
終わりにーサイバーセキュリティリスクから組織を守るために、本当に大切なこと
多くの企業において、情報セキュリティ部門がカバーする範囲は、ますます広がっています。社内のシステムやデータだけでなく、外部のプラットフォームであるSNSや、デジタルデータとして保存される監視カメラ映像なども、その対象になりました。さらに、接続するパートナー企業のシステムにも目を配っておかなければなりません。今後も、デジタル化が進めば進むほど、その範囲は広がっていくことになるでしょう。
情報セキュリティ部門は、企業のセキュリティを担保する仕組みを整え、最新のニーズにも対応しながら、激務をこなすことになります。しかし、いかに優れたツールや施策をユーザー部門に提供できたとしても、たとえばデータの重要性について利用者側(企業で言えば事業部門)が理解していないようなケースでは、そのセキュリティは意味のないものになってしまいます。
ビジネスを成長させるにあたって、すべての社員が協力し、業務を前に進めていくことは大切です。ただ、その際に、「絶対に守らなければならないものがある」ということも認識しておかなければなりません。個人情報や機密情報などがそれです。
今回の対談の中で、印象的な発言がありました。「社員の飲み会の写真は、大した機密ではありません。しかし、幹部が買収候補企業の担当者と飲んでいる姿はトップシークレット。だから、例えば“飲み会の写真のセキュリティランクは『中』でよい”という規則を作ってはいけないのです」というものです。
実際に情報の重要性を理解し、運用していくのは現場で働く人たちです。規則そのものを理解してもらうことより、会社が常にセキュアであるように気を配り、きちんと情報の重要性を判断する力を浸透させることこそが最優先課題。一枚岩となって外敵からの攻撃やリスクをかわせる組織を作るために、情報セキュリティ部門が日々努力していることを強く感じさせてくれるひとときとなりました。
Security GO新着記事
エバンジェリスト、ICU高校の生徒と語る ~AIの「悪用」と「活用」~
(2024年10月4日)
プロパガンダとは?意味や事例について解説
(2024年10月3日)
生成AIでランサムウェアを作成した容疑者の摘発事例を考察
(2024年10月2日)