急速に移り変わり、“いたちごっこ”とも言われるセキュリティトレンドに対し、企業はさまざまな施策を採らなければなりません。特にセキュリティ担当者は、経営者をどのように説得すべきかと悩んでいると思います。

よくそういう質問がありますね。経営者が責任者ですから、経営者に意見具申をしても経営者が「サイバーセキュリティ対策は今のままでよい」というのであれば、担当者としては仕方ないと考えるしかありません。担当者としては、意見具申をしたという事実が重要です。「私は言いましたよ。何かあっても、『お前らなんで考えていなかったんだ』とは言わないでくださいね」と返しておいてください（笑）

ただし、経営者に理解しやすく意見具申したかどうかは重要です。一方、経営者も「俺はITは分からん」ではだめで、技術的に細かいことは分からなくても、会社が置かれているリスクの状況を理解しておく必要があるのです。経営者が最終責任を持たなければならないわけですから。

私もよく質問されるのですが、経営者を説得する“最良の方法”などないと答えています。

もちろん、経営者を説得しやすい“タイミング”はあります。ビジネスに有益なIT投資が優先されるときには、それとセットでセキュリティを強化する施策を提案するのです。

それには定期的なシステム更改などのタイミングで、同時にセキュリティ対策を検討することも重要です。システムに投資した翌年にセキュリティを強化したいと言っても、それを実施するのは困難です。

「できるだけ安くて効果的な対策」であれば答えられますし、その方が経営者も納得しやすいでしょう。

近年は、セキュリティ対策をきちんと実施している企業と、実施していない企業とに状況が二極化しているように感じます。

私は2008年ごろから「セキュリティ格差社会」というキーワードを提唱しています。2005年くらいにSQLインジェクション攻撃が登場し、それから3年経って、対策ができている企業とできていない企業に差があることを発見したからです。現在、この格差はさらに広がっていると思います。

攻撃者は常に進化し続けています。これにがんばって追随している企業は、現在も対策がきちんとできています。一方、早々に諦めて、あるいは忘れてしまって、何もしない企業もありますね。

内部のシステム脆弱（ぜいじゃく）性への対策については、「“実施した”という実績があればよい」と考える企業もありますね。以前、あるECサービス事業者から脆弱性の診断を依頼されたのですが、「検査は最初の1ページだけでよい」と言われました。もちろん、その依頼はお断りさせていただきました。

2020年に向けて、サイバー攻撃が激化すると予想されています。日本企業はどのような対策を行っていけばよいのでしょうか。

2020年に日本の企業や公共組織を標的とした攻撃が増えるだろうと予想される期間は、だいたい1カ月ほどでしょうか。その短い期間のためだけに、多額の投資を行うというのは疑問ですね。その期間のために対策を実施したとして、その後はどうするのでしょうか。やめてしまうのでしょうか。

重要なことは、特別ではない“いつも”のために対策することなのです。

サイバー攻撃の多くは、「金もうけ」を目的として行われます。2020年だからといって、金銭目的の攻撃が急増するとは考えられません。もちろん、意識する必要はあるでしょう。

例えば、2017年2月にWordPressの脆弱性が明らかになったときには、多くのWebサイトが攻撃を受け、改ざんされました。このときの攻撃者は、金銭目的ではなく、“これだけの数のサイトを改ざんした”と自慢したかったのです。こうしたことが、2020年に数多く発生する可能性は十分にあります。しかし、これは本質ではありません。数は増えても、攻撃のレベルは低いと考えられます。

2020年をセキュリティ対策の目標とするのは悪くはないと思いますが、予算獲得のための“方便”として使うことは避けるべきです。終わったときに経営者が「やめた」ということになりかねないからです。

セキュリティ対策予算の獲得には、多くの方が苦慮していることでしょう。経営判断によって、後から予算を減額されることもあるようです。

経営判断で一時的にセキュリティ対策を後回しするのは、致し方ないことだと思います。ただし、きちんと後で実施することが大事ですね。今年がダメならば、来年は必ず予算を投じるなど、リスクを意識して対策を進めていくことが重要です。

もし、一部のセキュリティ対策しか実施できないような状況であれば、「発見」を重視してほしいですね。攻撃に気付くことができなければ、何も対策できないからです。

最近は「防御」ばかりが注目されて、セキュリティ対策に偏りが生じているように感じています。セキュリティ対策もバランスが重要なのではないでしょうか。最近当社では、NIST（米国国立標準技術研究所）が定義する「サイバーセキュリティフレームワーク」を参考にセキュリティ対策を、「特定」「防御」「検知」「対応」「復旧」の5つの視点から全体を俯瞰しながらバランスの取れた対策をするようお勧めをしています。

図 NISTが定義する「サイバーセキュリティフレームワーク」

そうそう、このバランスは重要ですね。

本来、セキュリティ対策でやるべきことは、非常に“シンプル”なはずです。このフレームワークのように、もっとシンプルに考えることが重要だと思いますね。基本は防御、それでも防げないから検知、対応、復旧の対策を備える。防御に偏っている場合は、検知を次に考える。泥棒対策も同じだと思います。まずは、鍵を掛けることが重要。ピッキング対策も重要だけど、その後は侵入検知などのサービスですよね。そういう基本は防犯対策もサイバーセキュリティ対策も同じだと思います。

バランスよく、シンプルに、地道にやることが重要なのですね。

最近は多くの企業が「CSIRT（Computer Security Incident Response Team）」を設立しています。しかし、攻撃を発見できなければ対処できず、ヒマな組織になってしまいます。

外部からせっつかれて受動的にCSIRTを作るような企業は、状況を切実に感じていないようにも思われます。組織を作ることはそれほど困難ではありません。後はコンサルタントに手順書などを作らせれば完成です。その結果、ヒマな組織になるわけです。これも、セキュリティ格差の1つですね。

CSIRTは組織として経験を積むことが重要です。初期のCSIRTでは、例えば情報漏えいが発生したとき、大騒ぎし過ぎるケースと無反応なケースに分かれます。もし大騒ぎしたとしても、それを反省し、次にどう生かすべきかを学ぶことができます。無反応は論外ですね。

インシデントやトレンドを経営者に報告するときは、言い方に注意してください。技術的な話をしても、多くは伝わりません。ビジネスにどのような影響を与えるのかという視点で話すべきです。予算獲得のときと同じ話です。

最近では、自社のセキュリティ運用をアウトソーシングする例も増えてきていますね。一方で、外部に任せることに抵抗を感じることもあるようですが。

むしろ、積極的に外部に出すべきだと思います。クラウドサービスなどを活用して、システム運用自体を自社で実施するのをやめることが主流になりつつあります。

同様にセキュリティも信頼できるサービスを活用し、自社でやるべきことを減らすことが重要です。多くの企業は、GoogleやAmazon Web Servicesと同じレベルの安全なインフラを作り、継続的に運用することはできません。餅は餅屋、セキュリティはセキュリティの専門家に任せた方がよい部分も多くあります。もちろん、意思決定は外部に任せられませんから、丸投げということはないですが。

セキュリティ対策の人材確保も必要ですね。

冒頭で申し上げたのですが、経営者は全ての責任を負う必要があります。経営判断のための知識が不足しているのであれば、“分かっている人”を補佐に付けるべきです。経営目線でセキュリティ対策を考えられる人材は、時間をかけて育てるか、他から採用する以外にはありません。企業や国だけでなく、個人も自身に投資して、勉強してほしいと願っています。

私のところには「セキュリティ人材を育ててほしい」という依頼もあるのですが、知識を与えることはできても、コーチすることはできません。なぜなら、その企業の内情を知らなければならないためです。

Canon Security Days 2017での講演はどのような内容になるのか、少し教えてください。

私は「サイト運営者と開発会社がWebサイトでやっておくべきこと」というタイトルを予定しています。Webサイトのプレーヤーは、まず何をしなければならないのか、ごく基本的なところからお話ししようと思います。

私は「これから我々は何をすべきか」というタイトルで、IT担当者やセキュリティ担当者が目指すべき方向性を示唆したいと考えています。具体的には「経営者を目指せ」という話をするつもりです。経営者に訴えるには経営視点を持つべきだということですね。

お二人とも、非常に興味深い講演になりそうですね。イベントでは、セキュリティ専門家による多数のセッションを通じ、最新のサイバーセキュリティ情報をお伝えいたします。ぜひ読者の皆さんも会場へ足を運んでいただければと思います。