カテゴリーを選択
トップ > ITのチカラ [Vol.9] 2020年の先を見たサイバーセキュリティ対策 > P1
企業・組織のシステムに侵入し、機密情報の漏えいや金銭の詐取などを試みる攻撃者の手法はますます巧妙になっており、サイバーセキュリティ対策の重要性は高まる一方だ。「2020年の先」を見据えたとき、どのような意識を持ち、対策を行うことが求められるのか、デロイト トーマツ リスクサービスの丸山満彦さんに話を聞いた。
今回のポイント
ソリューションレポート
「企業の情報セキュリティ対策は、現在のリスクを正しく分析した上で、ビジネスとのバランスを考えて判断することが重要です。」
デロイト トーマツ リスクサービス株式会社――現在、サイバーセキュリティに関する課題はどのような点にあるのでしょうか。
IT(情報システム)だけでなく、OT(制御システム)もサイバー攻撃の対象になり得ることに目を向ける必要があります。IoTが普及してきた現在、工場やプラントの機器から自動車まで、身の回りのあらゆるモノがインターネットにつながっています。このような状況では、個人情報漏えいといったトラブルだけでなく、サイバー攻撃によって工場のラインが止まるといった問題も増えるでしょう。つまりオフィスで使う情報システムだけでなく、ネットワークを介して有機的に連係していくモノ、それを制御するシステムに対するサイバーセキュリティ対策にも力を入れる必要があるということです。
――具体的にはどのような対応が必要になりますか。
技術的には、すでに存在するさまざまなソリューションで対応が可能ですが、問題は組織的な対応にあります。
例えば製造業では、CIO(最高情報責任者)が情報システム部門を統括している一方、工場のシステムは工場長の管理下にあるといったケースがあります。これではCIOは工場の情報セキュリティ上の問題を把握しきれません。CIOと工場長が協力して対策しようとしても、工場長は情報セキュリティ対策の専門家ではありませんから、適切な情報や状況をCIOに報告するのは難しいでしょう。会社全体で統括的に管理していく必要性を知っておくべきです。
もう一つは「正しく問題を認識すること」の重要性です。情報セキュリティは軽々しく考えるべきではありませんが、過剰反応もよくありません。
よく挙げられる例として「発電所のような重要インフラにサイバー攻撃が仕掛けられて爆発したらどうするのか」という話があります。しかし、重要インフラのシステムはそうしたリスクを想定して、システムが停止しても安全に制御できるように設計されています。
重要なのは、起こり得る事態を正しく想定しリスク分析を行い、ビジネスにとって重要なインフラが止まらないよう適切な対策を取ることなのです。
――将来的にはどのような課題が生じるでしょうか。
AI(人工知能)が最近の話題ですが、サイバー攻撃を仕掛ける側がAIを使い始めることは想定できます。従来は防御できていた攻撃が、AIにより高度化して防げなくなる恐れはあるでしょう。
サイバー攻撃を“自動化”するのにAIが使われる可能性もあります。有能なハッカーの育成には時間がかかりますが、AIでスーパーハッカーのようなシステムを一つ作れば、コピーするだけで大量のスーパーハッカーが生まれます。それを防ぐにもやはりAIが必要でしょう。
ロボットやドローンのような高度に制御された機器が生活の中に入り込むことで顕在化するリスクもあります。産業用ロボットであればアームなどが動く範囲は決まっていますし、工場内ですから、サイバー攻撃を受けたとしても少なくともその行動範囲に入らなければ安全は確保できます。しかし自動運転車や家庭用ロボット、ドローンは人間と同じ空間に存在することになります。それらがサイバー攻撃で乗っ取られて遠隔操作が可能になれば、テロなどの人命に関わる犯罪に悪用される恐れもあります。
巧妙化するサイバー攻撃と、セキュリティ人材不足や経営層参加の現状
① インシデント報告件数の推移
② ランサムウェア「WannaCry」の検出台数
③ 重大被害を経験している法人組織での「ビジネスメール詐欺」の割合
④ 世界のIoTデバイス数の推移と予測
⑤ 情報セキュリティ人材不足数推計
⑥ 日本の情報化投資の推移
⑦ 経営者によるサイバーセキュリティリスクの認識
⑧ CISOの設置状況
※1・2 Copyright ©2017 Trend Micro Incorporated. All rights reserved.
TRENDMICROは、トレンドマイクロ株式会社の登録商標です。
長年培ってきた「技術力」「提案力・対応力」「サポート力」を生かし、製品開発からセキュリティサービスの提供、包括的なソリューションの提案・構築まで、お客さまのセキュリティ対策をトータルにお手伝いします。
検索