カテゴリーを選択

トップ > ITのチカラ [Vol.9] 2020年の先を見たサイバーセキュリティ対策 > P1

ITのチカラ Vol.9 2020年の先を見たサイバーセキュリティ対策

企業・組織のシステムに侵入し、機密情報の漏えいや金銭の詐取などを試みる攻撃者の手法はますます巧妙になっており、サイバーセキュリティ対策の重要性は高まる一方だ。「2020年の先」を見据えたとき、どのような意識を持ち、対策を行うことが求められるのか、デロイト トーマツ リスクサービスの丸山満彦さんに話を聞いた。

  • Twitter
  • Facebook
  • ITのチカラ
  • 2018.06.01

[Vol.9] 2020年の先を見たサイバーセキュリティ対策

インターネットにつながるモノへのサイバー攻撃も発生、統括的な対策が必要

写真:丸山満彦さん 「企業の情報セキュリティ対策は、現在のリスクを正しく分析した上で、ビジネスとのバランスを考えて判断することが重要です。」 デロイト トーマツ リスクサービス株式会社
代表取締役社長
丸山満彦 さん
有限責任監査法人トーマツで会計監査に従事した後、Deloitteのデトロイト事務所で米国企業のシステム監査を担当。帰国後、情報セキュリティなどの監査およびコンサルティングに従事。デロイト トーマツ サイバーセキュリティ先端研究所所長を兼務。

――現在、サイバーセキュリティに関する課題はどのような点にあるのでしょうか。

IT(情報システム)だけでなく、OT(制御システム)もサイバー攻撃の対象になり得ることに目を向ける必要があります。IoTが普及してきた現在、工場やプラントの機器から自動車まで、身の回りのあらゆるモノがインターネットにつながっています。このような状況では、個人情報漏えいといったトラブルだけでなく、サイバー攻撃によって工場のラインが止まるといった問題も増えるでしょう。つまりオフィスで使う情報システムだけでなく、ネットワークを介して有機的に連係していくモノ、それを制御するシステムに対するサイバーセキュリティ対策にも力を入れる必要があるということです。

――具体的にはどのような対応が必要になりますか。

技術的には、すでに存在するさまざまなソリューションで対応が可能ですが、問題は組織的な対応にあります。

例えば製造業では、CIO(最高情報責任者)が情報システム部門を統括している一方、工場のシステムは工場長の管理下にあるといったケースがあります。これではCIOは工場の情報セキュリティ上の問題を把握しきれません。CIOと工場長が協力して対策しようとしても、工場長は情報セキュリティ対策の専門家ではありませんから、適切な情報や状況をCIOに報告するのは難しいでしょう。会社全体で統括的に管理していく必要性を知っておくべきです。

もう一つは「正しく問題を認識すること」の重要性です。情報セキュリティは軽々しく考えるべきではありませんが、過剰反応もよくありません。

よく挙げられる例として「発電所のような重要インフラにサイバー攻撃が仕掛けられて爆発したらどうするのか」という話があります。しかし、重要インフラのシステムはそうしたリスクを想定して、システムが停止しても安全に制御できるように設計されています。

重要なのは、起こり得る事態を正しく想定しリスク分析を行い、ビジネスにとって重要なインフラが止まらないよう適切な対策を取ることなのです。

AIによりサイバー攻撃が高度化し、増加するロボットのセキュリティも課題に

――将来的にはどのような課題が生じるでしょうか。

AI(人工知能)が最近の話題ですが、サイバー攻撃を仕掛ける側がAIを使い始めることは想定できます。従来は防御できていた攻撃が、AIにより高度化して防げなくなる恐れはあるでしょう。

サイバー攻撃を“自動化”するのにAIが使われる可能性もあります。有能なハッカーの育成には時間がかかりますが、AIでスーパーハッカーのようなシステムを一つ作れば、コピーするだけで大量のスーパーハッカーが生まれます。それを防ぐにもやはりAIが必要でしょう。

ロボットやドローンのような高度に制御された機器が生活の中に入り込むことで顕在化するリスクもあります。産業用ロボットであればアームなどが動く範囲は決まっていますし、工場内ですから、サイバー攻撃を受けたとしても少なくともその行動範囲に入らなければ安全は確保できます。しかし自動運転車や家庭用ロボット、ドローンは人間と同じ空間に存在することになります。それらがサイバー攻撃で乗っ取られて遠隔操作が可能になれば、テロなどの人命に関わる犯罪に悪用される恐れもあります。

巧妙化するサイバー攻撃と、セキュリティ人材不足や経営層参加の現状

写真:巧妙化するサイバー攻撃と、セキュリティ人材不足や経営層参加の現状
  • ① インシデント報告件数の推移

    2010年に10,417件だったセキュリティインシデント報告数は2017年には18,450件と約1.8倍にまで増加した(※1)
  • ② ランサムウェア「WannaCry」の検出台数

    ランサムウエアの被害拡大は、多くの企業で脆弱性への対策が依然進んでいないことも背景にあると考えられる(※2)
  • ③ 重大被害を経験している法人組織での「ビジネスメール詐欺」の割合

    取引先や内部の経営層・上層部を偽って高額の金銭を騙し取るビジネスメール詐欺も深刻な被害を与えている(※3)
  • ④ 世界のIoTデバイス数の推移と予測

    2016年時点で、IoTデバイスの数は173億個で、2013年から約54.3%の増加。2021年は現状の約2倍に拡大する見通し(※4)
  • ⑤ 情報セキュリティ人材不足数推計

    情報セキュリティ人材は2016年現在で現状の1.5倍程度が必要であると推計され、今後さらに拡大すると推計される(※5)
  • ⑥ 日本の情報化投資の推移

    2015年の民間企業による情報化に関する投資は、 2011年価格で11.4兆円。内訳はソフトウェアが最も多く約7.7兆円(※4)
  • ⑦ 経営者によるサイバーセキュリティリスクの認識

    経営層の情報セキュリティに対する関与についての問いに「会議等があり、情報セキュリティに関する意思決定の場として機能している」との回答は半数を超え、経営層が意思決定を行う環境は整備されつつある(※6)
  • ⑧ CISOの設置状況

    専任のCISO設置状況は日本は27.9%に対し米国では78.7%、欧州では67.1%が設置。専任・兼任のCISOは米国では95.2%、欧州では84.6%、日本は62.6%が設置しており、まだ少ないのが現状だ(※6)
  • ※1 JPCERT コーディネーションセンター(JPCERT/CC)発表より作成
  • ※2 トレンドマイクロ/「2017年年間セキュリティラウンドアップ」を公開(2018年2月27日)
  • ※3 トレンドマイクロ/国内におけるサイバー攻撃被害の実態が明らかに(2017年9月13日)
  • ※4 総務省/平成29年版情報通信白書
  • ※5 経済産業省/IT人材の最新動向と将来推計に関する調査結果(平成28年6月10日)
  • ※6 情報処理推進機構/企業のCISOやCSIRTに関する実態調査2017(2017年4月13日)

※1・2 Copyright ©2017 Trend Micro Incorporated. All rights reserved.
TRENDMICROは、トレンドマイクロ株式会社の登録商標です。

キヤノンMJグループの「トータルセキュリティソリューション」

長年培ってきた「技術力」「提案力・対応力」「サポート力」を生かし、製品開発からセキュリティサービスの提供、包括的なソリューションの提案・構築まで、お客さまのセキュリティ対策をトータルにお手伝いします。

キヤノンMJグループの
「トータルセキュリティソリューション」

  • 次のページ

    情報セキュリティを専門とする人材の不足が今後の大きな課題
    外部からの攻撃だけでなく内部の不正にも備えた検知システムも必要

C-magazine サイト トップページに戻る

PDFで閲覧する場合は、デジタルアーカイブスへ

このページのトップへ