事件事故から学ぶだけでなく、先を見据えた攻めのセキュリティ対策
太田氏:経営者に響かせるためにはどうしたらいいとお考えですか。
佐々木氏:確かに実際の事件や事故を参考にするのはとても効果的ですが、自社に当てはめてみるとどのくらいのコストが発生するのかを経営者に伝えきれていないのが大きな課題なのではないでしょうか。
日本CISO協会としては、それらの情報をしっかりと共有し、それぞれの企業に当てはめたときのインパクトがこれくらいになるというものが算出できるようなものを出せるようにしたいと考えています。
私も経営者ですので、リスクに関する情報を上げてくる人間がビジネスの視点を持っているのかどうかしっかり見ています。
「事件が起きたからうちも入れましょう」ということでは、結局誰の言葉でしゃべっているのかよくわからず、経営者には届きません。
また、CISOはビジネス的な視点ももちろんですが、それをきちんと経営者に響く言葉で伝えるためのコミュニケーションスキルも非常に重要なのです。
太田氏:協会内でそういった情報共有を行ったり勉強会を開催したりすることはとても意味がありますね。
やはり経営者にしっかり意識してもらえるようなアプローチが必要だということですね。
佐々木氏:先を見据えて考えると、トップダウンでセキュリティ対策やリスクマネジメントを行うのが大きなポイントです。
下から上がってきたものに対処するだけでは、結局従来型のリアクティブなセキュリティ対策にしかなりません。
企業におけるセキュリティ対策、リスクマネジメントをどのような形に今後持っていくのかという目標をもとにトップダウンでやっていかない限り、付け焼刃的な対策で終わってしまいます。
実はCISOはプロアクティブな役割であるべきで、待ちの姿勢では意味がありません。
常に先をみて対策していく方針を出さないといけない役割であり、基本はCIOよりも動き続けなければならないのです。
セキュリティが担保されないビジネスは成り立たない時代へ
太田氏:経済産業省からは「サイバーセキュリティ経営ガイドライン」やCISO設置に関する話題が示されるなど、業界全体としては進んでいる印象がありますが、まだどちらかというと形だけ置くというものが多いのでしょうか。
佐々木氏:おっしゃる通りです。
欧米だと高収入職種のランキングでいうと、責任が重いぶんCISOなどは上位に入ってきます。
日本ではまだまだですが、少しずつロールモデルとなるべき人も出始めている状況にあります。
そんな人が増えていけば、CISOの認知や立場も向上するなど継続性のある環境を作っていくことができます。
また、企業での成功事例を共有し、それを社内に持って帰って実践していただくようにしていきたいと考えています。
経営者に対してどうアピールしたのか、どう説き伏せたのかといった成功パターンをうまく共有できるよう努力していきます。
太田氏:残念ながら、いまだに“個人情報漏えい”といった観点だけで情報セキュリティをとらえている経営者も少なくありません。
すべてのビジネスにSecurity By Designの考え方が必要で、それを担保しない限りビジネスは成り立たない時代なのです。
情報セキュリティ対策を怠る事はビジネスのリスクだという視点を持ってもらえるよう、我々としても啓発活動を続けていきながら、実装にまで踏み込んだ形で情報発信を続けていければと考えています。
佐々木氏:ビジネスのリスクだということを、しっかり経営層に訴えかけるのがCISOの役割でもあるはずです。
情報セキュリティも社外からの脅威だけでなく、内部脅威についても視野に入れなければいけない時代であり、以前の考え方から大きく転換していかなければいけません。
太田氏:内部対策では社内でいくら対策を強化しても起こってしまうことはあります。
以前発生した内部犯行による大規模な情報漏えい事件では、誰も最初から個人情報を盗んで売ろうなんて考えていなかったはず。
たまたま無線LANを経由してスマートフォンでアクセスしたら情報が覗けてしまったと。
自身が借金をしていたこともあって売ることを思いついてしまったわけですが、そう思いつかせないためにも、認証基盤を整備したうえでしっかり権限をロックするなど、見えてはいけないものを見せないといった対策にも十分配慮すべきなのです。
佐々木氏:誰が何をやったのかという証跡管理は重要です。
かつ偽造できない形でネットワークの入り口でしっかり管理できるようになっていることが理想的です。
例えばシンガポールなどでは、ワーキングビザを取得するとそこに指紋認証が紐づいており、パスポートと生体情報を合わせた認証が国家レベルで行われています。
認証基盤をしっかり持つことは、情報セキュリティを高めるために重要な施策となってくるはずです。
経営者がやらなければいけない3つのこと
太田氏:CISOがCIOに指導していくという観点では、3つのことについてやらなければいけないと以前から説いています。
1つは情報漏えいが発生することを前提に、強度の高い暗号化をしっかりすること。
解読するためにお金をかけなければいけない状態であれば、犯罪者はあきらめます。
そして次にプロアクティブな形でICTを維持していくための効率的な運用体制を構築すること。
そして3つめが、リアル空間とサイバー空間の境界をセキュアにするための認証基盤の強化です。
なお、運用の部分についてはセキュリティだけに特化させるのではなく、ICTの運用のなかでセキュリティ監視も行っていくべきだと考えています。
CIOとCISOが重複してくる領域であり、技術はCIOに任せて、CISOはリスクマネジメントに徹する、といった棲み分けがミッションステートメントで記述されるといいのかなと考えています。
佐々木氏:実際にグローバル企業においてはPKI(=公開鍵暗号を用いたセキュリティインフラ)が基本となっていますが、認証をさらに強化するためには、実は御社が持っているような静脈認証でなければ難しいのが実情です。
国や人種によっては指紋が読み取れないケースもあり、すべての人種をカバーするセキュリティ対策として考えると、おそらく静脈認証が有効になってきます。
太田氏:富士通でも1997年からPKIによる認証基盤を構築していますが、当時は膨大なコストで苦しんだ面もありました。
しかし、あのおかげでどれだけ守られているのかということを広く認識すべきです。
佐々木氏:今のITインフラを例えると、以前のように無料で飲める水が流れているのではなく、 “飲んだらおなかを壊す水”なのだというとらえ方をするべきです。
きちんと飲める水にしておくのがセキュリティ対策です。
本来は、セキュリティ対策されたインフラがICTのインフラであり、対策されていないのはICTのインフラとは言わないのではないでしょうか。
太田氏:空気もタダで吸っているかもしれませんが、公害対策したり植林したりすることでいい環境が維持できているのです。
ICTという視点で考えれば同じことなのかもしれません。
今まではタダでも使えたものの、インターネットがこれだけつながって、犯罪組織が本当に組織化されてきて、国までもが関与する時代です。
さすがにタダというわけにはいかないということを認識すべきでしょうね。
■日本CISO協会について
企業における情報セキュリティ管理者の必要性や意義、そして、最新のIT環境におけるセキュリティ、コンプライアンス、RM(リスクマネジメント)を考え議論し情報発信することを目的に、2013年2月に一般社団法人として設立。
企業のセキュリティ責任者や管理者が集まり、最新のIT情報や情報セキュリティ、ガバナンスなど企業経営に直結する情報発信を行いながら、会員同士の情報交換の場を提供している。
また、IT内部統制やISMS、プライバシーマーク、PCIDSSなどの導入、維持、管理の手法や新しいIT技術に対するセキュリティ対策の共有など、様々な活動を行っている。
日本CISO協会のHPはこちら: http://www.cisojapan.org/
<PR>