新型コロナが問いかけるサイバーセキュリティの許容限界点！（2）

2021年2月12日 15:05

ツイート

明治大学ビジネス情報倫理研究所客員研究員　守屋英一氏

　企業や組織には、多くの機密情報や個人情報などが保管されているため、システムに不具合が生じ、サービスが停止してしまうと、社会に大きな影響を与えることがある。企業や組織はこれまで当然の責務として、セキュリティ対策における「ゼロリスク」に向けて走り続けてきたが、新型コロナウイルス感染拡大でリモートワークが進み、その風景は一変した。企業が「許容の限界」を真剣に考え始めているサイバーセキュリティ対策について、明治大学ビジネス情報倫理研究所客員研究員の守屋英一氏に聞いた。

セキュリティは重要だが、利益を上げなければ企業は潰れる

　――コロナ禍は「企業や組織」の情報セキュリティ対策に関して、どのような影響を与えていますか。

　守屋　新型コロナが企業の情報セキュリティ対策に与えた影響は、とても大きいと感じています。大企業を中心に、今までの日本企業はある程度の余裕もあったので、サイバーセキュリティへの投資が可能でした。しかし、コロナ禍の影響を受けて、「生きるか死ぬか」の状況に追い込まれる企業も増えてきました。

　情報セキュリティ対策は、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりせず、インターネットやコンピュータを安心して使い続けられるように必要な対策をすることです。　

　日本企業はこれまで「セキュリティ原理主義」（情報セキュリティの原理原則だけを厳格に守ろうとし、かたくなで融通のきかない立場）のような感覚をもっていました。一方、日本が成熟市場から衰退市場に向かう中で、企業がセキュリティ投資の「投資対効果」を見極め、その見直しを行なっていた矢先に、コロナ禍が起こりました。従来のITは主に「効率を上げる」側面が強調されていましたが、今後はDX(デジタル・トランスフォーメーション※1）などを駆使して「収益を上げる」側面への方向転換が求められています。

　これまでの厳密なセキュリティルールとセキュリティ製品の導入による対策から、お客さまが求めるサービスレベルを損なうことなく、低コストで実現できる知恵が求められます。その理由は、どんなに完璧なセキュリティであっても、企業として利益を上げなければ、お客さまの信頼に応えることができなくなり、何よりも企業そのものが潰れてしまうからです。

　コロナ禍は、今まで当たり前だと考えてきた情報セキュリティ対策のあり方を改めて見直すきっかけになったと感じています。そのため、後述しますが、「広く受け入れ可能なリスク」（残留リスク）と「受け入れ不可能なリスク」（対策）の許容限界点を探ることがとても重要です。

多くの企業はクラウドに頼らざるを得ない

　守屋　今まで日本の企業、特に大企業は、情報システム部門を社内に置き、会社を取り囲む「堀」から頑なに一歩も外に出ず、システムを外に出すことなく管理してきました。しかし、海外では、ユーザーがインフラやソフトウェアを持たなくても、インターネットを通じてサービスを必要な時に必要な分だけ利用する「クラウドサービス」が一般的で、社内の情報システムを莫大な費用をかけて自社で構築することが少なくなっています。

　また、企業を取り巻く環境が目まぐるしく変わる現代においては、仕様の変更などに対して、アジャイル（機敏かつ柔軟）に対応するためのソフトウェア開発手法が必要で、自社開発では追いつかなくなっています。この問題は、今回のコロナ禍でも露わになりました。従来のテレワークは一部の従業員に限定されていましたが、コロナ禍で従業員の7割が在宅勤務になり、従来の自社システム機能では対応できなくなりました。

　一方、会議などをオンラインで行う場合には、「Zoom」、「Microsoft Teams」、「Google Meet」など安価なクラウドサービスがあり、使ってみると、とてもスムーズに機能することも分かってきました。多くの企業は莫大な費用をかけて、従来の自社システム機能を素早く改変する余裕がなく、あらゆるクラウドサービスに頼らざるを得ない状況になっています。

　また、コロナ禍で働き方に大きな変化が起き、社内だけのやり取りから、社員がオフィス外からアクセスすることが増えました。コロナ前は、「会社のPCを持ち帰ってはいけない」「個人のPCを仕事に使ってはいけない」「書類は自宅で印刷してはいけない」など各企業には多くのセキュリティルールがありました。しかし、仕事の円滑化を優先するため、シンクライアント（※2）やVPN（仮想プライベートネットワーク※3）の徹底などの最低限の対策を除いて、今まで許されていなかったことがなし崩し的に行われています。

（つづく）

【金木　亮憲】

※1：進化したデジタル技術を浸透させることで、人々の生活をより良いものへと変革すること。既存の価値観や枠組みを根底から覆す革新的なイノベーションをもたらすものと期待されている。 ^

※2：サーバー側でほとんどのファイルやアプリケーションなどの資源を管理することで、必要最低限の記憶媒体やアプリケーションソフトしか備えていないクライアントコンピュータのこと。クライアント側にデータを持たせない特性上、機密情報や顧客情報の漏えいを防止できるというセキュリティ面のメリットにもつながるため、最近の企業情報システムではシンクライアント端末が主流になりつつある。安価で導入できるというメリットもある。 ^

※3：インターネット上に仮想の専用線を設定し、特定の人のみが利用できる専用ネットワーク。接続したい拠点（支社）に専用ルーターを設置し、相互通信ができる。また、「トンネリング」（データの送信者と受信者の間に仮想的なトンネルを作り通信する）、「暗号化」（データを盗聴・改ざんなどができないよう鍵をかける）「承認」（発信者と受信者がお互いに正しい相手だと確かめる方法を設定）で、セキュリティ上、比較的安全にデータのやり取りができる。 ^

＜プロフィール＞
守屋英一氏（もりや・えいいち）
　2016年中央大学大学院・経営修士（専門職）課程修了。07年日本アイ・ビー・エム（株）に入社。セキュリティオペレーションセンター運用責任者、IBM Computer Security Incident Response Team（CSIRT）Forensic analystを経て、15年内閣官房上席サイバーセキュリティ分析官、18年から自動車会社勤務、現在に至る。
　シーサート協議会専門委員及びインシデント事例分析WG主査、明治大学ビジネス情報倫理研究所客員研究員を兼任。著書として『フェイスブックが危ない』（文藝春秋）、『サイバーセキュリティ』（共著、NTT出版）、『ネット護身術入門』（朝日新聞出版)など多数。12年度JNSA表彰個人の部を受賞。14年～15年Microsoft MVP for Consumer Securityを受賞。