第617号コラム:石井 徹哉 理事(独立行政法人大学改革支援・学位授与機構研究開発部 教授)
題:「リスクマネジメントとクライシスマネジメント」

 サイバーセキュリティを組織的に行う場合、リスクマネジメントとクライシスマネジメントに分けて考えることが適切であるときがあります。おそらく適切に実施されている企業もあるでしょうが、中小企業や個人あるいは大学等の教育組織においては、これらの視点が欠如していることがまま見られます。なお、リスクマネジメントのなかにクライシスマネジメントを含めて考えることもできますが、ここでは、状況に応じた対応の違いを示すためにあえて分けて説明します。

 2 リスクマネジメントを考える際にまず重要なことは、リスクが、生じうる損害とその発生可能性との積で量定されるということにあります。生じうる損害には、事態にあたり現に生じた損失・損害だけでなく、復旧のためのコスト、原因追及のためのコスト、レピュテーションの毀損による収益等の減少なども含まれます。発生可能性は、ゼロにすることは無理ですし、可能な限り低減するとしてもそれぞれの組織におけるコスト・ベネフィットの衡量が必要になってきます。すなわち、リスクアセスメントをしてあるリスクをどの程度まで低減させるのか、生じうる損害が極めて高くともそもそも発生可能性がごく僅かであり、当該リスクに対応することで膨大なコストが必要となればそもそも無視しておくという判断もあり得ます。

 このようにリスクマネジメントは、各組織が有しているリスクを的確に評価し、どのリスクをどの程度まで低減させるのか、発生可能性が高くとも発生しうる損害が僅かであり、リスクが僅少であるため放置しておくのか、現に生じる可能性が僅かでリスクが僅少となることから、放置しておくのかなど、まずは個々のリスクについて経営判断が求められることになります。

 もっとも、リスクマネジメントも、構成員が比較的均質である場合には、組織として統一的なマネジメント、ルール設定とその遵守の指示などにより、組織として実施することは、比較的容易かもしれません。これに対して、大学などのように構成員が均質でないような組織では、ある程度構成員を類型化して、マネジメントを実施することが必要となることもあります。

 一般的にマネジメントの実施にあたっては一定程度のコストがかかるため、可能な限り適切な対応によりリスクを低減することが必要です。従来の情報セキュリティでは、各組織が保有する情報資産に着目し、それぞれについてリスクを評価し、機密性、完全性、可用性の観点から必要とされるリスク低減策を講じてきたわけです。

  しかしながら、いわゆる標的型攻撃等が中心となっている現状において、個々の情報資産に関するリスクをどうするかということを考えるよりも、組織全体として攻撃に対するリスクがどの程度のものであり、そのリスクについてどのように対応するのかということが重要になってきています。

情報システムもオンプレミスからクラウドへと移行し、あるいはオンプレとクラウドの併用等が一般化しているため、従来型の情報セキュリティのみを考えるだけでは不十分であり、サイバー空間において各組織がどのような位置にあり、これに対してどのような攻撃を受ける可能性があるのかを想定して対応していくことが求められるようになってきています。プロキシーを設置したり、サンドボックス型等のマルウエア検知システムを導入したり、いわゆるCSIRTを設置したりするなどの対応が近時急速に進展してきた背景でもあります。

 しかし、こういった最近の流行のものを導入したからといってすぐにリスクが低減されるわけではありません。セキュリティシステムを建築にたとえてみましょう。建物を建てる場合、その土地にふさわしくかつ各種法令に適合し耐震等の安全性にも配慮された設計がなされ、その設計に基づいて適切な施行計画が立案され、設計図と施行計画に基づいて建築がなされていきます。実際の建築現場では、多様であり多数の技術者である職人が作業し、その作業及び作業結果を現場監督が確認していき、建物が完成していきます。

 セキュリティシステムも、当該組織にふさわしい仕様書が適切に策定され、システムが導入されるのと同時に、情報システムを運用する多くの技術者もシステムの運用だけでなく、セキュリティも同時に意識して作業する必要があります。CSIRTが設置されている場合、CSIRTの統括責任者が実質的に情報システム運用の責任者となっていることもあるでしょう。

 建築との違いは、こういった技術者たる職人が同時にセキュリティの運用も兼ねることが多いということです。もちろん大規模な組織では分離していることも多いでしょう。いずれにせよ、人の組織までもがセキュリティのシステムに組み込まれていることになります。

  CSIRTが設置されている場合、一般的にはインシデントレスポンスに対応することが主な役割として理解され、平時には動かないようなイメージが持たれていたり、実際にも平時に何もしていないと他の部署から見られたりしていることがあります。

 平時に動いていない場合、CSIRTはことが起きてから招集されるなどしてインシデントに対応することになるでしょう。ただ、平時に何もしていないと、実は緊急時にも何をどうしていいのかがわからなくなり、適切な対応ができなくなります。それは、あるインシデントについて、それがどの程度のリスクをもつものであるのかを的確に判断できる能力があまりないこと、そもそも日頃のインシデント対応がなされていないことでなにが原因かすらたどれなかったりすることなど様々な要因があります。そのため、CSIRTも平時においてもSoCの活動をするなどして、ファイアウォール、侵入検知システムもふくめ各情報システムのログを監視し、非常事態にいたらない場合であっても、一定程度の脅威となり得るものを発見したり、その脅威を特定、評価するなどの活動を行っていくことが必要です。もちろん、CSIRTとしての講習会等への参加も必要でしょう。

 他のCSIRTとの連携、情報交換等による脆弱性への早期対応も必要となってきます。ただ、わが国では、こうしたCSIRTの活動も含めセキュリティ、リスクマネジメントが適切に評価されない傾向にあるのは否めません。端的に言えば、なにも起こらなければ、リスクマネジメントをしていようがいまいが、結果に変わらないからです。しかし、適切な準備をしていなければ、もし何かが起こったときに、それに気付かずに見過ごしてしまい、何も起こっていないものと安心しているだけにすぎない状態でしかありません。また、何かが起こってそれに対応しようとしても適切な手法を用いることは可能ではないでしょう。

 6 組織の各構成員も従来型の情報セキュリティの意識のままではそれ自体が大きな脆弱性となります。OSやアプリケーションを随時アップデートし最新のものを使用している、セキュリティソフトをインストールして最新の安全な状態を保っているなどという基本を徹底していればよい、またセキュリティソフトがあるからマルウエアに感染することはないなどと思っているかもしれません。しかし、現在のサイバー攻撃は、いわゆるゼロデイによるものが大半を占めており、またフィッシング行為についても通例のものであれば、組織のシステムがはじくとしても、新しいタイプについては対応できないこともあります。こうした場合、各構成員が基本的な対策をとっていたとしても、組織全体のリスクは非常に高い状態にあるといえます。また、日頃からインシデント対応の業務を日常的に行っていない場合、現に脅威が生じたとき、どのように対応するのかがまったく不分明なままであるといえましょう。逆に、未知の脅威であったとしても、日頃の用意が十分であれば、なんらかの応用等によってある程度の対応をとることができることになります。

  こうした日常的なセキュリティ活動が実際に結実するのが、現に脅威が生じた場合です。近時の標的型攻撃、とくにAPT攻撃では、攻撃者が対象組織を長期にわたり分析し、僅かな脆弱性を突くだけでなく、長期間にわたって対象組織全体へと攻撃を仕掛けていくものがあります。今年に入って報道されたものでは、三菱電機、NTTコムなどの企業でも攻撃を受けています。大学等の高等教育研究機関でも、数年にわたり侵入を受け、被害を受けたものなどもあります。大学の場合は、そもそもリスクマネジメントがなされておらず、侵入されたことにすら気付いていない場合も多いですし、メールアカウントの乗っ取り等についても、メールサーバ等のデフォルト設定を変更しない、ログの監視をしないなどの日常的なセキュリティ対応が杜撰なものも多く認められます。

こうした状況において、強力な攻撃を受けた場合、おそらくはどのように初期行動をとるのかわからず、適切な対応をできないままとなります。卑近な例では、今日のCOVID-19の感染があげられます。韓国は、かつてのSARS感染での教訓から、SARSに対して十分な対応がとれるように準備を整えており、緊急時の手順も決まっていました。そこで、今回の感染症への対応も事前のSARSへの対応を応用することで初期の感染拡大を抑えることができたように思われます。

日本は、当初、中国等からの入国制限により流入を阻止するのみでそれほど 脅威として認識していなかったように思われます。また、法制度上も公衆衛生上も適切な準備があるとはいえませんでした。そのため、月下旬以降はまったく独特の手法により対応することになったものとみられます。それが徹底的なPCR検査をする韓国と必要と考えられる人にのみPCR検査をする日本という対比なって現れます。

さらに日本は、法令改正をしないと行政的な介入すらできない状態でした。この効果の是非は問題ではありません。クライシスマネジメントでは、事前の準備がないことにより、その場でリスクアセスメントをおこない、目標設定を行ってその目標に従って各種の対応をとる必要に迫られるということにあります。反対に、事前の準備があったとしても、それが功を奏しない場合には、やはりより効果的な対応を考える必要があります。こうした判断は、現場では行うことはできず、当然にトップの判断で行うべきものとなります。

 トップが脅威が迫りまたはクライシスが生じている場合、どのようにリスクを判断するのかは、当該組織において何をもっとも重要なものとして安全対策を講じるのかということになります。ここでは、当該組織の運営に必要な各分野の専門家の具体的な個々の意見をすべてトップにあげることで、適切な判断が可能となります。まずい情報だからといって、情報をあげるのを躊躇したり、あるいは必要な情報や適切な専門的知見がトップに伝わらない状態になると、トップが誤った判断をすることになります。

サイバーセキュリティにおいて、最近、橋渡し人材という言葉がよくいわれていますが、実際のところ、情報技術者の話す内容をそのまま経営のトップがきいてもよくわからないということが頻繁にきかれます。つまり、情報技術者がギークの言葉でしか話さないためトップには実際のリスクが判断できない状態があり、現場の状況を的確にトップに伝える人材が必要だといわれているわけです。

再度COVID-19の例になりますが、政府の専門家会議の疫学や感染症の専門家の方々の話を伺っていると、それほど難しい話をされているわけではなく、一定の教養があれば十分に理解できるものでしかありません(それでもそれを曲解する「教養人」が見られるのが今回の特徴ともいえます)。

このような状況に鑑みると、実は優秀な研究者等であれば、専門的な内容であってもそれを的確にトップに伝え、適切なリスク判断が可能となるように説明できる能力があるのではないかとも思えてきます。言い換えると、実は、サイバーセキュリティの世界で橋渡し人材が必要であるといわれるのは、まだ黎明期にあるか、成熟した研究者の世界が十分に広まっていない(いないわけではないが、まだまだ少ない)がために、人材不足が嘆かれているように思われます。また、サイバーセキュリティが情報工学等の専門分野の王道というわけではなく、それぞれの理工学の関係するそれぞれの専門分野の学際的領域にあるために、適切な人材輩出ができていないのかもしれません。

そして、学際的領域であれば、各自のよって立つ本来の専門領域において優れた知見が必要となります。しかし、サイバーセキュリティの優れた人たちを並べてみるならば、実は現場からたたき上げてその世界のトップレベルにいる人が多いように思われ、それがトップに伝わらないギーク語による説明へとつながっている気もしなくもありません。

このようなことから、橋渡し人材を適切に養成するには、一つは優れた研究者を多数養成するか、または現場からのたたき上げてきた人たちに専門職的な研究課程での学修を促すかのいずれかが必要なようにも思われます。デジタル・フォレンジックの世界を見ても、すでに今世紀初めには、修士課程及び博士課程の教育プログラムが米国等では存在していました。ここに、問題解決のヒントがあるようにおもう自粛の毎日です。

【著作権は、石井氏に属します】