第656号コラム:宮坂 肇 理事(NTTデータ先端技術株式会社 セキュリティ事業部 サイバーセキュリティインテリジェンスセンター長 プリンシパル)
題:「10年を振り返って、あらためて感じたこと〜セキュリティリスク認識の大切さ~」
10年前の2011年3月11日 14時46分に発生した東日本大震災は、大規模な地震災害であり記憶に刻まれている災害。復興が相当なスピードで進んでいるが、まだまだ数多くの傷跡が残されている。震災に遭われた方々の思いを考えると心が痛む。さらに、今現在も続いている新型コロナのパンデミックも全世界レベルで大きな脅威となっており、1年以上経てもいまだに続き、社会的にも大きな問題となっている。本コラムでも執筆の機会ごとにさまざまな脅威、さらにその時点でのセキュリティ上の問題について取り上げてきた。本コラムでは10年を振り返って、企業等のセキュリティに影響のある脅威についてあらためて整理していくつかを取り上げてみたい。
セキュリティ対策を考える上で、セキュリティリスクを想定し、脅威と脆弱性の関連性で整理することが多い。脅威分類は人的な脅威と自然などの環境からの脅威に大きく分けられる。環境的な脅威では、地震や台風、津波などの自然災害も考慮される。特に、日本では地震やそれに誘引され発生する津波などの脅威も想定することになる。人的な脅威としては、意図的なものと偶発的なものに分けることが多い。昨年日本企業等が被ったランサムウェア、二重恐喝や不正アクセスなどはサイバー攻撃として人的で意図的な脅威として分類される。
さて、かなりかなり古い話であるが、20年ほど前にヨーロッパのセキュリティ専門家と話したときの会話を簡単に紹介したい。当時は、日本の企業等も情報セキュリティについてはまだ初期の取り組みしか始めていなかった頃かと思う。その議論の一端は、事業継続についてで、システムのバックアップの方法についてであった。当時はシステムバックアップなど、システムに付随するバックアップ装置にメディアを定期的に保管し、定期的にバックアップメディアを交換し同場所におかれた鍵付き保管庫に格納する、という当時はごく当たり前の方法をとるのが一般的である、という話題の下りであった。ヨーロッパで地震の少ない国の彼らから発せられたのは、「地震や津波、火山等が多い日本において、バックアップメディアを同一場所に置くのは事業継続上ありえない。セキュリティの要求事項としての事業継続を考慮していない。自然災害もセキュリティリスクとしてとらえ、その脅威に対しての対策をしなければならい。」とのことであった。方法論としては理解していても実践までともなっていなかったのは事実であるが、そこまでも考慮するのか、と考えさせられた。ディザスタリカバリの重要性が日本でも重要視され、その後、多くの企業等でも取り入れられている。ディザスタリカバリがあらためて認識されたのは10年前の東日本大震災である。震災でも、地震や津波等により多くの情報システムや基幹系システムが被害に遭い、バックアップも失われ、システムの復旧ができない、もしくは、多大な時間を要したことが起こっている。事業継続もしかりであるが、システムの保有者、利用者の生活を継続するためにはリスクを正しく認識して対策を行うことの必要性を考えさせられた。
昨年2020年は全世界で新型コロナ(COVIT-19)のパンデミックが発生し、感染拡大を防止するために緊急事態宣言が発せられ、国民の生活も一変した。ちょうど一年前は、新型コロナの状況もあまり掴めていない中ではあったので、企業等や学校でも在宅勤務や在宅学習などを行い、その後、時差通勤・通学なども行いつつ、なるべく人が密集しないように在宅も取り入れながら業務や学習の継続ができるような”工夫”が始まった。企業等ではリモートワーク、オンライン会議などを取り入れるべく人と人との密集を避けるような取り組みを行うところが増えている。このように日本でもデジタル化が急速に進みニューノーマルな働き方へのシフトがされているのが現状であろう。
一方、昨年発生したサイバー攻撃による事件も数多く発生し、それらによるセキュリティ事故も、ランサムウェアなどのマルウェア感染、不正アセスによる個人情報やクレジットカード情報の窃取、さらに、二重恐喝など企業等においては深刻な状況になっている。これらの背景には、リモートワークなどのデジタル化が急速に進んだことも一つあると考えられる。リモートワーク環境など企業等の管理監視が比較的弱いところを突き、そこを侵入経路として入り込むというような事例も多くみられている。ニューノーマル時代として企業等はデジタル化を積極的に取り入れ事業継続とさらに生産活動を活発に行うためには、セキュリティリスクも適切にとらえながら対策を施すことが急務となっている。
不測の事象を想定しつつ、環境の変化を適切に把握し、通常想定される事象以上のことについても考慮し、自身のセキュリティリスクを適切に認識しサイバーセキュリティを向上させ、さらに、適切なタイミングでアセスメントし、改善につなげるような取り組みを継続的に行うことが重要である。東日本大震災から10年となり、今後も安全・安心なデジタル社会であって欲しいと、あらためて考えさせられた。
【著作権は、宮坂氏に属します】
