リモート環境での業務遂行には本人確認が重要

――企業が今、セキュリティを高めていく上で重要なことは何でしょうか。

河野 省二(かわの しょうじ)
日本マイクロソフト 技術統括室
チーフセキュリティオフィサー

1998年より、セキュリティガバナンスコンサルタントとして企業の経営層向けのアドバイザリを行いつつ、数多くの政府向けセキュリティガイドラインを策定する。2017年12月より現職。情報セキュリティのISOを策定するJTC1 SC27およびSC40委員会、FISC安全対策委員、FISC安全対策監査委員など標準策定委員活動を継続。(ISC)2としてグローバルなセキュリティ資格CISSPの国内主席講師として人材育成等も行っている。

河野 一つは、先ほども課題として挙げましたが、リモート環境で業務を継続して行うことが求められている状況の中で、オンライン上で本人かどうか確認するためのシステムの構築です。最近は「なりすまし攻撃」がとても多く、やりとりしている相手が本人かどうか、また送られてきたメールやドキュメントが本物かどうかを確認する術が確立されていないことが大きな課題となっています。

 じつは今、マイクロソフトのID管理システムと、グーグル、セールスフォースのID管理システムは連携していて、お互いの信頼性が確保できるようになっています。この3社で米国のビジネスパーソンのおよそ9割の本人確認をカバーすることができるという調査結果もあると聞いています。本人確認といっても、企業単位ですので、その企業が正しく管理しているかということも必要ですが、これによって本人やデータの信頼性や安全性を保つことができ、生産性も向上します。

 もう一つは、「サイバー衛生(Cyber Hygiene)」を仕組みとして備えることです。サイバー衛生とは、手洗いやうがいなどで病気の予防に努める一般の衛生管理と同じように、企業のIT環境を健全に保つための取り組みです。例えば、従業員はOSやソフトウェアのアップデートなど、ITオペレーション部門では脆弱性の把握や、不正なイベントへの対応など、セキュリティのための状態の把握を日常化する活動を指します。

 経営者は、この活動を啓発し、日々の業務の中に予防のためにそれぞれができることを浸透させることが大切です。同時に、IT環境の健全性を測定し、確認できる仕組みを企業のリスク管理に取り入れることも必要でしょう。

エコシステムのセキュリティは
協同作業でしか守れない

大野 なりすまし攻撃への対策やサイバー衛生管理は、私も非常に重要だと思っています。加えて、自社だけでなく、パートナー企業、サプライチェーンを含めたビジネスエコシステム全体の「サイバーセキュリティエコシステム」の構築も必要です。

 これまでは、セキュリティは自社でしっかり対策し、他社とも情報交換を行いましょうという発想でした。しかし、今は自社と他社の境界がクラウドやBPO(業務プロセスアウトソーシング)によって曖昧になったことを受け、他社との協同作業でしか守れないと考えるべきです。異業種企業とのコラボレーションも増えており、企業をまたがって連携するシステムを運用している場合も多く、自社だけの管理では安全とはいえません。自社のセキュリティレベルがいくら高くても、協働する企業にリスクがあれば、そこからウイルス感染や情報漏えいが発生するかもしれないからです。

河野 そうですね。今は攻撃者に対し、すべての企業が一丸となってサイバー空間やITシステムの安全性を維持するように変わってきています。サイバー犯罪の世界は分業が進んでおり、情報を搾取する人と、その情報を使う人(買い取った情報でお金を得ようとする人)は別であることが多いのですが、とくに情報を搾取するノウハウが一般化したことで攻撃が低価格化し、それに伴って攻撃量が増え続けています。一方で、攻撃のコストが安くなっているのにもかかわらず、攻撃単位で対策をしようとするために、セキュリティのコストはどんどん高くなっている。このギャップを埋めるためにも、セキュリティエコシステムによるコストの分散が望ましいといえます。

大野 コスト削減という点では「セキュリティ・バイ・デザイン」も有効です。これまでのセキュリティは、現状のリスクを分析して対応策を取るという後追いの形でした。しかし、今は企画や設計の段階でセキュリティを確保するセキュリティ・バイ・デザインが主流となっています。後追いで対応するよりも、コストを安く抑えることができるからです。社内のみで設計時のチェックができない場合は、アウトソーシングも有効な選択肢の一つです。