ウイルス感染は「失点」ではない

川口 洋（かわぐち・ひろし）氏
ラック サイバー・グリッド研究所長兼チーフエバンジェリスト。2002年ラック入社。社内インフラシステムの維持、運用に従事。サーバーのセキュリティー検査業務なども行い、経験を積む。その後、セキュリティーアナリストとして、監視サービスに従事し、日々インシデントに対応した。2013年4月から内閣官房 内閣サイバーセキュリティーセンター(NISC)にて、行政機関のセキュリティーレベル対策支援、セキュリティーインシデントの対応、一般国民向け普及啓発活動を行った（2016年3月末まで）。現在はサイバー・グリッド研究所所長として、ラック社内における研究開発、サイバーセキュリティーに関する情報集約、情報発信を担当する。

昨年は日本年金機構から100万件以上の個人情報が漏洩し、今年6月にはJTBが約700万人分の情報が流出した可能性があると発表しました。サイバー攻撃がもたらす被害が年を追うごとに大規模化し、話題になる頻度も増えてきました。

川口：ようやく、世間の関心が追い付いてきたなと感じています。サイバー空間で悪事を働く輩は昔からいて、当社のようなセキュリティー企業は警告し続けてきましたが、専門家にしか伝わりませんでした。

　潮目が変わるきっかけは年金機構の問題でした。メディアが注目するようになったことで、多くの人が脅威を身近に感じるようになりました。被害に遭った企業もその事実を隠し続けるのではなく、公表しようという意識が高まってきたと思います。

　政府の意識も大きく変わりました。安倍晋三政権はサイバーセキュリティーを「国家安全保障」問題と捉え、民間に任せっきりにしておけないという意識を強めています。国会でもサイバー攻撃問題が盛んに取り上げられ、これまで無縁だったような議員が勉強するようになりました。

　焦点となっているのが2020年の東京オリンピック・パラリンピックです。サイバー攻撃の格好の標的になることが予想されていますが、電力や交通などでは民間のシステムを活用せざるを得ない。官公庁だけでサイバーセキュリティーを考えていても限界があるのです。

　こうした流れを受け、経済産業省は2015年末に「サイバーセキュリティ経営ガイドライン」を策定しました。企業の経営者が責任をもってサイバーセキュリティーに取り組むよう、政府が強いメッセージを発したと考えるべきでしょう。

ガイドラインには、経営者が認識する必要がある「3原則」と責任者に指示すべき「重要10項目」が明記されています。

川口：サイバーセキュリティー対策で何をやればいいのかを示したことが、今回のガイドラインの意義です。部下に丸投げせず「リーダーシップ」を持ち、委託企業などの「パートナー」も管理したうえで、平時から関係者と「コミュニケーション」を深めておく。この3つの原則が経営者に求められています。

　ガイドラインは法律ではないので、違反しても罰則はありません。そのため、軽視している企業も多いでしょう。しかし今後、仮に情報漏洩があったとしたらガイドラインを順守していたかが必ず問われます。ガイドラインを無視した状態で事故が起きたらどうなるか、想像しておくべきでしょう。

「ゴールキーパー」と「監督」は違う

経営者は具体的に何をすべきなのでしょうか。

川口：最優先すべきはリソースの配分です。サッカーに例えて考えてみましょう。

　企業ではこれまで、情報システム部門がサイバーセキュリティーを担っていました。ゴールキーパーのように「0点」に抑えるのが当たり前で、もし失点すると評価が下げられてしまう。情報システムという評価軸しか持っていないと、点を取られたくない一心で、とにかく守りを固めようとします。

　しかし監督の視点は違います。仮に1点失っても、2点奪って勝利すれば評価が高まるからです。ささいなミスがあったとしても他のところで取り返し、結果的に会社を成長に導ければよいのです。選手の調子や相手の出方を見極めて優先順位を決めるのが監督、つまり経営者の役割です。

サイバーセキュリティーでは、一度の「失点」が命取りになる気がします。

川口：何が「失点」なのかを定義するのも経営者の仕事です。

　不審なメールを開いてウイルスに感染しても、社外に情報が漏れなければ問題はないはずです。情報が漏洩したとしても、その件数によって対応は異なります。1万件が漏洩したら社会的に大きな影響がありますが、数件程度にとどまったのなら、役員が菓子折を持参して謝罪すれば収まるかもしれません。

　どこまでならミスを許容できるのか。何が起きたら、経営リスクに直結するのか。判断できるのは経営者だけです。

問題は情報漏洩だけではありません。発電所のような重要インフラや、工場の生産ラインや自動車などの物体がサイバー攻撃の標的になりつつあります。

川口：韓国では銀行のATMが、ドイツでは製鉄所の溶鉱炉が攻撃されて停止しました。今では工場の生産システムなど、様々な「制御システム」がインターネット経由で情報をやり取りしています。医療機器を動かすシステムが狙われたら、人間の生死にかかわります。

　ところが多くの制御システム担当者はリスクに気付けていません。これまでインターネットと隔絶した環境で仕事をしてきたからです。インターネットにつながったことで、工場の現場で機械を動かすオペレーターもサイバー攻撃とは無縁でいられなくなりました。そこに気付かせるのも、経営者の役目です。

録画機能を備えたマルウエアも

盗んだ個人情報は様々な手法で換金できます。一方、サイバー攻撃で工場のシステムを止めても、攻撃者は金銭的なメリットを得られません。

川口：本当にそうでしょうか。

　例えば工場に複数の生産ラインがある場合。一つのラインをサイバー攻撃で停止させたうえで、「次のラインを止められたくなかったら身代金を支払え」と要求することは想像できます。操業停止で株価が下落すれば、株式市場で利益を得られるかもしれない。

　こういう話をすると、「うちの工場は特殊なシステムを使っているから、外部の人間には分からない」と反論する人がいます。こうした考えも危険です。悪意ある攻撃者の「学習能力」を甘く見ない方が良いでしょう。

　最近のマルウエア（悪意のあるソフトウエアの総称）は非常に巧妙になっています。機器の通信ログを取得するのは当たり前で、動画の録画機能を備えたものも登場しています。工場内のパソコンが感染したら、知らないうちに画面のスクリーンショットを取られている可能性もあります。これらの情報を分析することで、攻撃者は工場の奥深くまで入り込んでいきます。

　欧州ではかつて、ある麻薬密売組織が港湾のシステムをハッキングしていました。積荷を管理するシステムを乗っ取れば、犯罪が露見するリスクが低くなります。攻撃しようと思ったら、みんな必死で勉強するのです。

　情報システム担当者のみで、こうした脅威に対応するのは困難です。工場や制御システムの担当者にセキュリティーを意識させるには、経営者がリーダーシップを取るしかありません。優先順位を決めて適切な指示を下すのも、監督の重要な仕事です。