【雑記】サイバーセキュリティが「IT部門の課題」ではない3つの理由

ニキヌス

先日、とあるご縁で講演をさせて頂きました。
私の所属組織のポリシー上、資料そのものは公開できませんが、話した内容を書き留めておきます。
普段、IT部門やセキュリティ担当が深く考えることが意外と少ないテーマだと思うので、何かの参考になれば。

講演の周辺情報

講演した会は名称非公開ですが、国内の各業種の最大手クラス企業の経営層(つまり非ITの方々)10数名向けのクローズドな会です。
こうした大企業のエラい方々でさえ、サイバーセキュリティはよくわからん・IT部門に任せればいいという認識らしく、私に与えられたテーマは「サイバーセキュリティはもはや『IT部門の課題』ではないことを伝えてほしい」というものでした。

JTCのIT部門の一マネージャの私が、そんな方々に何を伝えればよいのか。
そもそも私自身がセキュリティ=ITの課題だと思っていた中で、どう向き合うのか。
モヤモヤと考え始めたのが半年前の3月頃。このnoteを始めた頃です。
そして、結果的にはnoteにまとめながら読んできたガイドライン類の知識が非常に役立ちました。

以下、講演の内容を章立て通りに書きます。
数か月かけて全46スライドを作り50分ほど話しましたが、主要なところだけ文字におこすとアッサリした感じになってしまいました。

1.サイバーセキュリティとは

非IT部門の経営層中心ですので、こうした定義部分から説明しました。
ただ、このnoteで改めて書くことではないので多くを割愛します。

強いて言えば、

  • サイバーセキュリティ2023でも、国家として、日本の経営層のサイバーセキュリティに対する課題認識の低さやIT部門任せとしている姿勢を課題視していること

  • そこに至った背景として、日本の社会においてサイバーセキュリティが注目されたのはここ10年程度と歴史が浅いこと

  • また、ここ10年で注目された理由、つまり攻撃が活発化した理由として
    ①2010年代のクラウド活用・20年代のテレワーク流行により、組織にとっては情報資産を守りにくく、攻撃者にとっては狙いやすくなったこと
    ②暗号通貨の登場により攻撃者がマネタイズしやすくなったこと

あたりを簡単に触れました。

2.IT部門の課題ではない3つの理由

(1)「新たなIT技術」の使い手がIT部門からビジネスサイドへ

これまでは、ビジネスサイドが何かを作りたい場合、システム化計画を通してIT部門に任せることが通常でした(特に大企業では)。
ところが、最近はノーコードツールや生成AIを駆使することで、簡易なプログラムやWebページ程度ならビジネスサイド自身が作れるようになりました。
こうした技術は便利である反面、その仕組みをブラックボックス化して使いやすくしているために、技術の活用に伴うリスクが見えにくくなっている懸念があります。
ビジネスのスピードを犠牲にせずにこれらの技術をうまく活用するには、組織全体がITやセキュリティのリテラシーを高める必要があります。
その取り組み方として、経産省などが最近主張しているプラス・セキュリティ人材」の育成が挙げられます。
また、最近は三井住友信託銀行やニトリにみられるように、会社全体としてITパスポート取得を目指すといった、従業員全体のITリテラシーの向上を図る企業が出つつあるように感じます。

(2)IT技術だけでは防ぎきれない攻撃手法

ここ数年で流行しているemotetに代表されるように、人間の心の油断を狙うウイルスが跋扈しています。
その多くはメールフィルタやアンチウイルスソフトなどのITの技術で遮断しますが、それでもすり抜けてしまうことがあります。
そうなった時に、例えばemotetとは何なのか、どんな手法で受信者を惑わしてウイルスに感染させるのか、といった攻撃手法を従業員が知っておく・普段から訓練しておくことで被害を最小限にとどめることができます。
「人間は最大の脆弱性」と言われますが、同時に「最後の砦」にもなりえることを忘れずに育てる必要があります。

(3)セキュリティ事件発生後のポイントはシステム復旧だけではなく、「公表」や「事業継続」

よくあるセキュリティインシデントの対応フローは、初動→詳細調査を行った後、つまり最後のほうに公表や復旧が予定されています。
これはIT目線では普通の話ですが、ビジネス目線ではありません
「いつ公表できるのか」「システム復旧まで事業は止められるのか」ということは別途考える必要があります。

公表について考えるきっかけとなったのが2019年の三菱電機の情報漏洩疑義事案です。
同社は19年7月に事案を把握していながら、世間に公表したのが20年1月(経産省への報告もほぼ同時期)と、半年も空いてしまいました。
もちろんこの間、同社は何か月もかけて詳細な原因や影響調査を行っていたわけですが、結果的に世間から「だんまりである」と批判をあび、経産相からも苦言を呈される事態となってしまいました。
これを機に「サイバー攻撃被害に係る情報の共有・公表ガイダンス」が作られ、各企業が公表までのスピードを意識するようになったわけですが、公表はIT部門だけで出来るものではなく、広報など他部門との連携が必要不可欠です。どのような基準で、どのような情報をいつまでに誰に出すのか、事前に決めて連携の備えをしておく必要があります。

事業継続については、2022年のトヨタ自動車の協力会社におけるランサムウェア感染事案が挙げられます。
22年2月26日の21時過ぎに協力会社にてインシデントを把握、2月28日にはトヨタ自動車本体が3月1日の国内全工場停止を発表しています。
この時点で公表がかなりスピーディなのですが、驚くべきは3月2日には工場が稼働再開していることです。
ITシステムが1日で復旧したわけではありません。復旧は3月22日までかかったそうです。そんな中で、たった1営業日で事業再開にこぎ着けたことは注目すべきことです。
この理由は後述しますが、やはりIT部門がシステム復旧を頑張るだけでなく、ビジネスサイドが事業継続にむけて準備をする「両輪の備え」が重要と言えます。

3.どう取り組むか

ここまでで組織全体としてサイバーセキュリティに取り組む必要性が伝わったとして、では具体的に何をすれば?という話です。
その一番の答えはサイバーセキュリティ経営ガイドラインにあると思います。
同ガイドラインにあげられている重要10項目は、いずれもシンプルながら組織として・経営のリードなくしては成り立たない要素が詰まっています。
講演当日はこの重要10項目からいくつかピックアップして掘り下げましたが、ここでは2つだけ書きます。

(1)緊急対応体制の整備とは

サイバー攻撃に備えるための訓練をしているかと問われると、恐らく多くの企業がYESと答えます。
従業員に対する不審メール訓練や、IT部門によるシステムの切り離しの訓練など、何かしらはやっているからです。
しかし、実際にコトが起きるとうまく対処できません。なぜでしょうか。
理由は、一口に訓練といっても組織全体で見ると様々なレイヤ向け・テーマ向けに複数取り組む必要があり、その全体像を考えないままに「訓練した」ことで安心しているためではないでしょうか。
私が知っている訓練の一例を以下に挙げますが、こうしたことまで取り組めている企業はごくわずかかと思われます。

  • 経営層向け 記者会見訓練
    新聞社やマスコミOBを集めて実際の記者会見さながらの質疑をしまくってもらう。結構辛辣なフィードバックを得られる

  • IT部門と他部門の連携訓練
    インシデントが起きた後に警察に届けるのは誰か、公表は誰がどのように行うか、監督省庁への報告は、お客様保護の観点は、と組織内のあらゆる部門と横連携するための訓練

(2)事業継続・復旧体制の整備とは

2(3)で挙げたトヨタ自動車がランサムウェア感染しながら1営業日で工場の稼働再開をしたカラクリの話です。
そもそもトヨタ自動車は国内の生産管理を「かんばん」という仕組みで実現しており、それをITシステム化したものがランサムウェアの影響で使えなくなったために工場停止に至りました。
よって、稼働再開の仕組みはシンプルながら「紙のかんばん」に一時的に戻すというものだったそうです。
(詳細はこちら:https://toyotatimes.jp/newscast/008.html

言ってしまえば簡単な話に聞こえますが、ITシステム化するということはその作業の目的や細かい流れが見えなくなるということです。
それを何年も経った後にいきなり手作業でできるでしょうか。
ここから考えられる教訓は、動画内でも触れられてますが、ITシステムが使えないことを想定したレガシーな手順を用意し、訓練しておくことだと思います。
特に組織にとってミッションクリティカルであり、一時も止められない業務に絞ってこうした備えをしておくと効果的かと思います。

その他、「さいごに」的な締めの部分はここでは割愛します。

***はじめての方へ***
これは何のnoteだ?と思われた方はこちらをご覧ください。
これまでにまとめたガイドライン類の一覧はこちら

この記事が気に入ったらサポートをしてみませんか?