揺れ動く社会情勢に比例するかのように世界中で多発するサイバーセキュリティに絡む事件。私たちが図り知ることができない水面下で、一体、何が起こっているのか。企業の経営者は、そしてビジネスパーソンは、どのようにこれらの脅威に対して備えておくべきなのか。デロイト トーマツ リスクサービス株式会社社長の丸山満彦氏に話を伺った。
世界におけるサイバー危機の潮流
――私たちが直面しているサイバー危機の現状についてお聞かせください。
2017年5月12日より確認され、驚異的なスピードで、一気に世界中に被害を拡大させた「WannaCry(ワナクライ)」。この身代金要求型のランサムウェアは、各国の行政機関や大手企業を中心に感染被害を生み、医療機関の重要な機能をストップさせるまでに至りました。
この悪質なウィルスをバラまいた犯人の目的はいかなるものだったのか。行政機関や医療機関をストップさせて、世の中を転覆させようと考えていたのか、あるいは経済的な目的であったのか、詳細な動機というものは実はわかっていないのです。このように明確な理由もなく、しかもターゲットになっていなかったとしても、企業や政府機関の対策が不十分であったために、セキュリティ事故に巻き込まれてしまうというケースが年々増加しています。
たとえ“万全であろう”と、考えられるセキュリティ対策を実施していたとしても、決して安心できるわけではありません。攻撃者側は、それを充分に理解したうえでサイバー攻撃を仕掛けてくるからです。たとえば、高い塀を立てて国境を守ろうとしても、莫大なコストがかかるため、そのすべての地域を充分な高さの塀で囲うことはできず、どこか脆弱な部分が出てきてしまうでしょう。
攻撃者側は外側から塀を眺めて、弱い部分だけを見つけだして攻撃すれば良いのですから、手間もコストも圧倒的に少なくてすみます。今回のランサムウェアの問題も、意外な盲点があり、その隙間から入り込んできたわけです。
丸山 満彦 デロイト トーマツ リスクサービス株式会社代表取締役社長
1992年有限責任監査法人トーマツに入社。1998年より2000年まで米国のDeloitteのデトロイト事務所に勤務。自動車会社グループ他米国企業のシステム監査を実施。帰国後、リスクマネジメント、コンプライアンス、情報セキュリティ、個人保護情報関連のコンサルティングに従事する。2009年よりデロイト トーマツ リスクサービス株式会社の取締役に。2012年3月末まで、内閣官房情報セキュリティセンター情報セキュリティ指導官を拝命。現在は同社代表取締役社長とデロイト トーマツ サイバーセキュリティ先端研究所 所長を兼務する。
完璧な塀が用意できなかったとしても対抗手段はあります。攻撃側がどこを狙ってくるのか、どんな動きを待っているのか。防御側がそれを知って、裏側でしっかり構えていれば良いのです。だからこそ、攻撃者の特性を理解し、それに対応しうる手段を用意するセキュリティ人材の活躍が期待されているのです。私たち、デロイト トーマツ リスクサービスは、このように多発する企業を狙ったサイバー攻撃被害に対応するセキュリティ監視体制の構築を支援しています。攻撃者からクライアントの身を守るミッションを負っているのです。
攻撃者からクライアントを守るためには、情報収集力と分析力が必須となります。ただ、決して映画に出てくるような派手なスパイのような活動をしているわけでなく、オープンソースの情報を活用し、いろいろな状況を踏まえて総合的に分析していきます。もちろん、Googleで検索して誰もが見つけることができる情報だけではなく、デロイト トーマツ グループのスケールメリットを生かし、世界中で発生している脅威の事例を素早く共有しています。
時には競合も含め、世界中のセキュリティの関係者が繋がり、情報を交換するケースもあります。また、弊社には常時セキュリティ監視を実施しているチームもあるので、そこでキャッチしたウィルス検体を分析することもあります。
必要なのは知見と論理的思考
――セキュリティに関して、日本と海外の間に温度差のようなものはありますか。
日本企業は海外企業に比べ、遅れを取っているように感じています。それはテクノロジーの遅れではなく、経営者の危機意識の問題に起因すると感じています。多くの日本人の根底に“水と安全はタダ”という認識があり、セキュリティに限らず、リスクそのものに対する危機意識が、どうしても鈍っているように思います。一方で、ビジネスのグローバル化は進んでおり、ネットワークは世界中のあらゆるポイントと繋がっていますから、そこに大きなギャップが存在しています。
その一方で、用心深い経営者もいらっしゃいます。身近なところで被害が発生したり、情報感度が高い経営者はセキュリティの重要性を理解し、社内に知見を持った専門家を置いています。ですから、そういった企業ほど私たちコンサルタントに対する要求レベルが高いのです。高度な技術を保有しているというだけでは通用せず、その技術をクライアントのビジネスの中に具体的に落とし込んでいく必要があります。
テクノロジーを理解しているだけではダメなのです。むしろ経営者はテクノロジーの話に興味はありません。自社にとって有効なセキュリティの監視体制を構築するという目的を達成するために、具体的に何をしなくてはいけないのか、どのくらいの予算が必要なのかという話を聞きたがるのです。しかも、対応しなくてはならない脅威は常に進化しているということも進んだ経営者は理解しています。現段階でカチッとしたソリューションを提案したところで、「3年後も大丈夫なの?」という話になりますから、そういう将来の変化も見据えた設計を提案しなくてはなりません。
――変化の激しいIT分野において先を読むのは、非常に難しいように思えますが。
先を見越した提案をするためには、セキュリティや技術動向に対する知見と、それをわかりやすく説明する論理的な思考が必要です。過去の事例から、進化の流れと広がりを予測する必要があります。しかも、今回のランサムウェアのような突発的な事件が起こると、また世界的な潮流が変わる。短期的に見直しをかけて、知見をアップデートする必要があります。そして、常にクイックなサイクルで現状を確認しながら対策していかなくてはなりません。
それにはセキュリティの最前線を監視する人や情報を収集する人、情報を取りまとめてインテリジェンスにする人など、様々な役割をもった人材によるチームワークが必要になります。一般的な企業では、そこまで専門色の強い社内チームを設置することは難しいでしょうから、やはり私たちのような外部の専門コンサルタントと組むことが望ましいでしょう。
セキュリティ人材に集まる社会の期待
――“セキュリティ人材”は今後もますます重要性な存在になりそうですね。
この領域はますます発達していくと思うので、セキュリティ人材は重宝されることになるでしょう。その根拠のひとつにIoTの拡大があげられます。自動車や家電、工場のデバイスが次々とネットワークに繋がっていけば攻撃対象も増え、セキュリティのリスクも拡大していきます。最近、ビデオカメラを経由して大型サーバにDOS攻撃が仕掛けられたという事件がありました。もしかしたら自宅の冷蔵庫などの情報家電が何者かに媒介され、金融機関のシステムを攻撃してストップさせてしまう…そんな可能性もあるのです。
このように社会全体へ影響を及ぼす可能性があると指摘されながら、現在、何とかしなくてはならないけれども、どうすればよいのか?と迷っている方が多い。クライアントへのサービス提供を通じて、そういった状況を変えていくことができるのが、セキュリティに従事することの醍醐味だと思っています。
「社会状況を変えていくことは簡単ではない」、インターネット不正アクセス事案の発生やコンピュータウイルスの蔓延など情報セキュリティに関わる問題への危機感の高まりを受け、準備が進められた内閣官房のサイバーセキュリティ―センター設立に関わったときに、そう感じました。しかし、その時に議論したことが基礎となり、以降のセキュリティ基本法の成立や日本企業の意識変革にも影響を及ぼしていったと実感しています。結局、積み重ねていくしかないのだと。
AIの発達が社会に何をもたらすのかも気になりますし、街頭の監視カメラの映像がネットワークを経由し、自動的にオンライン上で共有されていく超監視社会も、もはや技術的にもコスト的にも実現可能なところにまで来ています。国際情勢も緊迫しています。サイバーテロが国際問題を引き起こす可能性も充分にありえます。
そのような時代が到来し、私たちが必要とされるフィールドも、従来のセキュリティ範疇に留まることはありません。弊社は、国際関係や経済、政治など、世界中のあらゆる場所で発生する利害や問題について知見を持ち、それを意識しながら分析を進めなければならないのです。世界のあらゆる潮流をひとつ読み違えると、誰がどこをサイバー攻撃するのかが見えてはきません。
セキュリティ人材が熱望される時代に突入し、このタイミングで業界に身を置くことは大きなキャリア価値になるでしょう。世の中の劇的な変化を体験していくことになると容易に予測できますし、すでにテクノロジーは劇的な進化を遂げていますから。
セキュリティ業界でキャリアを積んでいこうと考えるのならば、ぜひ私たちデロイト トーマツ リスクサービスを、活躍のフィールドとして選んでいただければと思います。
デロイトはグローバルでサイバーセキュリティコンサルティングを展開している、世界でも最大級のビジネスプロフェッショナルファームです。日本のみならず、米国、カナダ、スペイン、ドイツ、イギリス、オランダ、ベルギー、シンガポール、中国等の各国のデロイトと具体的な案件を通じて連携を深めながら、企業のサイバーセキュリティ戦略の立案支援から日々のセキュリティオペレーションの支援まで幅広い業務を行っております。世界のサイバーセキュリティ最前線で活躍できる人材へと成長できる大きなチャンスが待っています。