脅威の数々に対処していくためには

まず、ガバナンスプロセスを整え、事業展開をしている世界各地において、高度な状況認識を可能とする能力をメンテナンスし、セキュリティーの手法全体も再検討した上で、一部の既存手順については変更する必要もあります。さまざまな潜在的脅威に対応するための作戦シナリオを策定すること、これが重要です。サイバーレジリエンス(復元力)の構築と事業継続(BCM)力をメンテナンスしていくのに必要なのは、取締役会レベルでの定期的な議論、包括的な対処計画の立案、そしてサイバーセキュリティー対応演習の頻繁な実施です。

とりわけデジタルトランスフォーメーションの諸施策が進行中の場合には、セキュリティー・バイ・デザイン(設計段階からセキュリティーを組み込む方法)の実現に向けて努力すべきです。新しいプロジェクトについては、全て最初の段階から、セキュリティー対応を打ち合わせの中に入れ込むことです。また、第三者については、自社内で働く方々も、社外でサプライチェーン上の人々も考慮に入れましょう。ビジネスの俊敏性を向上させ、十分な情報を得た上で意思決定できるように、透明性の獲得に向けてまい進しましょう。機密情報が漏えいするリスクに注意を払い、アクセス権設定やセキュリティー機能が効かない可能性も確認し、さらに人事部門とも協力してセキュリティー意識の向上にも努めましょう。

突き詰めていきますと、セキュリティー戦略は、企業のリスク許容度が変わっていく中でも適切なものであり続けなければならず、そして何よりもビジネス目標にしっかりと沿ったものでなければならない、ということになります。

ご一読されていかがでしょうか? 従来から脅威と思われていた「ハッカー集団」だけでなく、新しい技術や地政学的な動きなど、さまざまなものが脅威となって立ち現れてくるという見立てです。そうしてみますと、従来の情報セキュリティーの常識や、守備範囲だけではどうにもならない問題が出現してくることは間違いないようです。ただ、2023年まで待たなくとも、今すでに異次元のことが起き始めているようにも思います。

例えば、最近のサイバーセキュリティー事案で話題となった、DarkSide(ダークサイド)をご存じでしょうか? 米国東海岸のコロニアル・パイプライン社所有の石油パイプラインが、本年5月7日に何の予告もなく停止し、同社だけでなく、さまざまな企業や政府に緊張が走りました。ダークサイドとは、「ランサムウェア」の名前であり、そのサービスを提供するプラットフォームであり、またサイバー犯罪組織の名であるとのことですが、一筋縄ではいかない攻撃だったことは、プラットフォームに仕込まれた四重に設計された脅迫機能の仕組みにもありました(「『ダークサイド』の正体 3つの意味と4重の脅威」日経クロステック誌2021年5月31日参照)。

しかし、各所に大変な緊張感を引き起こした真因は、実は、「だしぬけ」だったことによるのではないでしょうか? 今やサイバー攻撃は、情報セキュリティー責任者にとっても、もっとも「思いもしない」タイミングで行われ、もっとも「嫌な形」で立ち現れる、という認識が必要でしょう。他方、どのくらいの企業でサイバー攻撃がBCPの想定シナリオに入っているかも疑問です。特に、在宅勤務やリモートワークが浸透しつつある「ニューノーマル」の中、リスクの発現する現場も分散しており、中央統制的な体制が多い情報セキュリティーチームだけでは、コミュニケーション一つとってもどうにもならなくなりそうです。いまやビジネスがインターネットを使っている状態ではなく、ビジネスがインターネットの中に住んでいる、という状態とみるべきでしょう。

筆者もかつて、IT-BCPというコンセプトによって、サイバー攻撃に対するITやネットワーク復旧計画を検討した経験があります。オフィスビルに張り巡らされたサーバーやパソコンなどの機器をつなぐ「線」をたどって、物理的な脆弱(ぜいじゃく)性を確認したり、ビル内のサーバー室の温度管理を確認したり、文字通り丹念にたどりました。プランは作りましたが、そこで「3.11」に遭遇しました。その時、プランの紙はメラメラと燃えて灰になりました。コミュニケーション一つままならない中で、誰がどこで何を決定しているのか、何をしたのか、しようとしているのか皆目分からず、まるで砂に頭を突っ込んだダチョウのように不格好でした。本社でもそうでしたが、支社に至っては状況の把握のしようもありませんでした。パソコンやサーバーにピンを打って機器の生き死にが確認できても、人の状況は全く不明でした。機械が生きていてもヒトが使える状態にないと、仕事にならない。情報セキュリティーチームにできることは、とても限られていました。

その後、全社BCP(BCM)訓練にも関わるようになってみて、「想定外」を想定する、ということの重要さを学びました。そうして「想定外を想定する」ことのできる、「想定外の想定外にも対処できる」BCP担当者との連携が必要だと得心しました。企業の経営者は、そういう方々に平時からきちんと報いておくべきでしょう。ある意味では、情報セキュリティーチームは予定調和の思考回路になじんでいます。こうなるハズ、というターゲットのあるシナリオの世界です。他方、BCPチームメンバーは、「だしぬけ」が常態の世界でサバイバルゲームをしている方々です。ですから、両者が連携すれば、とっぴな事態にも備えることができるという道理です。

情報セキュリティーチームが所掌の中でできることを最大限追求するのは、これまで以上に必要であることは間違いありません。Steveの言う通りだと思います。しかしながら、大地震を含めて、想像を絶する事態が起きた時、われわれは、「何をすべきか?」という問いはおろか、「一体全体、何が起きたのか?」と自問するのが精いっぱいでしょう。情報セキュリティーあるいはサイバーセキュリティーという分野で研さんを積んできたわれわれも、BCP担当者の方々と対話を深めてこそ、リジリエンスを現実的に考えられるのかもしれません。

来る7月6日のITリスク勉強会では、そのあたりの話を掘り下げて、関係者の皆さまと議論させていただきたいと思います。

皆さまも、国際的な情報セキュリティーコミュニティーに参加されませんか? ご質問、お問い合わせは、こちらまでお願いいたします(小原:hiro.ohara@securityforum.org)。