情報通信研究機構 園田氏に聞く情報セキュリティBCP(1)

「サイバーリスクから経営を守る『セキュリティBCP』」

2021.03.19

“ニューノーマル時代”の企業BCP

  • コンテンツ本部 ソリューション1部 平野 優介

近年、企業成長のカギとして注目される「デジタルトランスフォーメーション(DX)」。新型コロナ禍も背景にリモートワークなどがその1つの形として広がりつつあります。テクノロジーを応用した多様な働き方や新たな価値創出が実現し始める「ニューノーマル時代」の中で情報通信のリスクも高まっています。これらの最小化に向けて注目されるのが「セキュリティBCP」です。本稿では、3回にわたりセキュリティBCPが求められる背景やその捉え方、インシデント例などを、国立研究開発法人情報通信研究機構(NICT)の園田道夫氏にお話を伺いました。

多様化・複雑化するサイバー攻撃の脅威

新型コロナウイルス感染症拡大への対応として多くの企業でテレワークや在宅勤務が導入されました。コロナ禍以前と以後ではセキュリティ環境はどのように変化したのでしょうか。

「ニューノーマル」と呼ばれる時代背景の中でテレワークや在宅勤務は多くの企業に注目されました。また近年は、デジタルトランスフォーメーション(DX)による新たな価値創出の実現が企業成長のカギとなっています。

こうした中でネットワークやシステムなどのITインフラは、ビジネス継続に必要な存在として重要性が高まっています。当然、これらへのサイバー攻撃などのセキュリティリスクや障害が起こった際の影響が大きくなります。この文脈の中で「セキュリティBCP」に注目が集まっています。

通常のBCPとセキュリティBCPの大きな違いとはどのような点でしょうか。

日本の場合、BCPは「地震や風水害などの自然災害から企業活動を守り、重要な業務を継続するための備え」という文脈で注目されるようになりました。この意味で、セキュリティBCPと、通常のBCPには大きな違いが2つあります。

自然災害の場合、「ハードなどの迅速な復旧・復興」が事業継続にとって重要な視点です。一方、サイバー攻撃に代表されるセキュリティインシデントの場合、「事象の原因究明」が重要なポイントです。これが1つ目の大きな違いです。復旧後にぜい弱性などが残ったままでは、同じリスクを被るためです。

2つ目の違いは、ITリスクは「予防が可能」という点です。自然災害は予測も難しいため、発生後にいかに迅速に対処するかがポイントになります。ITリスクは、事前の工夫や対策によってリスク低減がある程度できる。その点が通常のBCP対策との違いです。その他、ひとたび情報漏えいなどのインシデントが発生すると、個人情報を預かる企業・組織であれば、被害者である個人ユーザーへの説明責任を果たしながら問題解決を図る多層的な対応が求められます。こうした点もセキュリティBCPの特徴です。

テレワークや在宅勤務環境の広がりの中で発生したセキュリティ事例や、近年の攻撃手法の変化をお聞かせください。

テレワークを支える大きなポイントは、遠隔地から企業ネットワークに入る仕組みとして「VPN(バーチャルプライベートネットワーク)装置」などが重要になっています。逆に言えば、攻撃者がそこを狙うようになってきています。

例えば、2020年5月頃の大手電機メーカーへのサイバー攻撃では、このVPN装置を狙われたとの指摘もあります。攻撃者側は企業環境の変化を俊敏に読み取り、攻撃を仕掛けるべきポイントを非常によく分析しています。その上で弱い部分を的確・巧妙に狙います。

こうした背景を理解してネットワークに関する部分を安全に機能するように考える必要があります。「どこが攻撃を受けたのか」「その攻撃がITインフラを使用不能にするような攻撃なのか」「本当にハッキングされたのか」などによっても初動対応や復旧に向けた取り組みは変わります。

その他にも、大手ECモールを展開する企業の大規模顧客流出が記憶に新しいところです。これはクラウド型の顧客管理システムの設定に誤りがあったために起こったとされています。多くの企業ではクラウドサービスの利用が当たり前になっています。しかし、これらは「リスクを把握しにくい」状況を生み出しているとも言えます。サーバーなどを自社所有して運用・管理すればインシデント発生時のログ調査や解析など原因特定行為に自由度がありますが、クラウドサービスを利用する上ではサービスベンダーに任せざるを得ない部分が増えます。専門的なセキュリティに関する知識を借りられるメリットはありますが、必ずしも期待通りに対応してくれるわけではないため、なかなか難しいところです。

国立大学がスパム配信の踏み台になった例もあります。これはメールアドレスのパスワードが外部漏えいしたことが発端です。学外のウェブサービスを利用する際に学内サービスと同じメールアドレスとパスワードを使っていた学生がいたらしいのです。この学外サービスが不正アクセスされたことでメールアドレスとパスワードが漏えいし、大学のサーバーが攻撃されました。現在ではこうしたパスワードの使いまわしに起因する事例も目立ってきました。

セキュリティ網の虚を突く「ウィーケストリンク」

近年での特徴的な事例としては、大手エネルギー関連企業が取引先のシステム会社を経由して侵入された不正アクセスの事例があります。企業のサプライチェーンに起因するもので、他社はもちろん海外現地法人や海外拠点、連携先、取引先企業から侵入されるケースが増加しています。

これはセキュリティ分野では「ウィーケストリンク(Weakest Link)」と表現されます。サプライチェーンなど、同じセキュリティグループを構成する存在の中で「もっとも弱い部分」という意味です。部分的にどれだけ強固なセキュリティを施していても、全体では「対策の最も弱い部分が全体のセキュリティレベルになる」ということです。チームスポーツでオールスターのような強いメンバーを集めても、その中の一人が弱いメンバーだったらそこを攻められて負けてしまうのと同じです。

特にやっかいな点は、ウィーケストリンクへの攻撃は「警戒心が働きにくい」ことにあります。組織が外部からの攻撃を警戒していても、連携・提携している企業に関しては警戒が手薄になる。また、グループ企業であっても予算や人員都合で同じレベルで警戒ができなかったりもします。攻撃者はこうした事情もよく知っていますし、狙い目だと考えています。最近では大手自動車メーカーが海外拠点経由で攻撃を受けた事例が印象的です。

こうした一連の動きはコロナ禍以前から続いているのでしょうか。

はい。しかし、特筆すべきはコロナ禍への対応として在宅勤務やテレワークが増える中で企業・組織内のネットワークと家庭のネットワークの接点が増えている点です。家庭のネットワークやそこにつながる多様な機器は、企業・組織内のネットワークと同じ警戒心や保護レベルを必ずしも担保できません。

こうしたネットワーク同士が相乗りするわけですから、悪意ある者にとっては「攻撃が容易なウィーケストリンクが拡大している」とも取れます。その意味でも、セキュリティインシデントが発生した際のビジネスインパクトを踏まえ、いかに的確に対処できるかを重要視したセキュリティBCPを策定し、経営に実装するかが重要となっています。

連載:情報通信研究機構 園田氏に聞く情報セキュリティBCP

園田 道夫氏

国立研究開発法人情報通信研究機構(NICT)
ナショナルサイバートレーニングセンター長
園田 道夫(そのだ・みちお)氏

中央大学大学院工学博士課程修了。博士(工学)。2003年よりNPO日本ネットワークセキュリティ協会(JNSA)非常勤研究員、2004年より独立行政法人情報処理推進機構(IPA)非常勤研究員、経済産業省、IPA主催セキュリティ・キャンプ実行委員・講師等として携わる。2007年4月より、サイバー大学IT総合学部准教授、2007年より白浜サイバー犯罪シンポジウム危機管理コンテスト審査委員、2012年よりSECCON実行委員(事務局長)、2014年4月サイバー大学IT総合学部教授(2017年退官)、2016年 国立研究開発法人情報通信研究機構セキュリティ人材育成研究センター長等を経て、2017年同機構ナショナルサイバートレーニングセンター長として、現在に至る。

※役職は記事公開時点のものです。

コンテンツ本部ソリューション1部
平野 優介(ひらの・ゆうすけ)

記者・編集者・防災士。中央省庁関連書籍の担当を経て、2011年3月より地方行政の総合誌「ガバナンス」の記者・編集者を担当。(公財)後藤・安田記念東京都市研究所の「東日本大震災に関する資料リスト」には、自ら企画した特集およびインタビュー記事が所蔵される。その後、税務分野の月刊「税理」副編集長に就任。2017年9月、日経BPコンサルティング入社。日本ユニシス「Club Unisys」など各種Webメディア編集、周年事業センターのコンサルタントを経験。現職に至る。