日本企業におけるサイバー・レジリエンスについて

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る

最近、サイバー・レジリエンスという言葉が新しいトレンドキーワード、もしくはセールストークとして活用されるようになってきました。
昨年末に、欧州サイバーレジリエンス法案が公表されたことも一因かもしれません。
欧州では悪意ある者にデジタル機器を勝手に利用させないを念頭に置いた法案ですが、その適用範囲が広く、また罰金も高額であるため大変話題になっています。

PCやルーター機器などはもちろんのこと、SIP電話機、NAS、複合プリンターなどネットワーク接続されるは勿論のこと、大半のデジタル機器に対し、サイバーセキュリティを担保することを義務付け、脆弱性が発見された際には製造者責任としていち早く対処することが義務化されます。

要件に違反した場合には、罰金として1,500万ユーロまたは、全世界での該当製品年間売上高の2.5%のいずれか高い方と非常に厳しいもので、この法案のままEUで成立すれば、デジタル機器を大量に販売する事業者でなければ、デジタル機器をEUで販売することは困難になるかもしれません。販売後のサポートコストが大きく膨らむことが予想されるからです。そしてそれは、製品価格に転嫁されることとなるでしょう。

サイバー・レジリエンスと、IFRS制度が日本の情報通信産業に変革を与える可能性

企業におけるサイバー・レジリエンスについては、ソリューションベンダーによって販売したい主力商品によって解釈が多種多様なバリエーションがあるものの、概ね「社内業務システムになんらかの問題が発生した際に、業務が継続できるようBCPを準備しておく」という概念です。

地震や豪雨による浸水被害など、大規模な自然災害へ定期的に襲われる我が国、日本においてはBCPとサイバー攻撃への備えと併せて、非常に重要なことです。昨今の世界情勢から、今後は局地的なEMP攻撃による電子機器の不良にも念頭に置いて備えておく必要があります。

システムを二重に持ち、それらを繋ぐ装置も必要ということで投資額が膨大になる提案を比較的良くみかけます。いまだに機器販売で売上をたてようとしているのでしょうか。

機器販売の商機と考えている日本のソリューションベンダー。そしてどのような仕組みが最適なのか提案を受ければ受ける最適解が判らなくなっている顧客企業。サイバー・レジリエンス対策に、仮想化に適したサーバ機器、クラウド同期が可能なストレージ、マイクロセグメンテーションが可能な通信装置など既設設備のリース期間が終了していないのに追加購入の稟議は下りるのでしょうか。欧米企業は、二重の設備投資を行っているのでしょうか。その答えはNOです。

先週、日本での株式公開企業における会計基準において、ファイナンスリースおよびオペレーティングリースの仕組みがIFRSと同一するという方向性が示されました。これにより欧米の投資家が日本企業のBS/PLを正しく理解できるようになり、投資をより日本に呼び込むことができるようになります。

日本は、設備投資をリースで導入し、毎年リース計上分を経費としてきましたが、今後IFRS基準となることで、リース契約時に支払総額を一気に経費として処理する必要がでてきます。このため、リース市場は資金繰りの観点以外では、事実上壊れることとなります。欧米では、IFRS基準が採用されたため、いち早くレンタルへのシフトが起きました。特にレイオフや大量採用によって従業員数が劇的に変化するアメリカにおいては、従業員に貸与するパソコン、スマートフォン、オフィス電話機はもちろん、社内のLAN配線、HUB、ルーターやファイアウォール装置に至るまで、すべて従業員あたりの月額レンタルで調達します。レンタルであるため支払総額は確定しておらず、IFRS会計基準においても、毎年経費がそのまま処理できるという仕組みです。

インドIT大手は、アメリカ企業からこうした従業員向けのパソコンやMicrosoft Office等はもちろん、個々の従業員に必要な業務ソフトウェアをキッティングし、新規雇用者に貸与する作業まで一貫して請け負っています。

部署毎に従業員へどの業務システムへアクセスを許可し、情報取得権限のレベルに至るまでシステム的に設定され、社内からのアクセスであれば通信回線速度のSLA、端末の操作ログなどを第三者としてしっかり保存します。情報アクセス設計の基本運用ルールはデフォルト拒否です。情報セキュリティ基準、設備選定などもお任せです。IT資産運用はKaseyaやBigFixなどのプットフォームを利用し、自動運用されています。レイオフ時には、パソコン内の情報を遠隔ワイプすると同時に、全アクセス権限を即座にはく奪します。人事システムと連携し、人が介在することなく全自動です。

日本では自社ビルのオフバランスが流行しましたが、IFRSによりアメリカでは、情報通信部門のオフバランスが進行しました。アメリカでランサムウェア被害にあっている企業の多くは、このようなアウトソーシング化が進行していない、また進めることが難しい業種に限られているように思われます。

日本もIFRS会計基準の導入により、情報通信部門のオフバランスが急速に進行することが予想され、ソリューション・ベンダーは機器販売を前提としたビジネスモデルでは、ロス・ペローが創業したEDS社のように規模を縮小していく事になるでしょう。

ソリューション・ベンダーに言われるがままに膨大な数のセキュリティソリューションによってパソコン内のメモリ領域が圧迫され、出勤時に電源をいれてから利用可能となるまで数分必要となるような有様です。動作が遅いため、業務の作業効率が悪化してしまってストレスを感じるのが日常ではないでしょうか。そしてセキュリティが強化されていると謳われているのにも関わらず、電子メールの添付ファイルを怯えながら開いて業務を行う日々ではないでしょうか。

このような仕組みは、「昔はそんなだったね」という笑い話にしませんか。多くの設備投資をしながら、セキュリティと利便性、レジリエンス対策もできていない仕組みで業務を行っているのは日本だけです。G7で労働生産性が低い理由のひとつでもあることでしょう。

犯人を捜しと訴訟にはクラウドロギングが必須

現在、サイバー犯罪の多くは政府機関が関与して行われているため、警察へ被害届を提出し、その情報をインターポール経由で、疑惑国へ連絡をしても「国内法にて裁く」との回答だけで、その先の刑事や民事に進むことは極めて困難です。
また最近では社内に産業スパイが勤務していたり、転職にあたりライバル企業へ有意な情報を持ち出すということも増えています。このため、従業員が社内情報へのアクセスを行ったログはクラウド上の第三者によるサービスを活用することが望ましいでしょう。自社内でロギングしても、自社の有利になるようにログを改定したことを立証することができないため、優秀な弁護士が相手先に立った場合の証拠能力としては民事では弱いでしょう。第三者であれば改ざんリスクが低いため、民事訴訟でも証拠能力が高いと判断されるはずです。
そしてクラウドロギングは、社内だけでなくテレワークや出張中でのインシデントも全件記録させることができるため、勤務地によらず必要な情報にアクセスさせながらも、証拠能力は担保させることができます。

社内外の社員が利用するデジタル機器のファームウェアバージョンは常に気を付ける

私が社内でマルウェアが発生したからと調査依頼を受け、社内システムを調査に出向くと、パソコン端末にはすてにマルウェアは存在していないというケースが多くありました。最初の感染はパソコンからLANネットワークに侵入していると推測されますが、その後は海外大手ベンダー製NASがマルウェアに感染し、そこから感染が広がり続けようとしている傾向が多く見受けられます。NASの多くはLinuxを用いて組込用に小さくしたものを利用していることが大半です。このためLinuxが抱えた脆弱性や、その製品自体に発見された脆弱性を突かれ感染することが非常に多くあります。

企業の多くでは残念なことに、NAS、SIP電話機、複合複写機、ルーター、ファイアーウォール装置のファームウェアバージョンの把握および、その脆弱性情報に注意を払っておらず、これが大きなセキュリティホールとなっていることが非常に良くあります。中でもNASは非常に狙われやすく、ファームウェア更新には細心の注意を払いたいものです。

また製造メーカーも、製品販売から5年も経過すると、その製品のファームウェア更新も含めた対応を止めてしまうことが多いため、製品を定期的に買い替える必要があります。欧州サイバーレジリエンス法案では、発売から5年もしくは製品寿命のどちらか短い期間がサポート対応義務となっています。NASを7年使い続けるなど絶対に止めるべきです。RAID構成でも突然死してデータが一切読み出せなる事は少なからずあります。NASは安いものでもなく、またデータが人質にとられた状態となりますし、復旧サービスで復旧できたとしてもRAIDであれば、数十万円の費用がかかることになります。大変高い代償です。

従って、ファームウェアのバージョン管理、MITRE CVE情報を収集する必要がある機器の点数を削減していくことが大切です。

情報を社内ネットワークにシステムと情報保存することは直ちに止めるべき

業務サーバー、営業資料など、その多くはLAN接続された社内サーバーにて運用・保管されているケースが、2023年の現代においても、いまだ多く見受けられます。「社内ネットワークにあるから安全だ」という神話は、ゼロトラスト・セキュリティモデルの時代に終焉を迎えたはずです。

一般的な企業であれば、業務システムはクラウド上で提供されている事業者のものを利用するのが最も運用コストが安価であり、安心安全を得ることができます。データセンターが災害にあり情報が失われた際、どのような対応がなされるの納得がいく事業者のものを選択しましょう。営業資料は、ランサムウェア回復機能も持つOneDrive for businessやboxなどアクセス権限が細かく設定できるサービスが良いかもしれません。その利便性とセキュリティ性、そして何よりもライフサイクルコストの安さに驚かれることでしょう。また情報漏洩リスクしかないFAXという仕組みは直ちに廃止しましょう。

大企業であれば、遠く離れたブライベートクラウド・データセンター同士が同期される仕組みを構築することができる、クラウドサービス事業者を選択することがBCP上最も好ましいでしょう。そしてそれを同期させ、約2倍のパフォーマンスを提供することができる事業者であれば、今までの半分づつを1つのデータセンター拠点で実施すれば、ひとつのセンターで問題が発生した際の回復能力および可用性を高める必要があります。

遠く離れたサーバが同期していれば、片側のデータセンターで天災や事故が発生しても事業を継続することができます。地震によりデータセンターが機能不全になり、鉄道網が止まっていても、社員は自宅から業務を継続することができるようになるはずです。

そしてなにより、社内ネットワークに接続され、目視できる場所にあるから物理的に盗まれない安心感によってセキュリティが疎かになる心理的な要因を排除することができます。クラウドであれば、社内外関わらずどのようなシステム構成にしてセキュリティと利便性の両立を図ることができるのか、企業担当者が自ら知恵を絞るようになります。これが一番大きな目的です。

社内にデータ保存すると、情報漏洩した際の社会的信用を失う

米国では、ランサムウェアに感染し、社内機密情報が漏洩した中小企業の1/3が3年以内に廃業を余儀なくされたというデータがありました。最近では、社内システム侵入後に、社内機密情報を片っ端から外部送信し、最後の締めくくりの花火として顧客企業に身代金メッセージへ注目させるため、暗号化を行うというランサムウェアが増えてきました。漏洩された情報はダークウェブ上にて一部公開され、高額な身代金が要求されます。支払ったとしても機密情報を消してくれる保障は一切ありません。

このためサイバー・レジリエンスのためのソリューションで、「漏れた場合の回復力で安心できる」と訴求しているケースを目にすることがありますが、社内システムが回復するだけでは、企業として一番大切な取引先や顧客からの社会的信用を回復させることはできません。ましてや、個人情報漏洩では一人あたり500円などと欧米諸国の賠償金の水準から大きくかけ離れた金額では、非礼な行為であり逆に企業としての信用を失墜させてしまいます。

データが漏洩しない仕組みへ真剣に取り組む必要があります。このことについてCISAも諦めモードではありますが、マルウェア感染の入り口となるパソコンなどのエンドポイント端末では、NIST SP800-167に準拠したPC Matic PRO等のアプリケーション・ホワイトリスティング方式に加えて脆弱なアプリケーションを強制自動更新することで侵入経路を塞ぐ対策を実施することで入り口は強固にすることがかできます。端末内で社内認証外のアプリケーションやスクリプトを一切活動させないホワイトリスト型のソリューションであれば、論理上の無感染は実現できるのです。

社内外ともに強固な通信にすることは困難ですが、社内であればアプリケーション層(OSI7層)の通信シグネチャーを基に必要なプロトコルを必要な端末へのみ許可する次世代ファイアーウォール装置で制御することで不正な通信をデフォルト破棄にすることでセキュアにすることができます。

社内外かかわらず、業務システムは多要素認証および、セキュリティトークンなどを併用することで高めることができるでしょう。

従って、今後は情報通信分野の外部アウトソーシング化により、管理コストの大幅な削減、データ損失リスク、BCP対策となる回復能力に優れたクラウドへ移行を進めることがサイバー・レジリエンス対策として重要なカギとなります。

この項目については1冊の書籍となるだけの情報があるため、また継続して執筆したいと思います。

執筆:ブルースター株式会社 坂本光正

  • このエントリーをはてなブックマークに追加
  • Pocket
  • LINEで送る