企業によるサービスを始め、今や世界の大部分がデジタル技術を活用した画期的で有用なサービスに支えられているといっても過言ではありません。一方で、その急速な技術の進化は、未知の脅威や脆弱性の顕在化との直面することになっています。
現在、デジタルビジネスが直面しているリスクには、大きく分ければ
- サービスの複雑化がもたらす脆弱性
- サイバー攻撃の高度化に伴う脅威の増大
- データ活用リスクの増大
などが挙げられますが、その内容は多様化の一途をたどっています。
仮にこれらのリスクに対して対応することができず、ツールの利用者に被害が及んでしまった場合、そのシステムやシステムを提供していた企業が社会的な信用を回復するには相当のコストと時間を要する、または不可能でしょう。経営の根幹を揺るがすリスクと言えます。
こうした、デジタル技術を取り巻く潮流を踏まえ、デジタルビジネスを支えるためのセキュリティ対策は、根本的かつ本質的な改革を迫られています。
デジタル時代のセキュリティの在り方
急速なデジタル化の波を乗りこなすセキュリティ対策のコンセプトは、徹底したセキュリティファーストです。
従来のセキュリティ対策といえば、サービスやシステムが完成してしまってからセキュリティ製品を後付けするという形が一般的でしたが、デジタル技術の進歩とともに「シフトレフト」……つまり、システム開発の上流工程でセキュリティ要件を検討する形へと大分変化してきました。具体的には、『デジタルサービスの企画段階から、サービス企画担当とセキュリティ専門家が協力して、想定するサービスモデルに即した脅威について分析する』という取り組みです。
しかし現在は、この取り組みを更に一段階引き上げ、システム企画という最上流工程でのセキュリティ要件の検討が求められるようになっています。様々な面において、結果的に時間とコストの無駄を省くという目的からも、今後はシステムや組織体制そのものに脅威耐性や回復性を組み込むことが肝要といえます。
システム企画段階のリスク分析
ただ、今後は開発の初段階からセキュリティ要件を検討するべき、と一口に言っても、実際に何をすべきなのでしょうか。
サイバー空間における攻撃者は、それぞれがある動機や目的のもと、様々なシナリオにおいて、多様な手法で攻撃を仕掛けてきます。これに対抗するために必要な視点は2つ、簡潔に言えば「自分」と「攻撃者」それぞれの視点です。
まず、「自分」の視点とは自分を十分に知ること、つまり自身のシステムやサービスの全体像を把握し、その特性や弱点を知ることです。これを行う事で、どのようなポイントが攻撃者に狙われやすいのか・最優先に守るべきコアサービスはどこなのかを把握し、システムを構築していくことができます。
そのうえで次に「攻撃者」の視点を持つこと、つまり攻撃者の立場に立って客観的に自身のサービスやシステムを俯瞰するということです。これによって、単純なシステム上の脆弱性は勿論のこと、攻撃者が自身のシステムに対して、サービスのどの段階でどのような目的をもって攻撃してくるのかという予想を立てることができます。
これらを正しく行う事ができれば、あとは2つの視点を組み合わせることで、おのずと起こり得る攻撃の全体像を把握することが可能になります。それを踏まえて、生じると考えられる損害の度合いによって、どのような対策を講じるのかという方向性を決定することができ、具体的なシステム構築へと着手できるのです。
残念ながら現状としては、サービス要件を決定する段階においても攻撃者の目的や手法の徹底推測、それを踏まえたサービスに起こりうる脅威の把握ができておらず、十分なセキュリティ検討がなされていない場合が多く見られます。場合によっては、類似サービスを提供する他者が被害を受けた事例すら把握されていないケースもあり、お粗末と言わざるをえません。
以下には、「自分」と「攻撃者」の視点で行うリスク分析の具体的なプロセスをまとめます。
リスク分析
Ⅰ サービス分析(「自分」の視点)
-
提供サービスの全体像を認識する。
-
①アクター ②チャネルルート ③デバイス ④ファンクション ⑤データ の5項目に分けられる
- Point…この段階で洗い出しに漏れがあると、後の脅威分析の漏れに直結する。ここでは、サプライチェーンやAPIなどの連携パートナーを始めとする全ステークホルダーを対象に洗い出す。
-
①アクター ②チャネルルート ③デバイス ④ファンクション ⑤データ の5項目に分けられる
Ⅱ アタック分析(「攻撃者」の視点)
-
攻撃者についての全般的な情報を把握し、インパクトを分析する。
- 攻撃者像・攻撃の目的・手法や能力をできる限り詳細に把握していく必要がある
-
Point…実際のサービスに対する攻撃では、各種サービスの特徴に依存した攻撃がなされるため、一般論的な情報や被害を把握するだけでは対策にならない。サービス分析の結果に基づき、サービスレイヤーに特化した分析が求められる。
分析には、国内外を問わず類似サービスで先行する企業が過去に被害を受けた事例を洗い出すことが非常に有用。
-
Point…実際のサービスに対する攻撃では、各種サービスの特徴に依存した攻撃がなされるため、一般論的な情報や被害を把握するだけでは対策にならない。サービス分析の結果に基づき、サービスレイヤーに特化した分析が求められる。
- 攻撃者像・攻撃の目的・手法や能力をできる限り詳細に把握していく必要がある
Ⅲ スレット・ケース分析
-
ⅠⅡから、実際に発生する可能性のある脅威のシナリオを把握する。
- デジタルビジネス環境下でもたらされる脅威は非常にさまざまである。不正アクセス・詐欺などの明らかな違法行為から、迷惑行為・合法フリーライド・マイニングなどの犯罪ではないが自社のサービス価値を下げる恐れのあるものまで幅広く想定していく
- Point…サービスの特性や弱点は、攻撃者よりも自分が深く理解しているはずであり、スレット・ケース分析に関しては攻撃者に対して絶対的優位に立津ことができる点である。ここで攻撃者を上回ることが出来れば、リリース前に万全な防御を備えることも可能になる。
- デジタルビジネス環境下でもたらされる脅威は非常にさまざまである。不正アクセス・詐欺などの明らかな違法行為から、迷惑行為・合法フリーライド・マイニングなどの犯罪ではないが自社のサービス価値を下げる恐れのあるものまで幅広く想定していく
Ⅳ インパクト分析
-
Ⅲのシナリオを想定し、最終的なリスクとそれに対する施策の方向性を決定する。
- 脅威によるビジネスインパクトには、ブランド価値の低下・売り上げへの影響・株価への影響などが挙げられる。これらを攻撃者の目的を照らし合わせ、具体的に算出していくことが必要です。
- Point…インパクトの算出までが済めば、対策の方向性はおのずと決定していくが、方向性は大きく分けて2つある。1つが、防御に主眼を置く「能動的対策」、もう1つが検知・回復に主眼を置く「受動的対策」です。重視すべき事柄やコストに応じて、どちらかを選択または両方を施行する決定を要し、この判断にはビジネス的な観点も加わる。
- 脅威によるビジネスインパクトには、ブランド価値の低下・売り上げへの影響・株価への影響などが挙げられる。これらを攻撃者の目的を照らし合わせ、具体的に算出していくことが必要です。
分析サービスの例
2019年8月8日、NRIセキュアテクノロジーズ株式会社は、デジタルサービスの開始を検討している企業向けに、情報セキュリティに関わる潜在的なリスクの洗い出しとそれに対する対策の立案を支援する「デジタルサービス向けリスク分析支援」の提供を開始しています。
サービス紹介を行う同社HPでは、DX時代の「コアビジネスのデジタル化」により生み出されるサービスのビジネスモデルや業務プロセスの複雑性と、ここまで本記事で述べてきたように、より早い段階でのリスク分析の有効性についてが書かれています。提供されているサービスは、まさにサービス・リスク分析そのものといっても良いでしょう。例えば、以下のようなサービスが提供されているようです。
1.サービス仕様・ビジネスモデルの把握と脅威の洗い出し
2.ユースケース(ユーザーの利用事例)に基づく脅威の洗い出し
3.脅威シナリオに対する対応策の立案・提示
サービス・リスク分析は、手順や方法が分かったとしても、実際に導入しかつ抜け漏れなく行うことは難しいと言わざるを得ません。要する人員の合理的な節約や、システム開発に着手することができるまでにかかる時間、また分析に活用することができる情報量、対応策のノウハウ等を考えると、情報セキュリティ業務を専門とするNRIセキュアテクノロジーズのような企業の提供する分析サービスを利用するメリットはそれなりに大きいと言えるのではないでしょうか。
セキュリティ要員の拡張
現在、サイバー攻撃が猛威を振るっていることを受けて、企業内ではセキュリティ対策のチームとして「CSIRT (シーサート: Computer Security Incident Response Team)」の設置が普及しています。今後のセキュリティ対策では前述のサービス・リスク分析が非常に重要でありますので、CSIRTがそのような分析を行うことになるでしょう。
しかし、ここで問題となるのがCSIRTは一般的に、情報システム部門を母体とするチームであるということです。サービス・リスク分析を効果的に行うためには、自社の提供サービスや業務を把握していることが絶対条件といっても過言ではありませんが、情報システムの技術を専門とする者が業務上の具体的なサービス内容までを把握しているとは考えづらいでしょう。よって、CSIRTのみにセキュリティ対策を行わせることは適当ではありません。
事業部門内でのSSIRTの提唱
そこで、具体的なサービスに基づく分析を補完する組織として提案されているのが「SSIRT(Service Security Incident Readiness & Response Team)」です。SSIRTは、事業部門内でサービスレイヤーのセキュリティ全般を統括するチームと定義されており、事業密着型のSIRT機能になっています。事業部門としてサービス内容についても十分に把握可能であるため、サービス・リスク分析において自社のサービスレイヤーに根ざした具体的な脅威を想定することができる点がCSIRTと異なり、「セキュリティ・バイ・ビジネスデザイン」の中核を担うことが期待されます。
更に、SSIRTの役割は企画段階にとどまりません。なぜなら、システム企画に伴い分析し作成した脅威モデルは日々変化を続けているからです。システムセキュリティは、関わる外部サービスの変化や攻撃手法そのものの進化に大きく左右されます。リリース段階では高いセキュリティレベルを備えていたシステムにも、1秒後には重大な脆弱性が生まれてしまう可能性も否定できません。このように、サービスを提供し続ける限り、脅威に対する分析とセキュリティのブラッシュアップは不可欠であり、SSIRTは半永久的にその役割を遂行し続けることになるのです。
サービスの前提にセキュリティを組み込むことが求められる今、「セキュリティは難しいソースコードの分かるエンジニアのような専門家に任せておけばよい」という考えは改めなくてはなりません。企業には、全関係者のセキュリティ対策に対する意識の底上げが求められています。
DX時代にこそ見落としてはならないユーザー保護の視点
一般的に情報セキュリティというと、企業を主語にしたシステムの保全が真っ先に上がります。勿論それも重要ですが、DX時代にはそれに加えて「ユーザー保護」という視点を持たなくてはいけません。
顧客第一という気持ちで日々業務にあたっている企業において、ユーザー保護の視線など根付いていると考えるでしょうが、情報セキュリティという分野においてそれが浸透しているか否かはまた別の問題として捉えなくてはならない場合があります。この浸透度をチェックするにあたって有用な手法に「デジタルフォレンジックトレーニング」があります。
デジタルフォレンジックとは、サイバー攻撃に対しコンピュータなどの電子機器に残る記録を収集・分析し、その法的な証拠性を明らかにする手段や技術の総称です。
サイバー攻撃を受けないための分析や防御システム構築を、可能な限り最大限行ったとしても、サイバー攻撃を受けてしまう可能性をゼロにすることは不可能です。実際に、セキュリティインシデントやサイバー攻撃に遭遇してしまった際には、被害状況の把握・攻撃手法の特定・証拠保全・対処の優先順位の判断など、様々な事項を迅速に行わなくてはなりません。大手情報セキュリティ専門企業を始め複数の企業団体は、これを訓練するためにサイバー攻撃を受けた環境を前提として、その対応を行う実践型の研修を提供しています。
そこで、この研修を行うと、大半の受講者が陥る問題の状況があるといいます。受講者は、攻撃を受けたシステムを前にするとシステムログなどを洗い出し、原因やシステムの脆弱性の特定、その部分に対する技術的な対処を検討する作業に没頭します。そして、個人情報などの情報漏えいが相当に濃厚な段階になっても「サービスを止める」という判断に至らないのです。これこそまさに、ユーザー保護の視点の欠如と言えるでしょう。
デジタルビジネスにおいては、従来以上にユーザー保護を第一に考えることを徹底しなくてはなりません。先の例でいえば「サービスを一時的に止めてでも、現状以上の情報漏えいを防ぐ」という判断を早い段階で下せるようにするということです。DX時代が続いていくには、ユーザーがデジタルシステムやセキュリティについて危険性を含めた理解を深めると同時に、企業もユーザーの安心・安全に重きを置かなくてはならないということを肝に銘じなくてはなりません。
経営におけるサイバーセキュリティの位置付け
デジタル技術の発展によって、業界・業種を超えた競争力を備える新規参入企業が見られるようになりました。この変化に伴い、既存の企業においても、望むか否かに関わらずコアビジネスのデジタル化を図り変革の波に乗り続けなければ、事業の競争力を維持できない時代になりつつあります。
このような流れの中で大きく変化したことの一つが、経営におけるセキュリティ投資の位置付けです。以前は、売り上げに直結するものではないコストとして捉えられていましたが、「コアビジネスのデジタル化」によりITが事業の一要素となったことで、それに関わる投資は純粋なコストから「経営リスク」への投資に変化したのです。
「経営リスク」と表現したのは、セキュリティ事故への対応が企業ブランドや株価に影響を及ぼし始めているからです。今後は株式市場において、サイバーセキュリティが、株価の貢献要素・企業ブランド価値の構成要素の重要な指標となっていきます。
以上を踏まえ、セキュリティ関連事項を「経営リスク」としてあらかじめ認識し、「セキュリティ投資」は減価償却費とするのか、あるいはインシデントが発生時に巨額の特別損失を計上するのか。インシデント発生時には、金銭的な損失だけでなく企業ブランドや社会的信用という数値化できない重大な損失も生じるということも加味したうえで、未来ある企業の経営陣には賢明かつ慎重な判断を期待します。