トピックス 2022.04.01 ミッションインポッシブルが当たり前の世界。グローバルな視点でサイバー犯罪に立ち向かう。

5回目の今回は、株式会社Dirbato（ディルバート）シニアマネージャーの桐生健一さんから、企業におけるセキュリティ対策についてお伺いしました。

近年、世界的な組織によるサイバー攻撃によって、企業の情報流出やサービスの妨害など深刻な被害が発生しています。

「テクノロジーで世界に喜びを」をミッションとし、最先端技術を武器に、企業の中核システムを支援する「株式会社Dirbato」。

桐生さんはセキュリティ事業の責任者として、サイバー攻撃の脅威から顧客を守り、セキュリティの重要性を啓蒙する活動を行っています。

桐生さんのインタビューは前編と後編の2回にわたってお送りしてきました。

後編となる今回は、これからの時代に求められるセキュリティ人材、世界のサイバー犯罪者から企業を守るために必要なマインドについてご教授いただいています。

セキュリティ通信：
前編では、サプライチェーン攻撃や内部犯行など企業におけるサイバー攻撃の現状と対策についてお話をお伺いしてきました。今後、セキュリティ人材に必要な能力について教えてください。

桐生さん：
技術とマネジメントの両方に理解があり、システム全体を大局的な視点で捉えて管理する能力でしょうか。

理想は、プログラミングからシステム設計までこなせる理系的な能力、ルールやポリシーを文章化できる文系的な能力を併せ持っている人です。

現在、日本におけるセキュリティ人材は枯渇している現状があるので、少しでも多くの人に活躍してもらえるように、今後は教育にも注力しなければいけません。

セキュリティ通信：
これからセキュリティ分野を目指す人が勉強するポイントや習得すべき技術はありますか？

桐生さん：
まず第一に、インフラを学んでほしいです。セキュリティ分野において「誰から守るのか」を考えた場合、戦う相手はハッカーではないでしょうか。

ハッカーと互角の知識や技術を習得するのは非常に困難ですが、セキュリティ分野に進まれる方には「いつかハッカーを超えるんだ」という高い志を持っていただきたいです。

さらに、最近は、ISMS(情報セキュリティマネジメントシステム）を取得し適切に運用していても、サイバー攻撃を受けてしまう傾向があります。

推理小説の探偵のように「この抜け道から犯罪に及んだに違いない」というリスクベースのアプローチができれば、企業でも重宝されるでしょう。

私もサイバー攻撃に関するニュースを目にするたびに「このハッカーは、いかにして情報を搾取したのか」「なぜ企業側に気づかれなかったのか」などを必ず推理しています。

セキュリティ通信：
セキュリティ分野で活躍するためには、多岐にわたる高い能力が必要なのですね。求めるハードルが高いことも人材が不足する原因なのでしょうか？

桐生さん：
確かに、セキュリティに関する知識と技術、法務を含めた文書作成能力に加えて推理力に優れた人が理想です。

しかし、社会が必要としているのは先ほど申し上げたプロフェッショナルな人材だけではありません。

保守期限が切れてしまったウイルス対策ソフトを何年も使い続けている企業や経営者の方が多くいらっしゃいます。

基本的なセキュリティ知識を持つ人材は現場にとって大きな価値があるでしょう。

セキュリティ通信：
中小企業でセキュリティ人材育成も含めたコンサルを行う場合、どのような手順で進めるのですか？

桐生さん：
まず、マネジメント部門の直下にセキュリティ部門を設置して、社内のセキュリティレベルを把握し、必要なシステムがあれば導入します。

さらに、社員全員のセキュリティ意識を高めるためにセミナーを開催して、サイバー犯罪の事例や流行しているウイルスの紹介などを行ってきました。

いきなり難しい話をするのではなく、誰でも理解できる簡単な内容の話題を継続して提供し、危機意識を高める活動を行っています。

セキュリティ通信：
近年、翻訳システムの技術が飛躍的に向上した影響で、日本がサイバー攻撃の標的になっていると伺っています。世界的なサイバー集団から身を守る方法を教えてください。

桐生さん：
2012年に「霞ケ浦河川事務所」が国際的なサイバー攻撃を受けたのは、国会議事堂など多くの官庁が集まる「霞ヶ関」と間違えたのではないかという見解もあります。

今後、翻訳システムの技術向上にともなって、日本も今まで以上にサイバー攻撃が増えることを想定したセキュリティ対策が必要になるでしょう。

そのために、多くの日本人が判断基準とする「性善説」ではなく、「性悪説」に基づいて、企業内外を問わずあらゆるものを信じないというグローバルな視点を入れる必要があります。

セキュリティ通信：
グローバルな視点を取り入れたセキュリティ対策とはどのようなものなのでしょうか？

桐生さん：
ネットワークの内外には必ず脅威が存在することを前提として考えます。

具体的には、社内、社外問わず、すべてを信頼できないものとした上で、社員全員が使用するパソコンやスマートフォンなどのデバイスをその都度チェックし、アクセスの可否を判定します。

今後、世界の国際的なサイバー集団から企業を守るためには、従来の「安全ありき」のセキュリティではなく、侵入されることを前提とした対策が必要になるでしょう。

中国では「知り得た情報は自分のもの」という考えが主流ですし、ハッカーと付き合いのある人がセキュリティ会社を起こす時代です。

世界的なサイバー犯罪の事例を知り、自分たちはそのような危険な場所に飛び込んでいくのだと自覚する必要があるのではないでしょうか。

セキュリティ通信：
セキュリティにおいてもグローバルな視野が必要なのですね。世界的にみた場合、現在の日本におけるリスクがあれば教えてください。

桐生さん：
日本の「特許出願件数」が年々減少していることを非常に憂慮しています。

資源小国で国土面積も狭い日本にとって、特許によって保護された高い技術力は、企業独自の大きな強みではないでしょうか。

ですから、技術を継承する「特許出願件数」の減少は、日本の将来にとって大きなリスクになると考えています。

セキュリティ通信：
特許出願件数が減少した理由としてどのようなことが考えられますか？

桐生さん：
創生期の日本では、SONYの盛田さんをはじめとして、世界のトップを目指して挑戦する技術者や経営者が数多くいらっしゃいました。

しかし、最近は教育の影響なのか「言われたことしかやらない」「失敗したくない」という人が増えているように感じます。

創業して間もないベンチャー企業に対する「VC（ベンチャーキャピタル）」や産学連携の研究活動への出資を通じて、新しい挑戦を続ける企業や人材を応援する体制を強化することが重要ではないでしょうか。

key point

・マネジメントと技術の両方に理解があり、システム全体を管理できるセキュリティ人材が求められている。

・ISMSを取得し適切に運用していても、サイバー攻撃を受ける可能性があるため、ハッカーと同等の知識や技術を習得することが理想。

・定期的なセミナーを通じて、サイバー攻撃の事例やウイルスの脅威について説明し、全社員の危機意識を高める。

・これからの時代のグローバルなサイバー攻撃に備えて、企業内外を問わずあらゆるものを信じないという「性悪説」の考え方を取り入れることが重要。

・技術大国である日本の「特許出願件数」が年々減少していることは日本の将来にとって大きなリスクになる。

いかがでしたでしょうか？

IT業界におけるテクノロジーの飛躍的な進化にともなって、かつては愉快犯などによって行われていたサイバー攻撃は、国家主導のプロ集団による医療、金融、社会インフラに対する身代金目的へと様変わりしてきました。

特に、最近は、サプライチェーン攻撃やランサムウェアによる被害を受けてしまうと長期間にわたって貴重な情報が流出し、企業の信頼を失い、社会的に大きなダメージを受けてしまいます。

凶悪なサイバー攻撃から企業を守るためには、インフラやアプリケーションに対する知識だけでなく、ITを全体的な視点から俯瞰しながら必要なシステムを適時導入する能力を持ったセキュリティ人材がますます必要になるでしょう。

セキュリティに投じる予算を「コスト」ではなく「未来への価値ある投資」と考えて、日本という狭い世界で通用する常識や思考に偏ることなくグローバルな視点を取り入れた対策を施すことが重要ではないでしょうか。

intervieweeプロフィール

桐生　健一

株式会社Dirbato（ディルバート）
コンサルティンググループ　シニアマネージャー

インシデント発生時の初動対応支援、セキュリティ事故再発防止策検討支援、グローバルWebサイトのセキュリティ強化マネージメント、国立大学の産学連携本部の内部統制強化支援などに従事。

主に金融を中心として製造／製薬／通信業界等のクライアントを経験。

TEXT：セキュリティ通信 編集部
PHOTO：iStock