デジタルトラストの構築に向けたPwCのアクション：保険業界におけるサイバー脅威とTLPTの取り組み（MS&AD）

TLPTで詳らかになったグループの課題

村上：人的・組織的対応の一つとして、TLPTも実施されているそうですね。

安達：はい。レッドチーム演習としてTLPTを実施しています。もともとは演習の一つの位置づけですが、ペネトレーションテストと同時に実施していました。更に、脅威情報分析も含めて実施することで、TLPTへと発展しました。多くの企業のセキュリティ対策を支援している村上さんにお伺いしたいのですが、国内でもTLPTを実施する企業が増えているそうですね。

村上：おっしゃるとおりです。2018年5月に金融庁が「諸外国の『脅威ベースのペネトレーションテスト（TLPT）』に関する報告書」を公表して以来、大手金融機関を中心に、サイバーレジリエンス向上のための有効な手法として活用されています。

本題に入る前にセキュリティ関連のテストの違いについて簡単に紹介します。テストには、脆弱性診断、ペネトレーションテスト、TLPTの3つがあります。脆弱性診断はシステムの問題点を網羅的にチェックし、その危険度を確認するものです。ペネトレーションテストは、脆弱性診断からさらに踏み込んで、企業のシステム内に存在する脆弱性を突いた攻撃が実際に成功するかをチェックするものです。つまり、発生する被害までを明らかにするのですね。

これに対してTLPTは、攻撃者がどのような攻撃を仕掛けてくるかを分析し、実際に想定される攻撃シナリオに基づいて模擬的に攻撃し、そのセキュリティ対策状況を評価するものです。TLPTが脆弱性診断やペネトレーションテストと大きく異なるのは、技術面だけでなく、「検知したイベントに適切に対応できるのか」「対応体制やプロセスが整備されているか」といった組織としての総合的なサイバーレジリエンスを評価する点です。

安達：ご説明をいただき、ありがとうございます。MS&ADインシュアランスグループは2019年からTLPTを実施していますが、「TLPT=脅威情報収集・分析＋ペネトレーションテスト」との印象を抱きました。

実は、TLPTを実施する以前は「ペネトレーションテストと大きな違いはないのではないか」と考えていました。しかし、実際にTLPTを実施してみて、検討すべき範囲や分析の深掘りがまったく違うことに気付かされました。TLPTは自社に起こり得る脅威の情報を、あらゆる手段を駆使して収集します。例えば、自社名や自社で扱う知的財産などの特定情報も、ダークウェブで検索します。そして、調査に調査を重ねて収集した情報を分析し、現実的に起きる可能性の高い脅威を想定して攻撃・防御します。ペネトレーションテストでは、ここまで脅威情報を収集することはありません。

村上：TLPTを実施すると、「攻撃される可能性がある」という実感と、サイバー攻撃の現実味が増しますよね。TLPTで得られた効果を教えてください。

安達：「TLPTを実施したから、予期していた脅威に対応できた」ということは少ないと考えています。ただし、サイバーセキュリティ対策の効果が予測どおり、もしくは一部予想外である点を、正確に把握できたことに利点があったと考えています。攻撃者側と比較して、防御側が有利な点は自社の環境を熟知している点にあります。既知の攻撃に対して、多層防御のどの段階で攻撃を防げるか予測できますが、必ずしも防御側の想定どおりではない段階で防ぐこともありました。自社の対策状況を正確に把握すると言う点で大きなメリットがあったと感じました。

また、TLPTを実施したことで、グループ全体の課題が見えてきました。それは「グループ企業間で、人材や組織を含めたセキュリティ体制にばらつきがある」ということです。このばらつきは改善ポイントなのですが、各社で対応できるものもあれば、予算や人的資源などの問題から対応できないものもあります。私たちがホールディングスの立場から改善指示や対策に関る助言の提示をするだけでは、さまざまな制約により、効果は限定的です。「どのレベルで何をするか」という落としどころを見つけ、各社と合意する必要があります。まずはTLPTで詳らかになった脆弱性をもとに、グループ各社で実施しているセキュリティ対策の方向性を、グループ・グローバルの観点で整え、コミュニケーションを取りつつ費用対効果の高いセキュリティ施策を実施することを目指しています。これが持株会社の存在意義でありグループシナジーの発揮であると考えています。

村上：なるほど。「脅威に対する問題点を発見し、グループ各社の足並みを揃えて問題を解決する必要性とその課題を可視化した」ことが、MS&ADインシュアランスグループにとってのTLPTの効果と言えますね。

ニューノーマル時代のセキュリティはどうあるべきか

村上：最後に、今後のセキュリティに関する見解をお聞かせください。新型コロナウイルス感染症（COVID-19）の拡大により、多くの企業や組織がセキュリティ対策の見直しを迫られています。MS&ADインシュアランスグループにおいては、ニューノーマル時代を迎えるにあたり、セキュリティ対策がどのように変化していくとお考えですか。

安達：コロナ禍でリモートワークが急速に進みましたが、MS&ADインシュアランスグループは業務の性質上、オフィスワークを前提としたセキュリティ体制とルール、点検事項を基本としてきました。リモートワークについては、この基本からはみ出た「例外的なもの」として、個別具体的にルールや対策を設けています。様々な業務が存在する中においては、リモートワークを「ノーマル」とするには無理がある業務もあります。現時点では、オフィスワークを主体とするセキュリティ対策を維持していますが、今後、リモートワークを「ノーマル」として、セキュリティ対策全体を見直す可能性は十分にあると考えています。

村上：グループ企業全体のセキュリティを束ねる意味でも、ホールディングスが果たす役割は大きいのではないでしょうか。

安達：そうですね。グループ企業全体のセキュリティ対策のベースラインをどこに定めるのかも、考え直す必要があります。前述のとおり、各企業によって置かれている状況は異なるので、それぞれの状況を加味して、話し合いながらベースラインを決定し、グループ全体に展開したいと考えています。

村上： 企業のセキュリティ対策を支援する立場として、TLPTだけでなく、ビジネスを安全・安心に推進していくためのお手伝いができるよう努めたいとの意を、あらためて強くしました。本日は貴重なお話をしていただき、ありがとうございました。