2021年 Cyber IQ 調査―機先を制するセキュリティへの転換

PwC Japanグループが日本のセキュリティリーダーを対象に実施した2021年のCyber IQ調査では、セキュリティ戦略・計画、体制、投資、サプライチェーン、脅威インテリジェンス、プライバシーなどの分野に関して、現在と3年後について実態を探りました。また、官民の先進的な取り組みについてインタビュー調査を行いました。本調査の調査結果には、日本のセキュリティリーダーに対する貴重な示唆が含まれています。

これらの調査結果から得られる示唆が、日本の企業の皆さまの効果的なセキュリティ対策を講じるための一助となれば幸いです。

「機先を制する」ためには、テクニカル、ノンテクニカルの両方の情報をベースにし、いずれ求められることを先読みし「ready」にしておくということが求められるのではないでしょうか。レベルを一段あげるわけですから、当然投資やリソースが必要になります。経営の意思がないとできません。リーダーがどれだけ引っ張っていけるかが鍵を握るでしょう。

横浜信一氏NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長

2021年 Cyber IQ調査の一部を抜粋してご紹介します。全文は以下よりPDFをダウンロードしてご覧ください。

PDF（2,846KB）

日本企業のサイバーセキュリティを取り巻く変化の潮流

デジタル化されたビジネスとITのサプライチェーンのつながり
コロナをきっかけに加速したゼロトラスト
多重恐喝型のランサムウエアの台頭
成熟化するサイバー攻撃ビジネス
レジリエンス志向が進むも道半ば

デジタル化されたビジネスとITのサプライチェーンのつながり

DXの進展によって、クラウド・AI・IoT・ブロックチェーンといったデジタル技術の利活用がさまざまな企業で加速するかたわら、これらの技術を安全に利活用するための対策としてセキュリティの重要性がますます高まっていることは既によく知られています。そして昨今、DXやデジタル化に取り組む企業の裾野がさらに広がったことで、「デジタルを介したつながり」におけるサイバーセキュリティの重要性も急激に高まっています。「デジタルを介したつながり」は、ビジネスとITの2つのサプライチェーンから捉えられます。

コロナをきっかけに加速したゼロトラスト

「ゼロトラスト・アーキテクチャ（ZTA）」はコロナ禍以前から存在する考え方ですが、昨今の働き方の変化に伴い、その必要性・緊急性がますます高まっています。しかし、ZTAはあくまでアーキテクチャの概念であり、特定のセキュリティソリューションを導入すれば実現できるという性質のものではないため、先進的な企業においても障壁や課題が多く、いまだ模索段階にあるというのが実情です。

Cyber IQ調査の結果では、モバイルデバイスの対策として最も導入率が高いのは依然としてVPNのような「境界防御型」の対策でした（回答者の55.3％がモバイルデバイスに対して行っているセキュリティ対策として「VPN」を選択しており、全選択のうち最大の割合）。

一方、現状および3年後の計画としてどのようなセキュリティ対策を講じているかについての回答からは、リスクベース認証や多要素認証、シングルサインオンといったZTA関連の対策は増加に向かうことが読み取れるため、企業が考え方の転換に向けた意欲を持っていることが推察されます。ただし、現実的にはZTAへの転換は短期間で達成することは難しく、関連製品市場の成熟や現有資産のマイグレーションなどを経て緩やかに進んでいくと考えられます。

多重恐喝型のランサムウエアの台頭

近年、新たな攻撃パターンとして、「二重恐喝型のランサムウエア」と呼ばれる手法が広まっています。「二重恐喝型」というのは、従来のようにデータを暗号化することで身代金を要求するという恐喝に加え、それに応じなかった場合は窃取した機密情報や個人情報を流出させる、という二段階目の恐喝をしてくるような手法を指しています。

それに加えて一部のランサムウエアでは、身代金の支払いに応じない場合、被害組織のWebサイトに大量の通信データを送信し、Webサイトの運営を妨害するといった三重恐喝の手口も確認されています。ランサムウエアによる身代金支払いに対する圧力は高まっており、その悪質化はとどまるところを知りません。

成熟化するサイバー攻撃ビジネス

サイバー脅威が企業の対策の裏をかくように進化し続けていると同時に、攻撃ツール・ノウハウの取引市場の成熟によって攻撃者になることのハードルがますます低くなっています。一方で、こうした外的脅威に加え、内部不正や不注意による情報漏洩などの内的脅威にも当然ながら引続き注意していく必要があります。企業は、残念ながらこうした脅威の拡大に直面していることを再認識し、継続的に対策を見直していくことが重要であるといえるでしょう。

レジリエンス志向が進むも道半ば

本調査結果から、多くの企業において、防御だけでなく検知～復旧に注力してレジリエンスを高めていきたいという意向はあるものの、特に対応や復旧までは手が回っていない現状が見て取れます。サイバーレジリエンスという概念の普及度に比して、その実現まではいまだ道半ばであると考えられます。

このように企業がレジリエンスの確保に腐心しつつも苦戦している現状がある一方、サイバー脅威の拡大はとどまるところを知りません。先述のようなサプライチェーンやリモートワーク先のネットワークなどを入口にランサムウエアなどが侵入しセキュリティインシデントに至るような事例も多く報道されています。そして、いわゆるオフィス環境にとどまらず工場などの生産・研究拠点の環境がデジタル化され、かつシステム同士がネットワークで接続されるようになったことで、このような脅威の侵入は事業や業務の停止に直結し得るようになり、セキュリティインシデントの被害はますます深刻なものとなってきています。

本調査においても、過去1年間で発生したセキュリティインシデントによってどのような影響を受けたかを質問したところ、「データ侵害」の21.8％と並んで「システムのダウン」「ビジネス影響」がそれぞれ22.5％、19.8％という回答結果が得られました。また、「ビジネス影響」の中身について掘り下げた質問では、「事業、プロセス、サービスの中断」（26.9％）や「ネットワークの逼迫」（26.9％）といった、事業や業務の継続性に直結するような影響が上位に挙げられていました。

経営層は攻撃者の狙いを把握し、「自社にとっての脅威は何か」を見極め、予算の配分や対策の最終的な判断を実施しなければなりません。セキュリティ担当者は、経営層が攻撃ターゲットの違いや脅威トレンドの変化を理解し、「どこにどれだけの予算を配分するか、どのような対策を講じるか」を判断できる情報を提供する必要があると考えます。

松澤寿典氏MS＆ADインシュアランスグループホールディングスデータマネジメント部長／三井住友海上データマネジメント部長

機先を制するセキュリティへの転換

クラウド移行に代表されるアーキテクチャの変化やサプライチェーンリスクの台頭により企業が守るべき範囲は拡大し、また曖昧になってきています。サイバー攻撃者は、こうした新たに発生するリスクを巧みに突き、サイバー攻撃を行います。そのため「思いもよらぬポイントから攻撃を受け、気付いた時には手遅れ」という事態を免れるためには組織内部の情報だけでなく、サイバー攻撃者の意図・能力を含めた外部情報の収集・分析は必要不可欠です。これにより、自組織に起こり得る脅威を高い精度で予測して備えるとともに、こうした一連の活動をリアルタイムに近いサイクルで運営することが「機先を制するセキュリティ」です。このようなセキュリティガバナンスを、日々のリスク評価に振り回されずに実現するためには、組織の共通言語としてセキュリティ管理項目を定義し、測定・改善・報告する体制・プロセスを整備することが重要となるでしょう。

機先を制するセキュリティの実現に向けた具体的なアクション

「機先を制するセキュリティ」を実現するためにはどのような取り組みが必要になるのでしょうか。セキュリティ対応計画を策定・推進するといった従来の取り組みに加えて、サイバーリスクに関する外的要因を収集・分析し、喫緊のリスクに対処すること、計画を動的に見直す能力を獲得・強化することが基本的な考え方になるでしょう。

従来サイバーリスクは、ITシステムのリスクと認識されており、情報システム部門が保有、管理するものと捉えられてきました。一方、昨今のサイバーリスクは、単にITシステムに対するリスクにとどまらず、事業継続に直結する経営課題であることは前述したとおりです。特に上場企業においては有価証券報告書にサイバーセキュリティの対策状況を開示することが推奨されており、こうした認識のアップデートが進んでいます。

しかし、いざサイバーリスクに関する情報が収集・分析され、経営会議の場に報告されたとしても、当該リスクと事業に対するインパクトの関係性を明確に説明することができなければ実効性のある意思決定を行うことは難しいでしょう。そのため、企業は事業継続上の重要成功要因を洗い出し、その中でもサイバーリスクの影響を受ける要因を事前に特定しておく必要があります。これにより、サイバーリスクが知得された際に、重要成功要因に影響を与えるか否か、どの程度の影響を与えるのか、という観点で検討・判断を行うことができます。

インテリジェンスの目的は、サイバーリスクが自社事業の重要成功要因に及ぼす影響を特定し、意思決定を支援することであり、第三者が完全に代行できるものではありません。そのため、インテリジェンスサイクルなどの基礎的なフレームワークは参考にしつつも、自社に合ったプロセスを整備することが必要不可欠です。

一般にインテリジェンス活動は、情報機関が意思決定者からの要求に基づいて行うものであり、方針策定、収集、評価、分析、配布・フィードバックといった一連の活動サイクルで実施されます。これを企業活動に照らし合わせた場合、方針策定においてどのような目的を達成するために情報収集を行うかを設定しますが、これは先の「重要成功要因に影響を与え得るサイバーリスクを特定するため」に他なりません。また、それを実現するための情報源の洗い出し、各情報源の信頼性評価といった取り組みも必要となります。こうして策定された方針に従い、以下のアクションを実施することが必要です。

ビジネスのデジタル化によりサイバーリスクの影響を受ける重要成功要因は増加の一途をたどっており、ビジネスの意思決定においてサイバーセキュリティが関係する事案が占める割合も大きくなっています。そのため、最高情報セキュリティ責任者（CISO）に代表される経営層が活動を牽引することはもちろん、サイバーリスクを経営アジェンダとして取り扱う必要がある点はこれまで議論されてきたとおりです。

特に、インテリジェンスに関連した活動は、技術的観点だけでなく法令・法律・規制、業界が定めるガイドラインなどの社会・業界動向といった広範な情報を収集・分析する必要があり、求められる視座も自然と高いものとなります。そのため、現場で収集・分析された情報が取り扱い不明なままなおざりにならないように、組織の共通認識としてサイバーリスクに関連した重要成功要因を特定し、総合的な判断が必要なケースにおいては適切な関連部署にエスカレーションするプロセスを整備することが重要となります。

最適な体制は企業によって異なるものの、ビジネス部門内にサイバー人材を配置する、IT部門内にビジネス担当のサイバー人材を配置するといった両部門が協働できる組織体制を戦略的に構築する必要があるでしょう。

技術的な観点からサイバー脅威を解説し、どのような対策を講じるべきか注意喚起を促す情報は多く存在します。しかし、経営者が知りたいのは、サイバー攻撃の手法や技術的な詳細ではありません。経営者にとって重要なのは、サイバー脅威が自社のビジネス継続性や信用、知的財産に対してどの程度のダメージを与え、どう対応するかなのです。

奥田修司氏経済産業省商務情報政策局サイバーセキュリティ課長