サイバーリスクを認識して対策を ── 金融ISAC専務理事/CTO・鎌田敬介氏
業界がリスク情報を共有するISACの取り組み
── バングラ中銀の事件は国際的なニュースになりましたが、国内においてもマルウェアを利用した不正送金事件が後を絶ちません。金融業界では企業の枠を超えた金融ISACが組織されて情報共有や対策が施されているわけですが、そもそもISACとはどのよう組織なのでしょうか? 鎌田氏 日本で金融ISACが設立されたのは2014年ですが、もとはアメリカで重要インフラ業界のサイバー情報共有の仕組みをビル・クリントン政権時代に作ったのがISACのはじまりです。アメリカでは重要インフラセクターごとにISACがあり、日本でも業界ごとに情報共有の仕組み作りが進んでいるところです。最近は、ISACが一般名称に近い認知のされ方をしてきていて、国内では金融業界以外でも電力業界に電力ISAC、通信・放送業界などのICT-ISAC、自動車業界にもAuto-ISACが出来るなど積極的な取り組みが行われています。 ── バングラ中銀の事件は北朝鮮による犯行との見方もあります。かつてはハッカーなどによる攻撃が主流だったサイバー攻撃は、犯罪者集団や国家の関与が当たり前となり、攻撃目的も内容も多様化、巧妙化しています。こうしたサイバー空間の現実にサイバーセキュリティの担い手たちはどのような取り組みをしているのでしょうか? 鎌田氏 ISACについて言えば、アメリカで金融係企業が加盟して組織しているFS-ISACはIT部門もさることながらリスク管理部門とか、ITだけにとどまらないリスク対応に関わる様々な人たちで作る組織に少しずつ変わってきています。私自身は、サイバーセキュリティマネジメントという言葉を使っているのですけれど、組織管理の視点からサイバーセキュリティの問題にどう向き合っていくのか、ということを1つ大きなテーマにして取り組んでいます。
サイバーセキュリティはコーポレートリスク
── 「サイバーセキュリティマネジメント入門」という本を出されましたね。専門的な内容ですが、出版の意図はどのようなところにあるのですか? 鎌田氏 企業はサイバーセキュリティの取り組みを技術の問題としてとらえがちですが、実は技術を超えた視点で理解しないと正しい対応が出来ないということがあります。IT部門や技術者にまかせておけばいいのだと思っている組織管理者、経営者は認識を変えるべきです。サイバーセキュリティの担当役員、CISOやその周辺の方々は、技術の問題としてとらえがちなサイバーセキュリティの問題をビジネスリスクとコーポレートリスクの問題と考えて欲しい。 ── サイバー攻撃が企業の経営そのものに大きな影響を及ぼすケースはこれまでもありました。 鎌田氏 サイバーセキュリティ対策といった時、多くの企業は標的型攻撃やDDoS攻撃など攻撃手法に着目して対策を考えがちです。しかし、むしろ守るべきものは何か、何を優先的に守るべきか、自らを理解し、すべきことは何かを体系的、網羅的に考えるべきです。個人情報が漏洩しても攻撃者の狙いが個人情報にあるとは限りません。その企業がもつ知的財産、製品情報や設計図かもしれませんし、入札情報かもしれません。私は企業の担当者には、リスク管理の問題ととらえて対策を講じてくださいと言っています。技術的な対策をしていれば問題が起きないかと言うとそうとは言えず、莫大な資金を投じ、人数をかけたとしても情報漏洩が起きるのが今のサイバー空間の現実です。 ── リスク回避の考え方ではなく、リスクを前提に守るべきものは何かを認識して体系的な対策を講じることが重要なのですね。 鎌田氏 そうした取り組みの先にあるのが想定外リスクへの対応をどうするのかという問題です。ほとんどの企業は想定しているリスクのことしか考えていません。想定外のリスクが起きた時に、どう対応するのか、体制が出来ているのかというと、これまで多くの企業のリスク管理、危機管理体制を見てきましたが、日本を代表する大手企業においても、そこまでの体制はほとんど出来ていません。現在のサイバー空間の状況を踏まえれば、企業には様々なリスクがふりかかる恐れがあります。会社がそうしたリスクに直面した時、何を守り、どのように対応すべきか、危機が起きてから対策を講じるのでは遅すぎます。 【鎌田敬介】かまた・けいすけ。1978年、北海道生まれ。千葉大学理学部数学・情報数理学科卒業。2002年よりJPCERT/CCにてセキュリティを学び、アジア各国のセキュリティ機関設立を支援。三菱東京UFJ銀行のIT・サイバーセキュリティ管理に従事した後、金融ISACの立ち上げに参画。現在、金融ISAC専務理事/CTO、金融庁参与、サイバーディフェンス研究所客員上級分析官などを兼務。近著に「サイバーセキュリティマネジメント入門」(金融財政事情研究会)。