RSAのアジア太平洋・日本担当チーフサイバーセキュリティアドバイザー、レナード・クレインマン氏
経済のグローバル化により、サプライチェーンが世界各地に広がる中で、日本企業においても、海外の指標と整合性のとれたサイバーセキュリティ対策が求められている。日本企業のサイバーセキュリティ対策の現状や今後の展望について、デル・テクノロジーズグループでサイバーセキュリティ事業を担うRSAのアジア太平洋・日本担当チーフサイバーセキュリティアドバイザー、レナード・クレインマン氏に聞いた。
Q:世界的にみて、ITセキュリティの面で日本企業はどれだけ成熟していると感じていますか?
クレインマン氏(以下K): 国連機関である国際電気通信連合(ITU)の2017年7月の報告書によれば、サイバーセキュリティの取り組みを比較すると、全世界134カ国のうち日本は第11位。データを見る限り、世界の中で日本が悪い位置にいるとは思えません。
■「Global Cybersecurity Index」(出典:国際電気通信連合(ITU))
https://www.itu.int/pub/D-STR-GCI.01-2017
私の印象としては、国ごとのレベル差より、国の中で産業や企業規模によって様々なレベル差がある、というのが一般的です。どの国でも、軍需産業や金融産業ではITセキュリティが非常に高いレベルにあり、他の産業がそれを追いかけている、という構造があります。
Q:日本企業においてITセキュリティ対策の傾向はありますか?
K:今回(2018年11月)の日本滞在中に、サイバーセキュリティについて様々な日本企業の経営者やセキュリティ担当者と対話をしました。その経験を通じて感じたのは、多くの企業担当者がサイバーセキュリティにおいて「(未然)防御」という点を重視しているということです。ですがその先の「検知」「対応」「復旧」が足りていない。そうした内向きな観点は、日本の文化的な背景もあるのかもしれません。
企業にとって大きな損害を及ぼす事故の前には、必ずその前兆となる小さなインシデントが起こります。この小さなインシデントを発見し対処することは、決して悪いことではなく、むしろ新たな学びを得る素晴らしいチャンスと捉えることもできます。インシデントに学ぶ、という姿勢を持つことが重要です。
ただ直近数年では日本も改善が進んでいます。例えば政府間では、日本はシンガポール(2017年9月)やインド(2018年10月)と覚書を締結しました。これにより両政府が協力して、サイバーセキュリティの脅威から人々を守る国際的コミュニティをつくるというアプローチが生まれてきています。
Q:日本企業に対して、今後サイバーセキュリティ対策の指針になる指標はありますか?
K:アメリカ国立標準技術研究所(NIST)が定めた企業のサイバーセキュリティ対策基準「NIST SP800-171」は、今後世界中のあらゆる企業が参考にできると考えています。
■「NIST SP800-171」日本語訳版(出典:独立行政法人 情報処理推進機構)
https://www.ipa.go.jp/files/000057365.pdf
この基準は、もともと米国政府に関連する「機密情報以外の重要情報(CUI)」を取り扱う企業・組織に求めるサイバーセキュリティ対策の基準として2015年6月に発表されました。これを受けて米国防総省では、同省と取引する企業に対して、この「NIST SP800-171」の基準を遵守することを実質的要件としており、その業界に属する世界中の企業が適用に動いています。
Q:具体的にはその基準はどのような内容になるのでしょうか?
K:この基準の第3章は14のカテゴリーで構成され、全110個の要件が細かく提示されています。この全ての要件を満たすことで初めて、CUIの対象となる情報を保護できていることが認められるのです。
ーーーーー
・1 アクセス制御 22項目
・2 意識向上と訓練 3項目
・3 監査と責任追跡性 (説明責任) 9項目
・4 構成管理 9項目
・5 識別と認証 11項目
・6 インシデント対応 3項目
・7 メンテナンス 6項目
・8 メディア保護 9項目
・9 人的セキュリティ 2項目
・10 物理的保護 6項目
・11 リスクアセスメント 3項目
・12 セキュリティアセスメント 4項目
・13 システムと通信の保護 16項目
・14 システムと情報の完全性 7項目
ーーーーー
企業が一つひとつの項目で基準を満たしていくことは大変な労力がかかりますが、これを適用することで企業は大きくサイバーセキュリティの防御力を強化できます。
Q:この規格が今後、企業のサイバーセキュリティ対策の世界標準になるでしょうか?
K:この基準により、企業は情報を守るために自社が何をすべきかということを非常に明確にすることができます。実際にこれが企業に適用されれば、企業のサイバーセキュリティはかなり強化されるのではと思います。
世界標準になるかどうか、もちろんその確証はありません。でも例えば米国で、政府から官公庁を通じて企業に対し一定のサイバーセキュリティを要件化することで実質的な業界標準になりつつあるように、政府主導のモデルが今後各国に広まれば、世界標準になり得ると思います。
Q:最後に日本企業の皆さんにアドバイスをいただけますか?
K:サイバーセキュリティは、個別企業の対応では完結せず、取引のあるサプライチェーンすべてが対応することを求められます。サプライチェーンに属する企業の一つでもセキュリティが不十分であれば、そこからすべてのサプライチェーン企業に脅威をもたらしてしまいます。この点では、世界中のどの国の企業であっても、一定レベル以上の基準を満たしていく必要があるのです。
米国のように政府が企業に対して一定のサイバーセキュリティ基準を要件化すれば、民間企業にも急速に広がっていくでしょう。今後米国モデルが世界中に広がれば、日本でも同様のことが起きる可能性があります。
日本では2020年に東京オリンピック・パラリンピックを控えています。このような国際的イベントは、日本政府が変革する原動力となり、ITセキュリティが大きく進展する良いきっかけになるでしょう。サイバーセキュリティ対策に先進的に取り組むことで、日本企業にとって競争力の源泉になることを願っています。
(了)
リスク対策.com:峰田 慎二
