このサイトはCookieを使用しています。 サイトを閲覧し続けることで、Cookieの使用に同意したものとみなされます。 プライバシーポリシーを読む>

コーポレート 日本語 (言語切替)
コーポレート
会社紹介、ニュース&展示会の活動など
コンシューマー向け製品
携帯電話、PC、タブレット、ウェアラブルなどの個人用および家庭用製品
法人向け製品
企業ユーザー向け製品、ソリューション、サービス
通信事業者向け製品
通信機器、ソリューションおよびサービス
Huawei Cloud
ファーウェイクラウドサービスの製品およびソリューション

国または地域を選んでください

2020年に向けたサイバー・セキュリティ対策

2017.07.24

2020年に開催される東京オリンピック・パラリンピックでは、大会の運営や競技の観戦、観光客へのサービスなどにおけるICTの利活用に大きな期待が寄せられています。それにともない、会場や東京全体の物理的な安全確保に加え、サイバー空間でのセキュリティ対策も重要な課題となっています。

初の本格的なデジタル・オリンピックと呼ばれた2012年のロンドン五輪では、開催以前からサイバー・セキュリティに対して入念な対策が講じられ、重大なインシデントに見舞われることなく大会を終了、その経験は現在も生かされています。2012年当時、英国でシマンテックのクラウド・サービス事業担当バイス・プレジデントを務めていた現・ファーウェイUKおよびEUサイバー・セキュリティ・オフィサーのデヴィッド・フランシスに、英国がオリンピックにおけるサイバー・セキュリティにどのように臨み、どのような教訓を得たのか、また東京オリンピックに向けて日本の通信事業者や企業はどのように取り組むべきかについて、話を聞きました。

David Francis

デヴィッド・フランシス

ファーウェイUK・EU

サイバー・セキュリティ・オフィサー(CSO)

BT(ブリティッシュ・テレコム)ほか英米のICT企業を経て、2003年シマンテックに入社、2007年から2012年まで同社クラウド・サービス事業担当バイス・プレジデントとしてグローバルで300名以上からなるユニットを統括する。その後eコマース企業のCOO(最高執行責任者)を務め、2013年5月にファーウェイUKのCSOに就任。現在はEUのCSOも兼任し、官民におけるサイバー・セキュリティ課題に関する豊富な経験を生かして、社内向けセキュリティ教育、社外のステークホルダーとの協力とコミュニケーションを推進している。

あらゆる企業・組織が攻撃の対象に

 オリンピックのようなグローバル規模の大イベントは、全世界から注目が集まる、いわば世界最大の広告媒体です。したがって、注意を惹きたいという動機を持つあらゆる個人や組織がこの機会を悪用する可能性があります。また、巨額の資金が動くことで、当然それを狙う犯罪も起こりえますし、開催国になんらかのダメージを与えて国益や国のイメージを損ねたいという動機もあるでしょう。さらに、莫大な数の人々が集まる開催地ではさまざまなインフラがフル稼働状態になるため、平常時以上に各種サービスを妨害しやすくなり、そのダメージもより深刻なものになります。

こうした状況下では、イベント自体に直接の関わりがない企業や組織であっても、開催地にあるというだけで攻撃の対象となりえます。通信をはじめとするインフラ提供者はもちろんのこと、すべての企業があらゆるタイプの攻撃に備えておく必要があります。これは実空間もサイバー空間も同様です。開催地の物理的な警備体制を強化すると同時に、サイバー・セキュリティ対策も同じレベルまで引き上げなければなりません。

とはいえ、個別の企業や組織、政府機関でさえ、完全な防御体制を単独で築くことは不可能です。そのため、官民を挙げたコラボレーションと情報共有が非常に重要になってきます。ある企業、組織、業界に対する攻撃があったとき、情報が迅速かつ適切に共有されれば、次に他の企業、組織、業界へ攻撃が拡大するのを未然に防ぐことができるのです。ロンドン・オリンピックの際には、英国のGCHQ(GovernmentCommunications Headquarters:政府通信本部)内にあるCESG (Communications-Electronics SecurityGroup)の主導により、脅威や緊急対応に関する分析をシェアするコミュニティが組織され、情報共有のプロトコルとプロセスが整備されました。

基本的な対策で攻撃の80%を回避

しかし、注意すべきは、こうした悪用や攻撃はいずれも普段から起こりうるものだということです。通常のセキュリティ対策が万全であれば、こうしたイベントの際にもそれを確実に運用するだけでよいのです。

これまでに複数の国際的な調査から、サイバー攻撃のおよそ80%はごく基本的なセキュリティ対策によって対処できることがわかっています。基本的な対策によってこの80%を確実に回避しておけば、より重大で予測しがたい残りの20%に対して十分なリソースを割くことができます。英国政府はロンドン五輪後の2012年9月に『サイバー・セキュリティ保証に向けた10のステップ(10Steps To Cyber Security)』という企業向けガイドラインを発行しています。私自身は、最低限徹底しておくべき対策として次のようなものが挙げられると考えています。

①~⑤については、いずれの企業・組織でも通常の対策として行われていることだと思いますが、「すべての」機器やユーザーをカバーしているかという点は見直す必要があるでしょう。1か所でも穴があれば、攻撃が起こる可能性があります。

⑥の資産管理については、会計上の必要性から当然行うべきものですが、知的財産を含む情報資産に対しても、建物や備品などの有形資産と同様に全資産を登録して管理することができているでしょうか。また、そうした資産のすべてを完全に保護することは現実的には不可能ですから、情報の重要度に基づいて優先順位を付け、保護対策をレイヤー化して、最も優先度の高い情報資産に対して多くのリソースを割くようにしなければなりません。

さらに、セキュリティ対策は後付けできません。これはファーウェイでも徹底して行っていることですが、製品やネットワーク、システムを設計する段階からセキュリティを主要な要件として組み込んでおくことが必要です。そして、運用開始後も継続的なテストによってセキュリティ・ホールのない状態を常に維持しておきます。

最後に、前述のように、サイバー・セキュリティは1社だけで対応できる問題ではなく、被害の拡大を抑えるには企業や業界の垣根を超えた情報共有が重要です。とはいえ、インシデントや脆弱性に関する情報は企業にとっては機密事項ですから、このような情報共有を事業上の利益に影響させることなく円滑に行えるよう、英国政府はCiSP(Cyber-security Information Sharing Partnership:サイバー・セキュリティ情報共有パートナーシップ)というしくみを設けています。これは、メンバーとなっている企業・組織のセキュリティ担当者間で、機密性を保ったまま脅威や脆弱性についての情報交換ができるプラットフォームです。日本には同様の取り組みとして情報処理推進機構によるJ-CSIP(Initiative for Cyber Security Information sharing Partnership of Japan:サイバー情報共有イニシアティブ)があります。

「人」が最大の脆弱性

サイバー・セキュリティにおいて防御が最も難しいのが、ソーシャル・エンジニアリング、つまり「人」がセキュリティ・ホールとなり、情報漏えいや攻撃が起こるケースです。

システムやネットワークをどれだけ堅牢にしても、従業員が故意あるいは不注意で、そして時には善意から、セキュリティ上重要な情報を漏らしたり、侵入者のアクセスを許したりしてしまう場合があります。たとえば、自社の幹部を名乗る人物から電話で機密情報について尋ねられる、お客様を名乗る人物から障害を復旧させるためにいますぐネットワークへのアクセスが必要だと迫られる、というような場面で、全従業員が適切かつ慎重な対応を取ることができるでしょうか。

ソーシャル・エンジニアリングを防ぐには、こうした状況における確認や報告のプロトコルが確立されていると同時に、フロントラインからバックオフィスまですべての従業員がセキュリティに対する意識を持ち、自分自身がセキュリティの当事者であることを常に認識していなければなりません。これは容易なことではありませんが、継続的な教育とトレーニングによって取り組んでいくしかないでしょう。

セキュリティ保証は品質保証の一部

 このような対策は、一朝一夕にできるものではありません。オリンピックのような大規模なイベントに備えるには、すべてのプロセスを開催の数年前から準備し、事前に十分に訓練を重ね、大会後に何かが起こった場合でもそのプロセスを確実に実行すればよいという状態にしておかなければなりません。

また、ロンドン・オリンピックでは、開催に向けて攻撃が増加しましたが、終了後も攻撃は減少しませんでした。大会を契機として一度攻撃の対象となってしまうと、その後も標的となり続けるのです。したがって、セキュリティ対策は会期中だけでなく、将来を見据えた長期的・継続的なものであるべきです。

こうして見ると、サイバー・セキュリティ対策はビジネスの他の業務と比較してなんら特別なものではないことがおわかりいただけるでしょう。セキュリティ保証は品質保証の一部であり、お客様のために安全で安定したサービスを提供し、価値を生み出していくために、日頃からビジネスの一環として持続的に取り組むべき当然のプロセスにすぎないのです。この点では、品質保証が文化として根づいている日本の企業は強みを持っていると言えます。

業界・国を越えた連携が急務

ロンドン大会からすでに4年が過ぎ、さらに2020年まであと4年ありますが、その頃にはサイバー空間がいっそう過酷な状態となっていることは確かです。IoTでつながった多くのモノが攻撃の対象やセキュリティ・ホールになりえるとともに、技術の進歩によってより高度な攻撃が低コストかつ容易にできるようになります。攻撃者自身が技術を持っていない場合、攻撃を買うこともできます。いまやセキュリティ攻撃は悪意ある個人の行為ではなく、組織化され財源を持ったひとつの産業なのです。

繰り返しになりますが、こうした状況に対応するためには、一企業、一業界、一国家の力では限界があります。産業間、国家間で協力し、情報やベストプラクティスの共有を進めることが喫緊の課題です。2020年に向けてサイバー・セキュリティ対策を強化していくうえで、日本の政府や企業はそうした努力をさらに進めていくことが求められるでしょう。

ロンドン・オリンピックは英国にとって、それまで各政府機関や企業・組織が個別に行っていたサイバー・セキュリティ対策を国をあげて精査し、より強固な体制を築くきっかけとなりました。日本もまた、東京オリンピックを機会としてあらゆる企業や組織が現状を見直し、基本的な対策をしっかりと講じることで、サイバー・セキュリティ水準をさらに引き上げ、国際的な協調を推進して世界をリードしていくことを願っています。

「デジタル・オリンピック」ロンドン大会をネットワークで支えたファーウェイ

ロンドン・オリンピックの会期中、ファーウェイは通信事業者10社のネットワーク保全を支援しました。リスクの排除、ネットワークの性能とセキュリティの向上、プロセスの最適化により、一度も通信障害を起こすことなく安定したサービスで膨大なトラフィックを支えました。