企業や団体によるセキュリティインシデントが後を絶たない。日本企業では、事故原因を突き止めていないケースが4割強、内部関係者が原因であるケースが5割強という調査結果があり、企業経営における潜在リスクが放置され、経営責任を問われかねない状況にある。一方、日本企業をターゲットにしたサイバー攻撃は激化傾向にあり、従来の体制や対策の見直しが急務となっている。NTTコミュニケーションズのセキュリティ・エバンジェリストでもある竹内文孝氏は、「BCN Conference 2015」のセキュリティセッションで、企業に求められるセキュリティリスクマネジメントについて語った。

既存の対策は脅威に対して無力

　セキュリティ脅威は、日を追うごとに増大している。機密情報や金銭の搾取を目的とした標的型サイバー攻撃は、もはや日常茶飯事だ。入口/出口対策をすり抜けるマルウェアは数を増やし、セキュリティ対策を講じている企業も安心できない状況になった。

　NTTコミュニケーションズが、ある国内企業を調査したところ、入口対策をすり抜けたマルウェアの数は、実に356種類にのぼったという。また、セキュリティ機器などが生成するログ170億件（50日間）を分析した結果では、C＆Cサーバーと通信している痕跡など危険度が非常に高い事象39件が確認された。

　このような状況を踏まえると、従来の管理・運用体制では、これらの痕跡をみつけることはほぼ不可能であり、標的型サイバー攻撃などの脅威に対抗できないといえる。

　「最近では、日本国内を標的とした『Blue Termite』が猛威をふるっている。Blue Termiteの攻撃は、機密情報や金銭の奪取ではない。真の目的はわからないが、日本企業がターゲットになっているのは事実だ。これからは、危機管理の視点をもってセキュリティ対策へ投資していかなければならない」と竹内氏は警鐘を鳴らす。

　竹内氏が強くセキュリティ対策への投資を呼びかける背景には、日本企業の危機感の欠如がある。セキュリティインシデントの発生要因を調べてみると、その50％超は内部関係者が原因。さらに悪いことには、セキュリティインシデントが発生した要因を特定していない企業も少なくない。このような状況では、いつインシデントが発生してもおかしくない。企業の情報資産を守るだけではなく、企業そのものを守るためにも、リスクマネジメントの強化を実施していかなければならない。

リスクマネジメント強化の三つのステップ

　竹内氏は、セキュリティマネジメント強化に向けて、三つのステップを提唱している。今回の講演でも、そのステップについて紹介した。

　ステップ1では、社内体制を整備して持続可能なリスクマネジメントフレームワークを導入することに重点を置く。ステップ2で、有事の際の体制を強化するため、インシデント対応ライフサイクルをベースに既存の体制や対策を見直す。ここまでステップアップできれば、脅威の前兆や兆候をつかみ、感染源の識別や駆除、封じ込め、被害拡大防止を実行できるようになるはずだ。さらに、ステップ3では、コーポレートガバナンスとそれを支える内部統制の仕組みを情報セキュリティの観点から構築・運用し、国内外のグループ企業やサプライチェーンに展開していく。

　このように、ステップアップしながら確実にセキュリティマネジメントを強化することによって、どのような効果が期待できるだろうか。それについて、竹内氏は「市場からの評価が高くなり、かつインシデント発生によって顧客が抱く不安感を不信感に変えないといったネガティブな反応を抑制する効果も期待できる」と説明。つまりセキュリティ投資は、企業価値の向上を実現するために積極的にするべきであるということだ。

「WideAngle」で総合的にサポート

　では、それぞれのステップに沿ってセキュリティマネジメントを強化するには、どうすればいいのだろうか。NTTコミュニケーションズでは、企業ICTのリスクマネジメントを総合的にサポートするソリューションとして「WideAngle」を立ち上げ、顧客企業のステップアップを支援しているという。

　「WideAngleシリーズが提供しているプロフェッショナルサービスやマネージドセキュリティサービスによる運用手法を取り入れれば、脅威の感染防止や未知の脅威検知、潜伏した脅威を封じ込めることができる。また、各種ログを相関分析することで脅威の誤検知や見逃しを減らして、インシデント対応ライフサイクルを強化することも可能だ。これらは、セキュリティガバナンスの構築を目指す企業に欠かすことのできない支援である」と竹内氏は訴える。

　竹内氏の言葉通り、確実なセキュリティマネジメントを遂行するためには、豊富な実績やノウハウをもつ事業者の支援が欠かせない。単純に製品やツールを導入しただけでは、何の解決にもならないのだ。脅威が複雑化し、日本企業がターゲットになった今、自社のセキュリティ対策を一から見直してみることが必須となる。