ガートナー ジャパンは7月11日~13日、年次イベント「ガートナーセキュリティ&リスク・マネジメントサミット2016」を開催した。本稿では、2日目に行われた講演の中から、ソリューション・プロバイダー・セッション「サイバー攻撃に向き合う経営戦略と富士通の挑戦」をレポートする。
シフトすべきセキュリティの概念 - 情報の保護から事業の保証へ
富士通 グローバルマーケティング部門エバンジェリスト 太田大州氏 |
当日、登壇したのは富士通 グローバルマーケティング部門エバンジェリストの太田大州氏だ。講演の冒頭、氏は現代社会を「あらゆるモノがつながる世界」と定義。「その背景にあるのはデジタル技術の波です。サイバー空間はますます拡大・高度化していくでしょう」と展望を語った。
デジタル技術の波には大きく4つある。2000年頃に起きた第1の波が「インターネット」であり、2010年頃に起きた第2の波が「モバイル・インターネット」である。そして、2020年には500億個ものモノがつながる「IoT」が第3の波として訪れ、今後は第4の波として「AIとロボティクス」が普及していくと予測される。富士通は現在、既にこの第4の波を見据えて動いているという。
そんなデジタル技術の進化の中で、優先度が高まっているのが「セキュリティ」に関する課題の解決だ。しかし、太田氏は「現状で提供されているセキュリティに関する機能や製品では、お客様の本質的な課題を解決できていないと考えています」と説明する。
氏によれば、これまでは情報だけを守る「Information Assurance」という考え方が主流だったが、今後は事業そのものを保証していく「Mission Assurance」という考え方にシフトするべきだという。
というのも、デジタル技術の波が進んでいくと、サイバー空間の異常がリアルビジネスにもたらす影響が増大するからだ。つまり、今後はセキュリティの事故を前提とした上で、いかにリスクを低減するか、すなわち事業を保証するかを考えるべきなのだ。
大切なのはまず「知る」こと
では、現在のサイバー攻撃にはどんなものがあるのか。急増しているのは「標的型攻撃による情報流出」と「内部不正による情報漏えい」。さらに、新しいセキュリティの脅威として「ランサムウェア」を使った詐欺や恐喝も増えている。
太田氏によると、特に米国では個人情報の売買価格が25ドル程度から6ドル程度に低下しており、攻撃者から見ても個人情報売買が効率の悪いビジネスモデルになっているという。そのため、「今後はランサムウェアが幅を利かせてくるのではないか」と予測を示した。
さらに氏は、4年ほど前から分析してきたというサイバー攻撃の攻撃主体とその狙いについて次のように整理する。
例えば、攻撃の目的・動機が「自己満足や信念」によるもので、攻撃者が「個人」であれば、それは興味本位によるものだ。一方、「信仰や国防」を目的として「組織や国家」が動くと、これは「サイバー戦争」や「サイバー諜報活動」と呼ばれるものになる。
さらに「経済的利益」を求めてプロハッカーたちが「集団・組織」で動くケースも多い。この攻撃による被害の具体例としては、オンラインショップへの攻撃やITベンダーへの攻撃、顧客情報漏えいなどが考えられる。
太田氏は、「重要なのは、自分たちがどういう立場に位置しているのか、そして攻撃者が今どういう動きをしているのかを知ることです。『うちは大丈夫だよ』と言う方もいますが、その根拠をしっかり持つ必要があります」と忠告した。