悪意をもった攻撃者によるサイバー攻撃のリスクが高まるなか、事業を展開する企業・組織には、脅威から情報を守るための事故発生後の対応までを含めた体制づくりが強く求められている。そのための有効なアプローチや必要となる組織力について、ユーザー企業、リサーチャー、ベンダー企業の有識者3人に、過去に経験した情報を交えながらそれぞれの視点で議論をしていただいた。

  • 001

参加者

ashihara

公益社団法人 ジャパン・プロフェッショナル・バスケットボールリーグ
常務理事・事務局長
葦原 一正 氏

2017年3月にてセキュリティインシデントを経験。
tsuji

ソフトバンク・テクノロジー株式会社
リサーチャー
辻 伸弘 氏

2017年7月にてセキュリティインシデントを経験。
muto

グローバルセキュリティエキスパート株式会社
執行役員 教育事業部 事業部長
EC-Council 統括責任者
武藤 耕也 氏

2017年10月にてセキュリティインシデントを経験。

セキュリティ体制づくりの最大の問題は「人を責める文化」にあり

セキュリティ対策の課題はITツールをただ導入すればよいというわけではない。そのツールを最適に運用するルール策定、ルールを遵守する風土の醸成など、様々な課題が存在する。まずはこの課題についてひもといていこう。

──昨年の不正アクセス事件(※参照リンク)の発生当時、セキュリティインシデントの要因となるリスクについて男子プロバスケットボールリーグ B.LEAGUEではどのように認識していましたか。

葦原:そもそも我々が行っているスポーツビジネスというのは、事故や薬物など選手の不祥事やSNSで炎上したりなど、予期できない様々なアクシデントが起きがちなので、日頃からリスクに対して敏感なんですね。いい意味でも悪い意味でもリスク慣れしているといえます。ただし、情報セキュリティに関わるリスクについては、あの事件が起きるまで、かなり意識は低かったといわざるを得ません。あのような事態が生じるなどと想定もしていませんでしたから。

辻:情報セキュリティリスクとスポーツビジネスにおけるリスク、両者の間に考え方の差があったということですか?

葦原:いえ、その逆です。スポーツビジネスにおけるリスクと同列でセキュリティインシデントを考えてしまったところに問題がありました。具体的には「とにかくすぐに公表すべき」という空気がありましたし、業界内にそのような意見もありましたが、実際にはインシデントに対応する運用側の対処が追いつかなくなってしまうということです。言い訳のように聞こえるかもしれませんが、このときは、まだリーグを立ち上げたばかりで組織を回すのに精一杯だった時期でした。チケット販売のシステムなども、いま思えばかなり無茶な工程で開発していたな、と。

──セキュリティリスクを適切にコントロールできるようあらかじめしっかりとしたルールをつくっておくことが大事なのでしょうか。

辻:ルールづくりはもちろん必要なのですが、その内容が本当に実効性のあるものなのかどうかが大きなポイントです。残念ながら、組織のセキュリティに関するルールには現実的ではないものも多いという印象を受けます。例えばセキュリティリスクの代表例の1つ脆弱性ですが、「発見したら24時間以内にアップデートしなければいけない」というルールがあったとして、そもそもどれだけの組織で本当にできるのか疑問が残ります。そしてうっかりルールが守れなかったために被害が生じてしまった場合、人が責められてしまう文化が最も大きな問題だと思っています。

武藤:「人は失敗するものである」という現実をしっかりと受け止め、それを想定したうえで、じゃあどうやってカバーするのかという発想を基点とした文化が、残念ながら日本のIT領域ではまだ根づいていませんよね。だけど本来そこは日本企業が強い領域であるはずなのです。そもそも日本が得意とするものづくりの世界では、しっかりとそうした文化が根づいているのですから。なにか問題が起きればそれは組織の責任であり、個人を責めないという文化は、多くの日本企業の生産現場の間に浸透しています。

辻:そのとおりです。ITの分野では「人的ミス」がよく語られますが、そうではなく、守るのが難しいようなルール自体に問題があるのではとまず疑うべきなのです。なので本当に大事なのは、IT領域においても「人を責めるのではなく方法(ルール)を責める」文化を根づかせることではないでしょうか。

武藤:個人ではなく組織の問題としてリスクに対処する文化がITの世界にも入ってくれば、すごいパワーとなるはずですからね。

葦原:うちでも今回の被害を機にしっかりとセキュリティ体制を築こうと、いま36のクラブで統一のセキュリティガイドラインをつくっているのですが、そこで重視しているのが、「ツール」と「ルール」そして「風土(=文化)」の3点を必ずセットで考えることです。例えば厳しいルールにするのであれば、それに対応したプラットフォーム、つまりツールを提供しなければいけないですし、そこまでしたとしても、「ツール」と「ルール」を活用する風土が組織になければ効果は発揮できません。そのため、まずはその風土形成こそが大事であって、初歩的な取り組みではありますが今年「Bリーグセキュリティ五箇条」をつくってその啓発ポスターを配布しました。他にも、全チームと集まって会議をしたり、トップが集まる会議の場でもくどいようにセキュリティの話をしたりするようにしています。

  • 005

同じ組織の「仲間」であるという視点を忘れずに

それでも、標的型攻撃など、個人を特定できるセキュリティインシデントへの対応では、いまだ「個人」がやり玉となってしまうケースがあるという。ここからは、そんな個人が特定されてしまう攻撃に対しても「組織」の問題と捉えられる風土の醸成に必要な考え方、醸成に役立つメソッドについて語っていただいた。

──標的型攻撃のように「個人」に責任が帰属しやすいリスクもあるなかで、たとえセキュリティ被害が生じても「組織」の問題として捉えられる文化を醸成するための効果的なアプローチはあるのでしょうか。

辻:葦原さんが組織のトップに積極的にセキュリティの話をしているというのはとても有効だと思っていて、やはりトップの関与というのは大事ですよね。当社の例を挙げると、昨年の夏に不正アクセスが確認されて情報流出の可能性が生じた際に、社長の阿多から全社員に向けたメッセージを発しました。そのメールに必ず入れてほしい文言として私からお願いしたのが、「これは決して個人の問題ではなく会社全体の問題です」という一文です。経営トップがこう言ってくれれば、もう誰も個人を責めようとはなりません。

  • 006

武藤:ただ、そういった風土、経営トップの思考をどのようにして生み出すかも難しい課題です。それまで縁のなかったお客様から、いきなり「すぐに来て」とインシデント対応で呼ばれることがあるのですが、そうした企業にうかがうとトップをはじめ対応方法について社内でのコンセンサスが得られていないと感じるケースが多いのです。

葦原:インシデントを経験しなければ、なかなか「会社全体の問題」であることに気づくことができませんからね。そういった企業には、どのようにすれば気づきを与えることができるのでしょうか。

武藤:訓練で標的型メールを開いてしまった人にペナルティを課しているような会社がいまだに結構あるのですが、まず「それだけは逆効果だからやめてください」とお願いするようにしています。こうした会社では、セキュリティ教育や訓練の対象に役員が含まれていないなどトップの理解不足が顕著に見受けられますので、その場合は「メール訓練を経営層を含む社員全員でやりませんか」と提案することが多いです。経営トップ層がメールを開いてしまうという「インシデント経験」をきっかけに、セキュリティを自分のこととして考えてもらうようにするわけです。

辻:こうした訓練をどのように活用するかも、重要な視点ですよね。もしも訓練でメールを開いた人を責めてしまうと、それを見ていた他の人たちが本当に攻撃メールを開いてしまった時に報告しなくなってしまいます。これではインシデント対応がうまくいかなくなるのは目に見えていて、逆に自分たちで脆弱性をつくってしまっていることにもなりかねません。最悪なのが、訓練メールの開封率が部門なり管理職なりの評価に関わるようなケースです。そうなってくると日頃から訓練メールがいつ来るかと皆でチェックしていて、いざ来たとなったら部門長が「いま訓練やってるからメールは開くな」と号令するという笑い話のような事態にもなります。こんなの、組織の中で疑心暗鬼になるだけですよ。

武藤:嘘のような話ですが、でも実際に多くの企業で発生していますからね。メール訓練を実施する場合には、結果をどのように従業員にフィードバックしてあげるか、風土づくりにどう活かしていくか、こういった視点が不可欠なのだと思います。たとえば同じ訓練をするにしても、訓練のアクセスログから(開封したかどうかだけでなく)、初動対応がしっかりできていたかどうかをチェックしたり、そもそも社内のルールやポリシーは整合性がとれているか?などをあわせて確認し、訓練後にみんなで検討会や勉強会を行ったりすることで、”風土づくり” ひいては “体制づくりへの気付き” が促されます。何度も訓練をリピートされるお客様では、こういった組織的・本質的な改善に貪欲です。訓練効果としても、ただ漫然と訓練しているよりも高い効果がありますね。

葦原:いますごく悩んでいるのが、こういったセキュリティ訓練や教育を行うとして、それをもっと楽しくできないかということでして……。うちでも抜き打ちチェックをやっているのですが、やはりどうしてもアメとムチで言う「ムチ」ばっかりの空気になってしまうんですよね。そうではなく、「間違えてもいいんだよ」と感じてもらえるような、もっとエンターテインメント的なセキュリティ教育のようなものができないかなと考えているところです。

武藤:すごく良いお考えだと思います。訓練を通してインシデントの怖さを知ることはもちろんですが、対策を前向きなものと捉え、積極的に対策に協力してもらえる、そんな理想的な体制がつくれるのではと思います。訓練で言えば、「初動対応に則った対応」ができたらポイントが付く、とか加点方式で行うことで、対象者の方の意識も変わります。 また、とあるお客様から「無味乾燥なテキストやeラーニングだと本気で読んでもらえないので、効果が見込めない。楽しめる教材を作れないか?」と相談された事で、我々も「MinaSecure」(独自のeラーニングサービス)を自作しました。実際、使って頂いたお客様から高評価を頂いています。やっぱり楽しいと続きますし。

葦原:従業員が前向きなかたちで取り組んでくれれば、組織に浸透しやすいはずですからね。実は先ほどお話ししたセキュリティガイドラインの名称も、こうした期待からわれわれの組織名にちなんだ「B.GUARD」としています。やはりセキュリティを文化として根づかせるのであれば、親しみやすさや楽しさなども必要なはずですから。

辻氏:そういったセキュリティリスクについて組織全体で前向きに向き合える文化というのは絶対に必要だと思います。日頃セキュリティ担当者というのは、経営層からは「いつも金ばかり使って」と叱責され、現場からは「あいつら業務をわかってない」と揶揄されがちです。だけど考えてほしいのが、同じ組織の仲間なのになぜ対立する必要があるのかということです。悪いのは組織の外側から攻撃してくる人間なのに、そこは見ないで仲間同士でいがみ合い、争うなんていうのはナンセンスですよね。なのでセキュリティについて考える際にも、「仲間」という視点を忘れないようにしてほしいですね。

──インシデント対応までを含めたセキュリティ体制づくりのポイントが見えてきた気がします。ありがとうございました。

  • shugo

GSXのセキュリティ教育サービス【標的型メール訓練サービス】


累計で333万アドレスを超える国内でも最大の実績を誇る標的型メール訓練サービス。情報セキュリティ専業コンサルティング会社として、ただ訓練を行うだけでなく、攻撃者(犯罪者)の手口やシナリオを解説しながら、インシデント発生時の実対応力向上を図る。訓練メール受信者のアウェアネス向上だけでなく、訓練後の報告書では組織全体のリスクコントロール改善に繋がる内容が浮き彫りになるため、事後の勉強会や、経営層向けの報告会まで含めたトータルな「体験型提案」が高い評価を得ており、数万ユーザーを有する企業からのリピート注文も数多い。近年ではメール訓練からインシデント対応までを一気通貫で全社を巻き込んで行う体験型インシデント演習(CSIRT訓練)や、実践的防御力向上のためのMicro Hardeningなど、「実対応力の向上」に繋がる様々なサービスを展開。訓練後のさらなる課題抽出や、人材育成/運用改善でも急激に需要が高まっている。


GSXの標的型メール訓練サービスの詳しい情報はこちら
https://www.gsx.co.jp/informationsecurity/attackmailtraining.html

グローバルセキュリティエキスパート(GSX)のホームページはこちら
https://www.gsx.co.jp/

[PR]提供:グローバルセキュリティエキスパート