「攻撃者の背景」が変わった今、重きを置くべきCSIRTの本質とは（後編）

株式会社富士通マーケティング 商品戦略推進本部 藤田 和重

市場はISMSよりプライバシーマークの取得を重視へ
その背景とは

―― 前編では、CSIRT（用語解説1）には適確な対策を実行する「判断力」こそが大切であるというお話しでした。CSIRTに求められる「判断力」は、例えば、GDPR (用語解説2)や個人情報保護法など法規制に対応するために、どのような対策が必要かを正しく判断するときにも求められますね。

藤田： その通りです。法規制への対応では、富士通マーケティングの調査（注1）でとても興味深い結果がでています。企業に「取引先からセキュリティ調査依頼のあった内容」を聞いたところ、「プライバシーマーク（以下、Pマーク）を取得していますか」と確認された件数が、ISMS取得に関する調査よりも多かったのです。この調査結果は数年前と完全に逆転しています。

• セキュリティ調査レポートに関する
  『ホワイトペーパー』ダウンロード

これが何を意味するのか。印刷業界を例にとって説明します。例えば大手の印刷会社が下請の印刷業者にダイレクトメール（DM）の印刷業務を委託したとします。その際、当然、DMの送り先など個人情報を渡します。大手企業は対外への信頼性確保のためPマークを取得しているケースが多いですが、Pマークを取得している企業が個人情報を外注先などに渡す場合、外注先の個人情報の取り扱いに対するレベルを審査して、審査基準に満たない場合は取引してはいけないというルールがあります。

その審査はJIS Q15001に基づいて実施しなくてはならず、ようするにPマークを取得している企業は、自社と同等の個人情報の取り扱いレベル（厳密に言うと国内法である個人情報保護法が定める安全管理義務等への適法レベル）かどうかを詳細に審査しなくては外注先に発注できないのです。ただし、外注先がPマークを取得していれば、この審査は不要になるので、発注しやすい。だから、個人情報の利活用の多い流通サービス業では取引先からPマークを取得しているかどうかの調査件数は徐々に増えていたのです。

そしてもうひとつ、Pマーク取得に関する調査がISMS取得調査を上回る事になった新たな理由があります。それは、GDPRへの対応です。不適切な取り扱いでEU域内に在住する個人の情報を漏らしてしまったら、天文学的な制裁金が企業に課せられます。実際にBritish Airwaysは250億円、グーグルは62億円の制裁金が課されており、現在係争中です。

しかも、先の大手の印刷会社の例でいえば、外注先が個人情報を漏らした場合でも、その責任は発注元、つまりは大手の印刷会社にあります。これはGDPRと国内法である個人情報保護法に共通するルールです。大手の印刷会社なら、例えば国内にある外資系ホテルのキャンペーンのDMを、EU域内を含めた世界中の個人に送付するために印刷するといったケースもあるでしょう。

そのときに、外注先がその個人情報を漏らしてしまうと、GDPRの莫大な制裁金が課せられてしまいます。そこで、外注先が個人情報の適正な管理ができているかどうかをPマークの有無で判断しようとしているのです。Pマークを取得しているから万全とは言い切れませんが、少なくともPMS文書（個人情報保護管理文書）の審査基準は満たすため、取っていない企業と比べれば、注文を出す側のリスク観点からすると相当な差があります。

さらに、GDPRに抵触するリスクは業種・業態に関係ありません。もともとは流通サービス業において、取引先からPマーク取得に関する調査が増えていましたが、現在では、流通サービス業以外でも予想外に増えています。そのこともあって、Pマーク取得に関する調査の件数がISMSを逆転したのです。

ただし、Pマーク取得に関する調査の件数が増えてきたとはいえ、個人情報の漏えいがどれだけ企業にとって致命的な損害をもたらすリスクがあるか、そのリスクアセスメントの甘さは、まだまだあります。特にITセキュリティのみにフォーカスしてCSIRTを組織してしまうと、「個々のメールアドレスが外部に漏れたことくらいで、自社のサイバーリスクが急増することはない」と考え、「個人情報を守ることより、新たなマルウェアへの対策を」となりがちです。つまり、「個人情報の漏えいが抵触する法規制や国際的ルールによっては企業の存続を危うくする可能性もある」とは考えないので、個人情報に付帯するリスクを正確に評価しないのです。

本来、個人情報に付帯するリスクは一括りにはできないはずなのです。しかし、ISMSに代表されるリスクアセスメントにおいては、「個人情報」として一括りにしているケースが散見されます。個人情報に付帯するリスクを正しく理解するには、「GDPRに抵触する個人情報なのか？」「国内法の要配慮個人情報に該当するのか？」「保有個人データなのか？」など固有のリスク数値をリスクアセスメントに反映させておく必要があります。

そうしなければリスクに応じたセキュリティ対策は難しくなります。「個人情報」はその属性によって、致命的な損害を企業にもたらすことを判断し、対策を講じるべきなのです。

―― 個人情報の漏えいがGDPRに抵触するリスクがあるという視点に立つと、急激に広まったテレワークによる被害の拡大も懸念されます。「被弾前提」を意識してなかった場合のテレワーク実施に伴うリスクと、本来あるべき事前対策を教えて下さい。

藤田： 新型コロナウイルス感染症の拡大で、テレワークが浸透しましたが、多くの企業ではテレワークを実施するにあたっての十分なセキュリティ対策が取られていません。不測の感染症により出勤が困難となり、いきなりテレワークへの切り替えを迫られ、やむを得ず私物の業務利用であるBYOD（用語解説3）を認めてしまっているといったケースが非常に多いのです。
私物パソコンのセキュリティレベルは業務で使用しているパソコンより下がるケースが多く、BYODはサイバー攻撃に対して脆弱になるケースがほとんどです。

また、富士通マーケティングの調査では、テレワークの被害実態としてパソコンやタブレット端末、スマートフォンなど端末の盗難、紛失が最も多くありました。テレワークの場合は、会社と自宅間のパソコン持ち運び中の盗難、紛失リスクが格段に上がります。シンクライアントの端末を使っている企業であれば、盗まれても被害を最小限に抑えられますが、そうでない場合は、そのまま業務上の重要なデータも盗られてしまう可能性が極めて高いです。私物パソコンのOS標準パスワードを解除する不正ツールはダークウェブで入手可能です。つまり、先にお話しした個人情報の漏えいリスクが格段に上がってしまうのです。

その対策の一つとして、パソコンなど端末にログインするときの多要素認証の導入があります。こういった、世の中の全体の動向を注視しながらの判断もCSIRTがきちんと機能していれば、働き方改革、テレワークの実施といった流れの中で、セキュリティ投資の優先順位が高い対策として判断できます。しかも、生体認証とパスワードの組みあわせでは、指紋認証は日常生活において当たり前のように使われるSNSでアップされる写真のピースサインからも解析されてしまう今、手のひら静脈認証を導入すべきといった最新の動向を把握した適確な対策を実施できます。

また、「被弾前提」でテレワーク運用を考えるなら、万が一の侵入に備えてエンドポイントでの検知と早期の対応を重視したセキュリティ対策であるEDRの重要性も高まります。限られたセキュリティ対策の予算をEDRに振り分けることも大切ですが、富士通マーケティングの調査では、EDRへの投資を実施している企業はまだ少ない状況です。こうした判断もCSIRTの重要な役割になります。

メールアドレスの「真のリスク」に気づき
組織として「対策する力」を強化する

藤田： 前編で、「誰もが攻撃者」で「総当たり攻撃」を仕掛け、で狙われるのは「メールアドレス」とお話ししました。メールアドレスの漏洩は、個人情報の漏洩です。メールアドレスを盗まれても、たいしたことはないと思う経営者もいるでしょう。確かに、メールアドレスが不正に利用されても被害実態は少ないかもしれませんが、もし、そこにEU域内の個人のメールアドレスが含まれていて、GDPRに抵触したら、事業の存続が危ぶまれる莫大な制裁金が課せられます。

さらに、約60％の企業がサイバー攻撃を受けていることに気がつかず、攻撃を受けてから平均262日も経過してから気がつくという事実も説明しました。GDPRでは、個人情報が漏れてしまった場合、「72時間以内」に当局に報告しないとなりません。制裁金の対象になってしまうのです。でも、気がつかない企業が60％もあって、平均262日もかかるのであれば、72時間以内の報告はほぼ不可能です。

そのためにはSOC（用語解説4）が不可欠になります。ただし、前編でも説明しましたが、「技術者（SE）の集合体」としてCSIRTを発足させてしまうと、セキュリティに対する責任感もあって、つい「SOCを自前でまかなおう」と考えてしまいがちです。「72時間以内」というGDPRへの対応を考えると、本来、SOCには24時間・365日、自社のシステムを監視することが求められます。

自前で組織するには、優秀なSEを最低でも6人、交代制で配置しなくてはなりません。ほとんどの企業では、これだけの要員を確保するのは難しいでしょう。それにもかかわらず、自前でやろうとすると、例えば「営業時間内だけSEを配置して対応すればいい」など、「『できるところまで』できればいい」と中途半端な判断をしてしまうこともあるのです。

このように「SOCを自前でまかなおう」とすると、途端に「無理」がでてきてしまいます。そこで、外部のサービスを利用すべきというお話しもしました。

こう考えてくると、セキュリティ対策は一つひとつが個別に存在しているのではないことがおわかりいただけると思います。「メールアドレスが盗まれないように適切な対策を取る」ことは、それだけではなく、GDPRに抵触するリスクを低減することにもつながります。万が一、制裁金を課せられたら企業存続の危機になるケースがあることを考えると、メールアドレスの真のリスクに気づき、適切な対策を取る、つまり、企業として、組織とした対策する力、組織力を強化することこそが重要になります。

若年層も含め、誰もが簡単に攻撃者になれる時代には、小遣い稼ぎに仕掛けた攻撃が企業に甚大な被害をもたらす可能性があります。また、新型コロナウイルス感染症の拡大もあり、準備不足のためBYODでテレワークを継続せざるを得ない企業も増え、データ漏洩のリスク範囲は従業者の家庭にまで広がり、ますます高まっています。だからこそ、「被弾前提の対策組織」としてCSIRTを発足させ、サイバー攻撃に対して適切な対策を取り、経営リスクを少しでも減らすことが求められているのです。

富士通マーケティングはITセキュリティに限らず、経営層に限定したCSIRT構築研修も提供可能です。

サイバーリスクに対する「組織力」の強化は我々にお任せください。

（注1）富士通マーケティングが独自に実施した民間企業1,000社への聞き取り調査 / 2020年3月実施

1. CSIRT（Computer Security Incident Response Team）/ シーサート
   コンピュータやネットワーク上で何らかの問題（主にセキュリティ上の問題）が起きていないかどうか監視すると共に、万が一問題が発生した場合にその原因解析や影響範囲の調査などを実施する組織の総称。
2. GDPR（General Data Protection Regulation）
   個人データ保護を企業や組織・団体に義務付ける欧州の規則で、個人データの欧州経済領域外への移転規制や、データ漏洩時の72時間以内の報告義務などが規定されています。違反した企業や組織・団体には、グループ全体の年間売上の4%または2,000万ユーロのうち、いずれか大きい方を上限とする罰金が課される可能性があります。
3. BYOD（Bring Your Own Device）
   個人が所有するパソコン・タブレット・スマートフォンなどの端末を職場環境に持ち込み、仕事上で活用することを指します。
4. SOC（Security Operation Center）/ ソック
   24時間365日休むことなくネットワークやデバイスの監視をして、サイバー攻撃の検出と分析、対応策のアドバイスを行う組織の総称。