• Z by HP
  • OMEN
  • Hyper X
  • Poly

経営戦略としてのサイバーセキュリティ~米国NIST 標準が経営に与える影響とは?~

9月14日(金)、東京ドームホテルで行われた日本HP 主催のセミナーにはサイバーセキュリティ対策の最前線を知ろうと、700 人を超す来場者が詰めかけた。

増大するサイバー空間の脅威に立ち向かうためのルールとは、対応策の新基準とは、今すぐに導入可能なソリューションとは―。セミナーの要点を報告する。

「デジタル革命フェーズ2」の今日本企業に求められる役割とは

デジタルテクノロジーの後押しによって時間や距離、国を超えたビジネスの展開が容易になり、われわれはさまざまなメリットを享受している。だが、それはサイバー攻撃者にとっても同様だ。脅威のボーダーレス化が進む中、企業にとって、そしてもちろん国家にとって、サイバーセキュリティは重要な意味を持つ。

「サイバーセキュリティ」という言葉を耳にしたとき、多くの人は個人情報の漏洩やランサムウェアの被害を連想することだろう。これらも深刻な課題であることに変わりはない。だが、大局的な視点から見ると、サイバーセキュリティは、日本の産業がこの先グローバル市場で生き残れるかどうかに関わる経営戦略上の課題となっている。

日本HPが2018年9月14日に開催したセミナー「経営戦略としてのサイバーセキュリティ」で、冒頭の挨拶に立った自由民主党行政改革推進本部本部長(開催当時)の甘利明氏は、自民党のIT戦略をリードする立場から、「世界中でデジタル革命が進行する中、社会を動かす力がデータになる『データドリブンエコノミー』にどう対処するかが各国の最大の課題だ」と述べた。

果たして、日本はこの社会変革に対応できるのか―それが最大の懸念事項だと甘利氏は言う。デジタル革命は今、バーチャル市場でのシェアを争うフェーズ1から、リアルの世界とリンクするフェーズ2へと移行しつつある。工場や車の実走行データ、あるいは医療・介護など、リアルの世界からデータを集め、解析し、活用するソリューションを与える側、すなわち「リアルデータのプラットフォーマー」となる企業が、米国や中国だけでなく日本から登場することに甘利氏は期待しているという。

だが、激変する世界の中、時間は限られている。しかも米国政府は、製品のみならずそれを構成する部品も含め、サプライチェーンにまたがるセキュリティ強化を課す姿勢を鮮明に示している。米国市場に多くの製品や部品を提供する日本の産業界にとっては、このセキュリティチェックを満たせるかどうかが、この先、市場に存在し続けられるかどうかを左右する。「デジタル革命、データ革命は決して自社とは関係のない事柄ではなく、しっかり動向を見据えていく必要がある」(甘利氏)

自由民主党行政改革推進本部本部長 甘利 明

神奈川県第13区(当選回数12回)内閣府特命担当大臣(経済財政改革)・経済再生担当、党政務調査会長、党広報本部長、行政改革・規制改革・公務員制度改革担当大臣、労働大臣などを歴任。

防衛産業のサプライチェーン全体を官民のスクラムでセキュアに

防衛省とサイバーセキュリティというと、「自衛隊が日本のサイバー空間をどのように攻撃から守るのか」といった観点から語られがちである。だが、防衛装備庁長官官房審議官の藤井敏彦氏は、「産業界との接点においても、セキュリティが大きな意味を持つようになっている」と述べた。

防衛省にしても米国防総省にしても、国防当局は民間企業から非常に多くの物資を調達し、大きなサプライチェーンを構築している。

「この多層にまたがる防衛産業のサプライチェーンで、防衛に関する機微な情報をどうやって守っていくかが課題になる」(藤井氏)。さもなければ、新たな装備品の共同研究を行っている各国からの信頼が得られないからである。「もしセキュリティレベルに違いがあると、共同研究の障害になる恐れがある。日本の防衛産業のサプライチェーンがセキュアであるという事実のみならず、そのことを諸外国政府からも信頼してもらうことが重要だ」(藤井氏)

このため、防衛省では今のセキュリティ対策を、「NIST SP800-171」(NIST:米国国立標準技術研究所)という、米国のセキュリティ標準と同程度の水準にまで向上させようとしている。

SP800-171は、「Controlled Unclassified Information」(CUI:管理された非格付け情報)を扱う民間企業がどういった対策を講じるべきかを示したガイドラインで、米国防総省をはじめとする連邦政府機関に対するガイドライン「NIST SP800-53」と対応したものだ。すでに米国防総省は、すべてのコントラクターに対し、2017年12月末までにSP800-171相当の対応を講じることを要求している。

防衛装備庁 長官官房審議官 藤井 敏彦

独立行政法人経済産業研究所 コンサルティングフェロー経済産業省 防衛装備庁長官官房審議官(前経済産業省通商政策局通商政策課長、経済産業省資源エネルギー庁資源・燃料部長)1987年東京大学経済学部卒業、1994年ワシントン大学にてMBA取得。2000年在欧日系ビジネス協議会(於ブラッセル)事務局長、対EUロビイストとして活動。帰国後、慶應大学法科大学院客員講師(EU法)、埼玉大学大学院経済科学研究科客員教授等(企業と公共政策)を経て現職。日本の対EUロビイストの草分けであるとともにWTOなど世界的ルールメイクに通暁している。

主な著書に『競争戦略としてのグローバルルール』(東洋経済新報社)、『ヨーロッパのCSRと日本のCSR』(日科技連出版社)、『EUのガバナンスと政策形成』(共著、慶應義塾大学出版会)などがある。

サイバーセキュリティが大局的な経営戦略のポイントに

サイバーセキュリティというと、とかくテクニカルな話になりがちだ。しかし、多摩大学ルール形成戦略研究所所長の國分俊史氏によると、「サイバーセキュリティは単なる技術の話ではないし、情報漏洩の話でもない。複合的な論点から経営戦略を考えていくべき話だ」と言う。

背景にはいくつかの大局的な動きがある。一つは米国と中国の「経済戦争」だ。各国が戦略的に貿易戦争、経済戦争を繰り広げる中、自社にどんなチャンスや機会損失があり得るかを考えるのは経営の役割。サイバーセキュリティはその中で考慮すべきポイントの一つとなっている。

國分氏によると、米国は国家安全保障戦略の重要なテーマとして産業界の底上げを図っており、セキュリティ産業はその中で重要な役割を担ってきた。NIST SP800-53や171といったセキュリティガイドラインも同じ文脈で、2010年頃から戦略的に整備されてきた。今やこれらガイドラインは、防衛調達に関わる企業に止まらず、北米市場で活動する全産業と世界に散らばっているそのサプライヤーに対応が求められる状況になりつつある。基準を満たさなければ、サプライチェーンからの退出を迫られることになりかねない。「われわれはそれを前提に企業戦略を考えるしかない」と國分氏は言う。

2018年8月には米国で、ITインフラ・通信機器として中国製製品を利用している企業と米国政府の取り引きを禁じる米国防権限法が成立した。また、オーストラリアも5Gネットワークインフラの構築から中国製製品を閉め出す決定を下している。「では、我が国はどうするのか。このトレンドをどう読み解くかは皆さんの判断にかかってくる」と國分氏は述べ、「サイバーセキュリティに関するルールを一つの起点にして貿易圏をつくる中で、自社の展開を考えなければならない」とした。

多摩大学 ルール形成戦略研究所 所長 國分 俊史

多摩大学大学院 教授 ルール形成戦略研究所所長、デロイト トーマツ コンサルティング執行役員、パシフィックフォーラムCSIS シニアフェロー。早稲田大学大学院公共経営研究科修了。

IT企業の経営企画、シンクタンク、A.T.カーニー プリンシパルを経て現職。社会課題起点のルール形成戦略の第一人者として通商政策の支援や政・官・民連携によるイシューエコシステム作りを様々な社会課題について推進。また、社会課題が安全保障に係るテーマであることからも、安全保障経済政策のアドバイザーとして政府の委員等も歴任。日本企業の弱みである安全保障経済政策やルール形成を切り口としたグローバル戦略の立案から世界各国のポリシーメーカーとの連携まで取り組んでいる。

攻撃から回復し、事業を継続させるこれからのセキュリティ

これまでのセッションの内容を受けて、HPのBoris Balacheff氏が、長年セキュリティリサーチに携わってきた立場から、昨今のサイバーセキュリティの動向とHPの取り組みを紹介した。

Balacheff氏は、今、脅威を巡って大きく二つのトレンドがあるという。一つは、攻撃がシステムのより深いところを狙い始めたことだ。「攻撃者は検知の網をかいくぐるため、OSよりも下のファームウェアに入り込もうとしている。従来のアンチウイルス製品では見つけられず、ひとたび侵入すればシステム全体をコントロールできるため、攻撃者にとってうまみのある手法だ」(Balacheff氏)

もう一つのトレンドは攻撃内容の変化だ。かつてと異なり、ターゲットのシステムからさまざまな情報を盗み取ったり、金銭を狙う攻撃へと徐々に変化してきた。さらに「最近ではファームウェアを書き変えてアップデートを妨げたり、マシンの動作を停止させ、ビジネスを止める攻撃へと変わってきた」(Balacheff氏)。その顕著な例が、ウクライナの変電所を停止させた攻撃であり、2017年に多くの被害を発生させたWannaCry(Windowsを攻撃するランサムウェアの一種)というわけだ。

HPではこの傾向を踏まえ、仮に脅威があっても「使い続けられる」マシンの開発を、インテルやマイクロソフトといったパートナー企業との協力で進めてきた。ファームウェアやハードウェア面でもセキュリティを考慮し、保護だけでなく回復も実現する「HP Sure Start」をはじめとする独自の技術により、「ハードウェアの侵害を検知し、レポートし、自動的にリカバリできるようにする」(Balacheff氏)

この機能は、BIOSに関するセキュリティの標準を定めた「800-147」やファームウェアのレジリエンス要求をまとめた「800-193」といったNISTのガイドラインにも適合する。これが、HPが主張する「世界で最も安全なPC」である理由の一つだろう。

Balacheff氏は「次なる攻撃からどう保護するかだけでなく、そこからどのようにリカバリし、ビジネスを継続していくかを考える必要がある」と強調。今後のIT機器調達・選定時には、標準化の動向を正しく理解し、最低限の要件としてNISTをはじめとするガイドラインを適切に活用し、ビジネス上クリティカルなシステムには、最新のレジリエンス(自己回復)の技術を視野に入れたセキュリティ要件が必要だとした。

HP inc. Fellow & VP, Chief Technologist for Security Research and Innovation Boris Balacheff

HP Labsのシステムセキュリティリサーチ&イノベーションにおけるチーフテクノロジスト。

40以上の米国特許の発明者で、応用数学とコンピュータサイエンスのフランス工学学校であるISIMAからフランスのDiplomed' Ingenieur学位を取得してHP Labsに入社。コンピューティング技術の初期の発明者の一人であり、このトピックに関する最初のテクニカルブックを共同執筆している。Trusted Computing Group(TCG)の取締役会でHPを代表し、認定プログラム委員長を務めている。

スマートカードを中心としたPC/SCワーキンググループの技術委員会でにHPの代表として参画していたが、その後Trusted Computing Platform Alliance(TCPA)Trusted Computing Groupの技術委員会で、最初のTCG仕様を共著し、現在の企業向けPCの標準的なセキュリティ機能であるTPMの仕様策定にも関わるなど、HP Labsでのセキュリティ研究のキャリアを通して、内部的にも外部的にもサイバーセキュリティのイノベーションを一貫して支持してきた。

本業のため、ビジネスのためのセキュリティ支援を推進

日本マイクロソフトの技術統括室チーフセキュリティオフィサー(CSO)を務める河野省二氏は、長年にわたってセキュリティ業界に携わってきた経験を踏まえ、「セキュリティ専門家」のあり方に苦言を呈した。「セキュリティ専門家はついセキュリティ重視で物事を語りがちだが、セキュリティはそもそも本業のためにある。セキュリティファーストではなく、ビジネスファーストでなくてはならない」(河野氏)

そして、企業の生産性を損なわないセキュリティを実現するために、「機密性」だけでなく、改ざんを受けていないことを確保する「完全性」や、事業を継続させる「可用性」という三つの要素について、まんべんなく見ていく必要があると説明した。

ただ、どこまでセキュリティ対策を行えば十分なのかわからない、という声は多い。河野氏は、NISTのサイバーセキュリティフレームワークに盛り込まれた「リスク受容」と「補正的対策」という概念を紹介し、「小さな失敗にすぐ気づいて修復し、そこから学習してさらに強く、レジリエンスを高めていく補正的対策を実現するためにも、リスク受容レベルを定め、改善のサイクルを回していかなければならない」と述べた。

マイクロソフトはこうしたセキュリティ標準・基準づくりに携わりつつ、多くの製品・サービスをSP800-53に準拠させてきた。Microsoft365で提供している「Identity as a Service」でなりすましを防ぐほか、AI技術を活用し、普段とは異なる怪しい行動を見つけ出したり、クラウドやAPIを介してデータを収集・連携したりと、さまざまな側面から対策を支援している。

河野氏は、こうした取り組みを通じて「Trustworthy(信頼できる)環境を提供し、セキュリティを保てるようにしていく」と述べ、利用者が安心して利用できる環境づくりをするとして話を結んだ。

最後に、日本HP専務執行役員パーソナルシステムズ事業統括の九嶋俊一氏が閉会の挨拶に立ち、「本日は、多くの新しい情報をお伝えしました。もう一度、内容を確認したい、上司やご同僚などに共有したいといった皆様のために、当社が運営支援する『Tech & Device TV』という情報サイトでイベントレポートを配信します。また、本日の登壇者メンバーに資料ダウンロードの許諾もいただいておりますので、自社がNIST対応を検討する際のヒントにしていただければ幸いです」と語り、セッションを締めた。

日本マイクロソフト株式会社 技術統括室 チーフセキュリティオフィサー(CSO) 河野 省二

セキュリティベンダーにおいて情報セキュリティコンサルティング事業を立ち上げ。経済産業省 情報セキュリティ監査研究会委員として情報セキュリティ監査制度立ち上げ、日本セキュリティ監査協会 スキル部会副部会長(役員)。クラウドを利用したビジネススタートアップ支援コンサルなども実施している。経済産業省のクラウドセキュリティガイドラインを執筆。ISO/IEC 27017(Cloud computing security)の策定に国内リーダとして参加。

CISSPなど国際的な情報セキュリティ資格の主任講師など。2017年12月より、日本マイクロソフトにて、技術統括室 Chief Security Officer。

今すぐ経営戦略に組み込みたいNISTとレジリエンスへの対応

併設された展示会場には、セッションで紹介されたNISTのセキュリティガイドラインに対応した「世界で最も安全なPC」が並び、多くの来場者が実際に手に取る姿が見られた。

本セミナーでは、NISTガイドラインなどのスペシャリスト、防衛装備庁の担当者、HPのセキュリティリサーチのフェローや日本マイクロソフトのセキュリティスペシャリストといった錚々たる面々から、ふだん聞くことができないトピックが語られ、最新の情報を入手できるまたとないイベントとなった。

世界標準のセキュリティ対策は、安全性の高いITの導入、組織設計、サプライチェーンを含めて、さらに考慮の必要性が高まることはあっても、低くなることはない。NISTガイドラインへの対応をいち早く経営戦略の中に組み込むことが重要である。そして、近年、最も狙われやすいシステムであるPCやプリンターなどエンドポイントは「マルウェアに突破されることを前提」としながら、レジリエンスを備えた機器を調達するべきだ。

日本の産業界は想像以上にサイバー攻撃を受けており、残念ながらその頻度はますます増加している。今後は、日本国内においても自社が攻撃を受けた際の対応コスト削減や被害の最小化を考慮した投資や体制づくりが、ビジネスを進める最低条件となっていくだろう。

【Tech&DeviceTVはこちらから】

このセミナーの講演資料がダウンロードできます
https://info.techdevicetv.com/180914_security.html

お見積り・ご注文のご依頼

法人のお客様

0120-830-130

官公庁、教育/研究機関、医療機関のお客様

0120-703-203

受付時間 : 月曜日~金曜日 9:00~18:00 (土・日曜日、祝日、年末年始 お休み)

  • ● Eメールでのお問い合わせ
  • ご意見・ご要望および製品に関するご質問を
    申込フォームにてお伺いいたします。
    弊社からのご返答はEメールとなります。
  • ≫ お問い合わせフォームこちら

製品仕様についてのお問い合わせ

● 製品仕様について

0120-436-555

携帯電話・PHS 0120-080-555

受付時間 : 月曜日~金曜日 9:00~18:00
(土曜、日曜、祝日、5月1日、年末年始など、日本HP指定の休業日を除く)

ご購入後のご質問と修理受け付け

● ビジネスデスクトップ、ビジネスノートPC

操作や技術的なお問い合わせ

0120-566-589

受付時間 : 月曜日~金曜日 9:00~21:00、
土曜日 9:00~17:00

修理受付や修理状況のお問い合わせ

0120-206-042

受付時間 : 月曜日~金曜日 9:00~19:00、土曜日9:00~17:00

●その他の製品

製品・技術的なご質問や修理に関するお問い合わせは こちら から

  • ※Windowsのエディション、またはバージョンによっては、ご利用いただけない機能もあります。 Windowsの機能を最大限に活用するには、ハードウェア、ドライバー、およびソフトウェアのアップグレードや別途購入、またはBIOSのアップデートが必要となる場合があります。 Windows 10は自動的にアップデートされ、常に有効化されます。 ISPの料金が適用され、今後アップデートの際に要件が追加される場合もあります。 詳細については、http://www.microsoft.com/ja-jp/ をご覧ください。