デジタルテクノロジーの後押しによって時間や距離、国を超えたビジネスの展開が容易になり、私たちはさまざまなメリットを享受している。だがそれはサイバー攻撃者にとっても同様だ。脅威のボーダーレス化が進む中、企業にとって、そしてもちろん国家にとって、サイバーセキュリティは重要な意味を持つ。その中で経営者は状況をどのように見極め、どんな指針を元に、サプライチェーン全体にまたがる戦略を定めるべきだろうかーー日本HPが2018年9月14日に開催したセミナー「経営戦略としてのサイバーセキュリティ」では、地政学的な動きや標準動向、脅威の最前線を知る講演者が登壇し、そのヒントを紹介した。今回のパートナーニュースでは、当日の様子をお届けする。

●デジタル革命フェーズ2において日本に求められる役割とは

 冒頭の挨拶には、自由民主党行政改革推進本部本部長を務め、自民党のIT戦略もリードする甘利明氏が登場。「世界中でデジタル革命が進行する中、社会を動かす力がデータになる『データドリブンエコノミー』にどう対処するかが、各国の最大の課題だ。同時に、これまでアナログだったものがデジタル化することで、大量のデータが一挙に流れていくことになる。セキュリティという問題が今までの数百倍、数千倍の重要性を持つことになる」と述べた。


 果たして、日本はこの社会変革に対応できるのかーーそれが最大の懸念事項だと指摘する甘利氏。デジタル革命は今、バーチャル市場でのシェアを争うフェーズ1から、リアルの世界とリンクするフェーズ2へと移行しつつあるという。工場や車の実走行データ、あるいは医療・介護など、リアルの世界からいかにデータを集め、解析し、活用するソリューションを与える側になるか、すなわち「リアルデータのプラットフォーマー」となる企業が、米国や中国だけでなく、日本からも続々と登場してくることに期待を寄せた。


 それには、「TPPのように公正で透明性のあるルールや標準作りが不可欠だ。そしてこの中で日本は、プライバシーや情報の安全性を重視するヨーロッパ諸国、自由闊達なデータ活用を推進する米国、それぞれの利害を調整し、いいところを生かし、情報の安全を図りながらフルに活用するデータドリブンエコノミーを展開することが求められる」とした。


 ただ、激変する世界の中、残された時間は多くない。しかも米国政府がさまざまな製品のみならず、それを構成する部品も含め、サプライチェーンにまたがるセキュリティ強化を課す姿勢を示している。これは一定のセキュリティチェックを満たせるかどうかが、この先市場に存在できるかどうかを左右することになる。そう考えると「デジタル革命、データ革命は決して自社とは関係のない事柄ではなく、しっかり動向を見据えていく必要がある」と甘利氏は会場に呼び掛けた。

●防衛産業サプライチェーン全体のセキュリティを、米標準に沿って一段高く

 防衛省とサイバーセキュリティというと、「自衛隊が日本のサイバー空間をどのように攻撃から守るのか」といった観点から語られがちだ。だが防衛装備庁長官官房審議官の藤井敏彦氏は、「防衛装備庁が来年度から始める新たな調達基準の考え方」と題した基調講演の中で、「産業界との接点においても、セキュリティが大きな意味を持つようになっている」と述べた。


 具体的には、防衛産業のサプライチェーンの中で機微な情報をどのように守るかが問われている。防衛省にしても米国防省にしても、国防当局は民間から非常に多くの物品を調達し、大きなサプライチェーンを持つという特徴がある。その中で「防衛省の敷地だけ守っていても意味はない。多層にまたがる防衛産業のサプライチェーンで、防衛に関する機微な情報をどうやって守っていくかが課題になる」と藤井氏は指摘した。


 これには切実な背景がある。防衛省は米国、英国などさまざまな国と新たな装備品の共同研究を行っている。「もし他国とセキュリティレベルに違いがあると、こうした共同研究の障害になる恐れがある。日本の防衛産業のサプライチェーンがセキュアであるのみならず、そのことを諸外国政府からも信頼してもらうことが重要だ」(藤井氏)


 このため防衛省では今のセキュリティ対策基準を、「NIST SP 800-171」(NIST:米国国立標準技術研究所の略称)と「FedRAMP」(Federal Risk and Authorization Management Program)という、米国のセキュリティ標準と同等の水準まで向上させようとしている。

SP 800-171とは、「Controlled Unclassified Information」(CUI:管理された非格付け情報)を扱う民間企業がどういった対策を講じるべきかを示したガイドラインで、米国防総省をはじめとする連邦政府機関に対するガイドライン「NIST SP 800-51」に対応したものだ。米国防総省はすべてのコントラクターに対し、2017年12月末までにSP 800-171相当の対応を講じることを要求している。一方のFedRAMPは、米国政府のクラウド調達に関するセキュリティ基準だ。


 防衛省では2017年2月に「防衛調達における情報セキュリティ強化に関する官民検討会」を設置し、CUI、つまり機微な情報を扱う民間企業とともにセキュリティ水準の強化について定期的な検討を開始した。またクラウドに関しても、防衛省のみならず全省庁が足並みを揃えつつ「クラウドサービスの安全性評価に関する検討会」を設置し、日本版FedRAMPに関する検討も進めている。


 さらに、防衛省のこうした取り組みを先進的な例の1つとして、広く他の産業にも活用してもらうことも視野に入れているという。「守るべき情報をどう守るかは、日本の産業界全体に共通する課題だ。ただ、自分の会社を守ることはできても、サプライヤーも含めて守っていくことは難しい。さまざまなパートナーから信頼を得るに足る、サプライチェーンのセキュリティ構築は欠かせない」と藤井氏は述べ、広くさまざまな力を借りつつ、スクラムを組んで取り組みたいと決意を語った。


●各国の戦略やルール形成の動向を読み取り、自社の戦略に生かすのが経営の役割

 サイバーセキュリティといわれると、とかく新たな攻撃手法や脆弱性がどうこうといったテクニカルな話になりがちだ。しかし多摩大学ルール形成戦略研究所所長の國分俊史氏によると、「サイバーセキュリティは単なる技術の話ではないし、情報漏洩の話でもない。複合的な論点から経営戦略を考えていくべき話だ」という。


 背景にはいくつかの大局的な動きがある。1つはアメリカと中国の間の「経済戦争」だ。武力行使ではなく、各国が戦略的に貿易・経済戦争を繰り広げながら経済成長を図る現在において、自社にどんなチャンスがあり、逆にどんな機会損失があり得るかを考えるのは、経営側の役割。サイバーセキュリティはそれを考慮する際のポイントの1つというわけだ。國分氏は「世界で起きているサイバー空間におけるルール形成の最新動向と日本への影響」と題する講演を通じて、その枠組みを解き明かした。


 米国は国家安全保障戦略の重要なテーマとして産業界の底上げを掲げており、セキュリティ産業はその中で重要な役割を担っている。NIST SP 800-53や171といったセキュリティガイドラインも同じ文脈で、2010年頃から長い期間をかけて戦略的に整備されてきた。今やこれらガイドラインは、北米で防衛調達に関わる企業のサプライヤー、ひいてはグローバルに展開している企業ならば無関係ではいられず、蔑ろにするとサプライチェーンから退出を迫られることになりかねない。「われわれはそれを前提に企業戦略を考えるしかない」(國分氏)


 その際のポイントとして挙げたのは「NIST SP 800-53を読み込むこと」。時折、「NIST SP 800-171を読んでみたが、ISO 27001と同じような感じだから大丈夫だろう」といった声を聞くことがあるそうだが、「それはアウト」ときっぱり述べ、推奨製品リスト、ブラックリストも含めてNIST SP 800-53を読み込むことが必要だとした。また見落としがちだが、その際には情報システムの枠組みを超え、物流部門とも連携しなければならないことも分かってくるという。


 國分氏はさらに、このガイドラインの登場によって、「IoT時代における製品の『すり合わせ』の意味も変わってくる」と指摘。これまでモノ作りにおける部品の「品質」とは「壊れないこと」を意味してきた。しかし今後はそれらがハッキングを受け、ハードウェアが改ざんされたり、壊されたりする可能性を前提にした製品設計が求められる。


 2018年8月には米国で、ITインフラ・通信機器として中国製製品を利用している企業と米国政府の取引を禁じる米国防権限法が成立した。またオーストラリアも5Gネットワークインフラの構築からHuawei、ZTE製品を閉め出す決定を下している。「では我が国はどうするのか。このトレンドをどう読み解くかは皆さんの判断にかかってくる」と國分氏は述べ、「サイバーセキュリティに関するルールを1つの起点にして貿易圏を作る中で、自社はどう展開していくかを考えなければならない」とした。


●変化する攻撃、脅威があっても使い続けられる機器の調達を

 これまでのセッションの内容を受けて、HP Fellow & VP, Chief Technologist for Security Research and Innovationを務めるBoris Balacheff氏が登壇。長年セキュリティリサーチに携わってきた立場から、昨今のサイバーセキュリティの動向とHPの取り組みを紹介した。


Balacheff氏によると今、脅威を巡って大きく2つのトレンドが読み取れるという。


 1つは、攻撃がOSよりも下の、システムのより深いところを狙うよう変化していることだ。「これまでわれわれは最新のセキュリティ技術でさまざまな攻撃の検知を試みてきた。攻撃者はそれをかいくぐるため、OSの下、つまりBIOSやUEFIといったファームウェアの中に入り込もうとしている。これまでのアンチウイルス製品では見つけられない一方で、ひとたび侵入できればシステム全体をコントロールできるため、攻撃者にとってはうまみのある手法だ」(Balacheff氏)


 HPでは10年以上前から、OSよりも下の層を狙う攻撃を調査してきた。そして残念ながら「この先もなくなることはないだろう」とBalacheff氏。というのも「さまざまなIoT機器や組み込み機器が増加するにつれ、攻撃者にとっては、ファームウェアなどより深いところに侵入するROIが高まるからだ」


 もう1つのトレンドは、攻撃内容の変化だ。かつてのサイバー攻撃は攻撃者の自己顕示欲を満たすためのものが多かったが、徐々にターゲットのシステムからさまざまな情報を盗み取ったり、金銭を狙ったりする攻撃へと変化してきた。さらに「最近ではファームウェアを書き変えてアップデートを妨げたり、マシンの動作を停止させたり、ビジネスを止める攻撃へと変わってきた」(Balacheff氏)。その顕著な例が、ウクライナの変電所を停止させた攻撃であり、2017年に多くの被害を発生させたWannaCry (ランサムウェアの1種。Windowsをターゲットとして攻撃) というわけだ。


 HPではこうした傾向を踏まえ、仮にこうした脅威があっても「使い続けられる」マシンの設計・開発を、インテルやマイクロソフトといったパートナー企業と協力しながら進めてきた。ソフトウェアやネットワークだけでなく、ファームウェアやハードウェア面でもセキュリティを考慮し、脅威からの保護だけでなくリカバリも実現するーーそんな「HP SureStart」をはじめとするHP独自のセキュリティ機能で、「ハードウェアの侵害を検知し、レポートし、自動的にリカバリできるようにする」。そして、こうしたデザインはIoT機器にも踏襲できるとした。


 実はNISTは、800-53や171以外に、BIOSに関するセキュリティの標準を定めた「800-147」やファームウェアのレジリエンス要求をまとめた「800-193」といったガイドラインを定めている。HPの製品群は全コンポーネントでこれらガイドラインに適合しているという。これが、HPが主張する「世界で最も安全なPC」である理由の1つだろう。


 Balacheff氏は「ワーストケースを考え、そこからどう回復するかを考えねばならない。次なる攻撃からどう保護するかだけでなく、どのようにリカバリし、ビジネスを継続していくことを考える必要がある」と強調。今後のIT機器調達・選定時には、ファームウェアレベルも含め、防御だけでなく検知・回復も視野に入れたセキュリティ要件を定義し、検討することが重要だとした。


●リスク受容レベルを定め、ビジネスのためのセキュリティを

 日本マイクロソフトの技術統括室 チーフセキュリティオフィサー(CSO)を務める河野省二氏は、長年にわたってセキュリティ業界に携わってきた。その経験を踏まえ「セキュリティ専門家に求められるものは何かというと、情報保護と思われがちだ。けれど、実はそれだけでなく説明責任が求められるし、その裏支えになる証拠も求められる」とした。ただ単に「データは暗号化しています」で済ませるのではなく、適切な方式で暗号化され、鍵がきちんと管理されているか……といった事柄まで示さなければ、説明責任を果たしているとはいえないという。


 またセキュリティ専門家は、ついセキュリティ重視で物事を語りがち。けれど「会社はセキュリティのために仕事をしているわけではない。本業のためにセキュリティがある」ことにも注意が必要だと呼びかけた。


 「しばしば『セキュリティとは何か』について話をしてきたが、セキュリティとは『今の状態を維持すること』ではないか。ITの維持をサポートするのがセキュリティの役割だ。つまり、セキュリティファーストではなく、ビジネスファースト、ITパフォーマンスファーストでなくてはいけない」(河野氏)


 では、生産性を損なわないセキュリティの実現には何が必要だろうか。
事故の発生を極力減らすだけでなく、事故による影響を最小限に収めていくことが事業継続につながる。それにはいわゆるセキュリティの「CIA」、3つの要素をまんべんなく見ていく必要があると河野氏は説明する。つまり情報が漏洩していないかだけでなく、そのデータが正しいものであり、改ざんされていないかにも配慮が必要だ。手元にあるPCが正しい状態にあるかどうかの確認もその1つで、信頼を確立するために、TPMやセキュリティチップといったハードウェアの力が重要だという。


 一方、セキュリティ対策はどこまでやればいいかが気になる担当者も多いだろう。だがこれは「どこまでリスクを受容するかどうかによる」という。NISTのサイバーセキュリティフレームワークには、この「リスク受容」とともに「補正的対策」という概念が盛り込まれている。小さな失敗にすぐ気付いて修復し、そこから学習してさらに強く、レジリエンスを高めていくもので、河野氏は「この補正的対策を実現するためにも、リスク受容レベルを定め、改善のサイクルを回していかなければならない」とした。


 マイクロソフトはこうしたセキュリティ標準・基準作りに携わりつつ、多くの製品・サービスをSP800-53に準拠させてきた。同時に、Microsoft 365で提供している「Identity as a Service」でなりすましを防ぐほか、AI技術を活用してアカウントやデバイス、ロケーションといったさまざまな属性情報を加味し、普段とは異なる行動を見つけ出す自動化されたセキュリティ、クラウドやAPIを介したデータ収集・連携の実現など、多様な側面から対策を支援している。


 河野氏はこうした事柄を説明し、「デジタルトランスフォーメーション時代においては、現状を評価し、監査して『正しいことができているか』を確かめ、その説明責任を果たすことが求められている。その中で、Trustworthy(信頼できる)環境を提供し、セキュリティを保てるようにしていく」と、今後も安心して利用できる環境作りに取り組んでいくとした。


最後に、日本HP専務執行役員 パーソナルシステムズ事業統括 九嶋俊一氏は、「本日は多くの新しい情報をお伝えしました。もう一度、内容を確認したいといった皆様のために、Tech & Device TVにおいて、本日のセッション内容を含めて、配信する予定です」と語り、セッションを締めくくった。


資料ダウンロードページはこちら


●最後に

併設された展示会場には、セッションで紹介されたNISTのセキュリティガイドラインに対応した安全なPCがずらりと並び、多くの来場者が実際に手にとる姿が見られた。


本セミナーは、NISTガイドラインなどのスペシャリト、防衛装備庁の担当者、HPのセキュリティリサーチのフェローや日本マイクロソフトのセキュリティスペシャリストから、普段聞くことができないトピックが語られ、知ることができるという、またとないイベントとなった。
セキュリティへの対策は、販売だけでなく、設計、サプライチェーンを含めて、さらに考慮の必要性が高まることはあっても、低くなることはない。NISTガイドラインへの対応、安全なPCとはどうあるべきかを理解し、パートナーの販売戦略の中に位置づけることよって、下半期の商戦に向けての体制作りに生かせるだろう。



◆書籍プレゼントのお知らせ◆
本セミナーでご登壇頂いた多摩大学ルール形成戦略研究所所長 國分 俊史氏 の著書を抽選で20名様にプレゼント!!(うち2冊はサイン入り)
【世界市場で勝つルールメイキング戦略 技術で勝る日本企業がなぜ負けるのか】

 

技術力だけでは勝てない「ルールメイキング戦略」とは何か?最新の事例とノウハウが紹介されています。
ご希望の方は、日本HP Partner News今号のアンケート「ご意見・ご要望」欄に、
著書希望のキーワード「ルール形成」を入れて感想をお寄せください。

読者アンケートフォームはこちら

日本HP Partner News 2018年9月25日号 特集記事]
本ページに記載されている情報は取材時におけるものであり、
閲覧される時点で変更されている可能性があります。予めご了承下さい。