新型コロナウイルスの感染拡大が、国民生活の広い範囲に影響を及ぼしている。テレワークが普及し、ビジネスのITへの依存度が高まる中、かつてないほど重要になっているのがサイバーセキュリティだ。組織や守るべきシステムの形が変化する時代、ビジネスを脅威から守るには何が必要なのか。前経済産業省 サイバーセキュリティ・情報化審議官、現東海大学 客員教授の三角 育生氏に話を聞いた（聞き手：日経BP総合研究所 上席研究員 菊池 隆裕）。

前経済産業省
サイバーセキュリティ・情報化審議官
東海大学
情報通信学部 客員教授
三角 育生氏
サイバーセキュリティ、安全保障などの行政に長く携わり、内閣サイバーセキュリティセンター内閣審議官等として、サイバーセキュリティ戦略の策定、サイバーセキュリティ基本法改正、日本年金機構のインシデント対応などに従事。2018年に経済産業省 サイバーセキュリティ・情報化審議官に。2020年に退官し現職。

テレワークの急速な普及と連動してDXも進展

―― コロナ禍への対応によって、ビジネスの現場ではテレワークが広く一般化しました。IT活用の重要性が高まり、連動する形でDXの取り組みも進展しつつあります。一方、三角先生は2020年まで経済産業省にいらっしゃいましたが、国の業務への対応はどのように進めたのでしょうか。

三角　国はテレワークについて、新型コロナウイルスより前のSARS^※1、MERS^※2のころから事業継続の一環などとして対応を議論してきました。こうした準備も進めていたため、今回のパンデミックにおいても、経済産業省など多くの省庁で大きな混乱はなく進めることができたと考えています。人との接触を減らす狙いから、まずは7割、できれば8割の職員をテレワークに切り替える取り組みを進めました。

　一方、民間企業の場合は保有する情報や業務の特性がそれぞれ異なるため、取り組みはより複雑なものだったと推察します。テレワークの必要性は理解しながらも、個人情報など機密性を要する情報をどう守るか、試行錯誤しながらの導入になった企業が多かったのではないでしょうか。

　また、新型コロナ禍ではビジネス自体のデジタル化、オンライン化を図ることの重要性も高まりました。消費者の活動がオンラインにシフトする世界では、オンライン上で新たな顧客接点を構築しなければビジネスが頭打ちになるからです。そのためのDXの取り組みも、企業にとっての重要な課題になっています。

変化するIT環境へのリテラシーを高めることがカギ

―― スピードと事業継続が最優先となる緊急時において、十分な検討なしに取り組みを進めた企業も多くありました。例えば、政府は民間企業向けのデジタルトランスフォーメーション（DX）推進のためのガイドラインを示しましたが、必ずしもそれを実施できた企業ばかりではないように感じます。

三角　おっしゃる通りですね。中でもセキュリティ面では、多くの課題を抱えているのが現状といえるでしょう。

　例えば、メディアで話題になったテレワーク環境への不正アクセスの案件については、VPN機器の脆弱性が原因でした。メーカーは脆弱性の存在や修正プログラムを公開していたのですが、それを適用していなかった企業がサイバー攻撃の標的になったと言われています。こうしたテレワークの導入の推進状況について、企業の対応は二極化していると感じます。現役時代に複数の企業の経営層の方々とお話しした内容からすると、新型コロナ禍前からいち早くテレワークの導入に取り組んでいた企業は効果的な対策を講じていてテレワークに積極的、一方、今回のパンデミックの中、急場しのぎで導入することになった企業は対策が後手にまわってしまう。その結果、脆弱性を抱える機器や、テレワークをする社員のPCから、脅威が社内システムに潜り込むという事態が発生したとみられます。

―― デジタル化、DXの推進とセキュリティリスクは切り離して考えられないということですね。コロナ禍での新たな動きを含め、サイバーリスクの最新動向を教えてください。

三角　最近目立つのは、重要データを“人質”に取り、身代金を要求するランサムウエアです。また、依然として標的型攻撃も減っていません。さらに、最近強く社会的に認識され始めているものとしてサプライチェーン問題があります。例えば、守りの堅い大企業ではなく、中小企業などを狙って、そこからサプライチェーン各社にウイルスなどを侵入させていくもの。また、PCや産業機器などの製品に使われるICチップのファームウェアなどにおいて、出荷時・アップデート時にウイルスを潜り込ませるといった手口です。

―― 様々なリスクが登場する中、企業にはどのような対応が求められるのでしょうか。

三角　まず大切なのは、組織内の「人」がITリテラシーを高めることです。普及した新しい技術を理解し、必要な体制を整備する。これが非常に重要です。

　なぜなら、実はサイバー攻撃の手法そのものは、私がサイバーセキュリティ政策に従事するようになった2005年ごろからほとんど変わっていません。先に紹介した手法はいずれも「不正コードを使う」「ソフトウエアの脆弱性を狙う」「クレデンシャル（認証）情報を詐取する」などの、昔からある手法に大別できます。変わったのは、我々を取り巻くITの仕組みや新たなITの普及です。この変化に対する企業のCxOや我々のリテラシーが追いついていないことが、リスクを生む要因になっているのです。

　例えば以前は、サイバーセキュリティといえば「組織の内側・外側の境界線上で守る」境界防御が中心でした。ところが、テレワークが普及した現在は、この守り方が既に過去のものになりつつあります。このような最新の状況を常に把握し、見合った対策を打てるかどうか。このことが、これからの企業・組織の安全を左右するのです。

境界防御が通用しない時代、高まるエンドポイント対策の重要性

―― 境界防御が通用しなくなる時代、「エンドポイントをどう守るか」は、1つのカギになりそうです。

三角　そうですね。中でも、2018年のサイバーセキュリティ戦略でも示しましたが、自動監査や、エンドポイント対策強化で、その際に重視すべきはスピードです。現在の攻撃はサービス化され、また、組織だってなされるために大規模化・高速化しており、人手による対応ではとても太刀打ちできません。脅威の検知、特定、対応という一連のプロセスを、可能な限り速やかに行うには、守る側に自動化の視点が必要です。これはポストコロナ時代のサイバーセキュリティにおいて、1つの重要な考え方になるはずです。

―― エンドポイント対策の重要性は、企業にどのくらい認識されているのでしょうか。

三角　意識は高まっていると感じます。ただし、私が難しさを感じるのは、分かりやすい事例を紹介すると、その事例で使われたソリューションの導入そのものが「やるべき対策」にすり替わってしまうことです。

　例えば、EDR（Endpoint Detection & Response）^※3の事例を紹介すると、EDRさえ導入すればよいのだという誤った認識が広がってしまう。そうではなく、より深い部分での課題の理解と意識の共有が必要なのではないでしょうか。

―― それには企業経営者自らがセキュリティにどうかかわるかも重要ですね。

三角　政府はガイドラインやアドバイザリーを通じてアラートを出してきましたし、サイバー攻撃のニュースが報じられることも増えています。多くの経営者はことの重大さに気付いているはずですが、気付きと行動の間にまだギャップがあります。

　とりわけ日本企業の経営者は、ITを「現場の技術者が解決するべき問題」だととらえる傾向があります。そうではなく、今やITは経営イシューだという認識を持つことです。その際、ビジネスとして「何をしたいのか」「何をすべきか」「何が起こると困るのか」に関する明確な指針を打ち出し、それを実現する手段としてITやデータを活用していく現場の施策立案と実行を支援することが経営者の役目です。

セキュリティを経営課題ととらえ、積極的なコミットメントを

―― 時流に即したサイバーセキュリティ対策を推進し、ビジネスの安全を守るため、改めて、読者へのメッセージをお願いします。

三角　日本の企業は、セキュリティ対策を「情報漏えいを防ぐこと」に特化して理解しがちです。もちろん、個人情報の保護など法的責任もありますし、漏えいが起これば企業の信用は失墜するため、機密性の対策が必要なのは間違いありません。ただし私は、「ビジネスの可用性を高めること」も同じくらい重要だと考えています。

　今や、サイバー攻撃によってシステムがダウンすれば事業継続を左右します。そのため、システムを構築する際はリスクを洗い出し、例えサイバー攻撃にさらされても、コンティンジェンシープランに基づく事業は継続していける、可用性の高い仕組みを目指さなくてはいけません。

　例えば、年間売上1000億円のEC事業を支える巨大システムがあるとしましょう。このシステムが1日止まれば、年間売上の約0.3％、つまり3億円が消失するというときに、その企業が何をどこまで許容するのか。これが決まらなければ、適切なセキュリティ対策の手法、投資額、人的リソースなどは定められません。クリティカルな状況に直面したとき、どの段階まで売り上げ減少を許容できるか、あるいは復旧のためにどこまでリソースを投入できるのか。やはり、経営者のコミットは不可欠です。

　セキュリティ対策はそれ自体が目的なのではなく、「ビジネス目的を達成するための手段」です。その意味で、セキュリティ投資は「コスト」から、「利益を生む仕組みを滞りなく機能させるための投資」に変化しているといえるでしょう。DXのような新しいチャレンジを行えば想定外のことが起こり得ますが、それにどう対処するかも含めて、経営層が関与し、判断することが重要だと思います。

※1「重症急性呼吸器症候群」。2003年6月に国の指定感染症に登録された

※2「中東呼吸器症候群」。2012年に初めて確認されたウイルス性の感染症

※3 仮に攻撃を受けてもその被害を最小化する「事後対処」の仕組みのこと。PC／サーバーなどのログを基に不審な通信などを検知し、対応を行う