企業・組織を狙ったサイバー攻撃が毎日のように行われ、私たちは気づかないうちにその脅威にさらされています。近年では堅固なセキュリティ体制を構築している大企業への攻撃が簡単には成功できないことから、まずは取引先の中小企業が狙われるケースが増えています。「自社には攻撃者に狙われるような情報がないから、サイバー攻撃とは無縁」と言える時代ではありません。そこで、「小さな中小企業とNPO向け情報セキュリティハンドブック（以下、情報セキュリティハンドブック）」を作成・公開されている、内閣サイバーセキュリティセンター（NISC）の山内智生氏に「情報セキュリティハンドブック」発行の目的と活用方法、企業・組織が対応すべき最低限必要な対策についてお話を伺いました。

NISCの役割についてお聞かせください。

NISCは2014年11月に成立した「サイバーセキュリティ基本法」に基づき、わが国全体のサイバーセキュリティ政策を遂行する機関として、2015年1月に設置され、国のサイバーセキュリティ政策に関する計画や立案、技術動向などの調査、研究分析などを行っています。

近年、生活のあらゆる部分にITが浸透し、すでに社会基盤としても、企業・組織の経済活動においても必要不可欠なものとなっています。ITの重要性が増したことで、障害が発生した際の国民生活や経済活動への打撃は計り知れず、サイバーセキュリティを確保することは早急に解決しなければならない課題です。NISCは安全で安心なサイバー空間の創出に向け、日本のサイバーセキュリティ問題に取り組む政府の組織として広く情報発信を行い、国と企業・組織との橋渡しの役割も担っています。

「情報セキュリティハンドブック」を発行された目的についてお聞かせください。

最大のセキュリティホールは人と言われますが、従業員へのセキュリティ教育に苦労されている企業・組織が多いのではないでしょうか。

全体のセキュリティ意識を高めるためには、やはり情報システム部門の方々から従業員の皆さんへ繰り返し注意喚起を行うことが効果的です。何か気になったら、すぐに情報システム部門へ連絡する。これが徹底されるだけでも、セキュリティレベルは向上します。

もちろん、研修で伝えることも重要なので、入社時研修以外にも行っていただきたいのですが、そのための資料作成を負担に感じられる方も多いと思います。「情報セキュリティハンドブック」は、セキュリティご担当者だけでなく、社内研修資料として一般の従業員の方向けにお使いいただくことも想定して作成しており、実際の使用例もあります。ぜひ、NISCのWebサイトからPDFデータをダウンロードして研修資料としてお使いください。著作権はNISCが留保しますが、全体を印刷して配付するだけでなく、必要な部分だけを抜粋して配付したり、ページ単位やイラスト単位での利用など、自由にご活用ください。

「情報セキュリティハンドブック」にはパスワードについて重点的に記載されていますが、認証の強化の重要度が高まっているのでしょうか。

数年前とは比べものにならないほど、企業・組織の中でIDとパスワードの入力が求められるシステムが増えています。組織内のネットワークへの侵入を防ぐためには認証の強化が重要です。パスワードは、記号や英大文字小文字が混ざっていない簡単に推測されるものでは、すぐに破られてしまう可能性が高いため、NISCでは、英大文字小文字＋数字＋記号混じりで少なくとも10桁以上に設定することを推奨しています。複雑なパスワードが覚えられない場合には、専用のパスワード管理ツールを使ったり、ノートなどにメモする場合には、他者に見られることのないよう鍵の閉まる引き出しに入れ、忘れたときの対策をしておけば安心です。一番やってはいけないのは、スマートフォンやノートPCのメモアプリに暗号をかけずにパスワードを残すことです。スマートフォンやノートPCは外出先で紛失するリスクがありますし、サイバー攻撃により盗まれる可能性もあります。

また、パスワードをいくつも覚えるのは大変なので、一つのパスワードを複数のシステムで使い回す人が多いという調査データがありますが、近年、パスワードリスト攻撃が増加していることもあり、パスワードの使い回しは非常に危険です。悪用されるリスクを低減させるため、システムごとにパスワードを変えることを従業員の方々に徹底してください。さらに通常のパスワードに加え「知識情報」「所持情報」「生体情報」のうち、2つ以上を組み合わせる多要素認証を取り入れることをお勧めしています。IDとパスワードだけの認証に比べてセキュリティレベルは向上しますので、ぜひ導入をご検討ください。

2018年、総務省とNISCが「パスワードの定期変更が不要」との見解を示したと報道されました。本来伝えたかったのは「パスワードの定期変更をシステムが強制するのはおかしい、パスワードが正しく管理されていれば定期的に変更する必要はない」ということです。定期的に変更を強いられるために、パスワードが単純でパターン化されてしまうことの方が危険だというメッセージだったのですが、一部のメディアで「定期的なパスワード変更は、かえって危険」という、私どもの思惑とは違う誤った報道に戸惑っています。3か月や1年など決まった期間での変更を強制する必要はありませんが、メディアで報道されるような大きなセキュリティインシデントが発生したときには、攻撃者はさまざまな企業・組織に侵入を試みている可能性が高いと考えられます。泥棒は、ある家にいきなり侵入するわけではありません。事前に狙いを定めた家を下見して、その家の住人の行動パターンを把握し、さらに本当に不在かどうかドアをノックするなどして確かめます。泥棒に家が狙われているかもしれない状況で、「絶対に鍵を変えない」人はまずいないと思います。何かあったかもしれない、起こるかもしれないというときには、必ず組織全体のパスワードを変更することをお勧めします。従業員の方々への周知・徹底もお願いします。

最新の脅威や攻撃の手口について、能動的な情報収集が必要とのことですが、複数の業務を兼務されているセキュリティ担当者にとって時間的に難しいのではないでしょうか？

日々発信されるすべての情報を収集し把握することは難しいと思いますが、自組織に関係する情報の収集に限定すれば、それほどハードルは高くないと思います。そのためには、自組織の情報資産を漏れなく把握することが必要です。資産管理ツールを活用し、ネットワークにつながっている機器には何があるのか、そこにインストールされているソフトウェアや、適用されているセキュリティパッチのバージョンまで、常に最新の情報を把握できる環境にしてください。また、各メーカーから公表される脆弱性情報を入手することも重要です。これもツールを活用し、自組織に関連する脆弱性情報が素早く入手できる仕組みがあれば難しいことではないと思います。2017年に世界各地で猛威を振るったランサムウェアWannaCryは、日本の企業・組織にも多くの被害をもたらしましたが、攻撃が行われる数か月前には公開されていた脆弱性を狙った攻撃であったため、攻撃を受けた企業・組織でもセキュリティパッチが適用されていれば、あのような被害に遭うことはありませんでした。脆弱性情報を把握し適切に対処することは、企業・組織の事業継続のために欠かすことはできません。

日本の企業・組織におけるセキュリティ対策の一番の問題点は何だとお考えですか？

セキュリティ対策を担われているのが情報システム部門の方という企業・組織は多いと思いますが、組織における情報システム部門の方々の立場が弱いことが一番の問題だと感じています。トラブルが何も起こらないのが当たり前で、何かあれば責任を負わされる。情報システム部門の皆さんは、褒められないのに怒られるという、とても苦しい立場に置かれている方が多いのではないでしょうか。情報システム部門は、各部門の状況を横断的に把握し、経営層とも直結して自組織に必要なセキュリティ対策を推進する非常に重要な役割を担っています。しかし、中小企業を中心に「セキュリティ＝コスト」と考えられている経営者が多いことで、情報システム部門の方々が組織の中でうまく立ち回れない状況に陥っているように思います。

このところ、組織内のサイバーセキュリティ対策を専門に扱うインシデント対応チーム「CSIRT」を立ち上げる企業・組織が増えています。本来は情報システム部門だけでなく組織を横断して取り組む必要がありますが、実際に運営に関わっているのは情報システム部門のみで、名ばかりで実効性のない「なんちゃってCSIRT」となっていることが少なくありません。

企業・組織のセキュリティ対策推進についてアドバイスを求められることがしばしばあるのですが、その際、セキュリティのセミナーに参加するべきなのは、セキュリティ担当者ではなく経営者だとお伝えしています。経営者に企業・組織を取り巻くサイバーセキュリティの現状を知ってもらうことが、問題解決にとって一番必要なことだと感じています。

大阪の中小企業30社を調査した結果、すべてにサイバー攻撃が仕掛けられた形跡があると判明したという報道がありました。先ほどの例で言えば、泥棒が何回も家に侵入しようとしているのに、狙われた側がそれに気づいていないということと同じです。地方の企業だから狙われるわけがないと思われている方もいらっしゃるかもしれませんが、インターネットの世界に距離は関係ありません。インターネットは世界中とつながっているわけですから、すべての企業・組織がいつでもどこからでも攻撃されて当たり前の状況です。セキュリティ対策の甘い企業が攻撃の踏み台にされる事例も増えています。この現実を経営者に知ってもらうことが、企業・組織のセキュリティ対策の向上と情報システム部門の方々の立場を押し上げるために必要だと考えています。

本誌の読者アンケートに、「何か起きたとき、まず何をしたらいいのか、どこに連絡したらいいのかわからない」という回答がありました。このようなご担当者に向けてアドバイスをお願いします。

マルウェア感染時や情報漏洩発生時の対応を外部に委託するサービスを契約している企業・組織もあると思います。しかし、セキュリティ対策にそこまで予算をかけられない場合には、システムを導入したSIerに相談し、万が一の場合はどのように対応したらいいか、アドバイスを受けておくことも有効だと思います。SIerやセキュリティツールのメーカー、そしてセキュリティ関係機関とすぐに連絡が取れる関係を築いておくことは、いざというときに役立ちます。また、警察にもサイバー犯罪対策課がありますので、問題が発生した際には連絡を入れることで事後の対応についてもアドバイスを受けられます。警察に問い合わせることはハードルが高いと思われるかもしれませんが、各都道府県本部にはサイバー犯罪相談窓口がありますので、もしものときに役に立つと思います。

2020年の東京オリンピック・パラリンピックを標的にした攻撃への備えについて、東京に事業拠点がない企業・組織は無関係だと思われているのではないでしょうか。

オリンピック・パラリンピックのような大きなイベントや、災害など世界が注目する出来事が起こったときには、残念ながら必ず便乗したサイバー攻撃が発生します。過去にも、イベントが行われた都市や災害が発生した場所の名称とよく似た名前の企業が攻撃された例があります。攻撃は世界中から行われるため、東京オリンピックでは「東京」や「トウキョウ」と似た名称、響きであれば間違って狙われる可能性は十分にあり得ます。事業所が大阪にしかないから大丈夫とは言えません。「東京」や「トウキョウ」にまったく関係なくても、日本の企業・組織というだけで、いつ流れ弾に当たるかわかりません。万が一に備えて東京以外の地元密着型の企業・組織でも対策の強化をお願いします。

最後に、情報システム部門の皆さまへメッセージをお願いします。

官民におけるサイバーセキュリティ対策の推進に関する企画および立案する組織の人間として、情報システム部門の方々が、企業・組織の中で弱い立場に立たされることが多い現状を、非常に残念に感じています。経営者の方々には、過去にセキュリティ対策が十分でなかったことにより情報漏洩を起こした企業が、経済的な損失だけでなく、いまだに信用を回復するのが難しい状況であること、情報を漏洩させた企業が受けるダメージについて、もっと認識していただく必要があると考えています。私どもは、一般社団法人 日本経済団体連合会（経団連）や地域の商工会議所などとも連携して経営者の方々へ伝えていく活動を強化し、サイバーセキュリティ対策が「経費でなく経営課題である」ことが浸透するよう努めていきます。情報システム部門の方々には、これまで以上に従業員の皆さんへの注意喚起に加え業務のIT化を推進していただきながら、人の脆弱性に由来するセキュリティインシデントへの対策をお願いします。

また、組織全体でサイバーセキュリティの問題に対処していくために、「なんちゃってCSIRT」でもいいので、まずは形から入ってみてください。情報システム部門だけでなく、組織全体で横断的に取り組める体制を作っておくことで、サイバーセキュリティ対策が事業継続のために必要であることが徐々に浸透していくはずです。