特集
セキュリティ対策に最も重要なのは、IT資産の見える化

株式会社川口設計代表取締役 / CISSP / CEH

川口 洋

2002年 大手セキュリティ会社に就職。社内のインフラシステムの維持運用業務ののち、セキュリティ監視センターに配属。2013年~2016年 内閣サイバーセキュリティセンター(NISC)に出向。行政機関のセキュリティインシデントの対応、国民向け普及啓発活動などに従事。2018年 株式会社川口設計 設立。

これからしばらく続くことが予想されるWithコロナ時代には、企業経営にとってセキュリティ対策が、さらに重要な役割を果たします。そこで、今必要な対策について、大手セキュリティ会社から独立され、さまざまな企業のセキュリティ顧問や内閣府本府 情報化参与、経済産業省 情報セキュリティ対策専門官などを務められている、川口 洋氏にお話を伺いました。

サイバー攻撃の被害を最小限にとどめるには、
繰り返しトレーニングすることが有効

セキュリティに携わられるようになった、経緯をお聞かせください。

サイバーセキュリティの道に進むことになったきっかけは、大学院生だった2000年5月に、在籍していた研究室のサーバーがサイバー攻撃に遭ったことです。その研究室では研究室のシステムを学生が管理する伝統があり、当時の管理者が私でした。そのころは今と違い、サイバーセキュリティに対して深刻な雰囲気はなく、特別な知識がなかった私でも、勉強すれば何とかなるだろうと管理を始めて約1か月が過ぎた頃、サーバーに不審なファイルが置かれているのを見つけました。そのファイルを開いてみると、研究室全員のユーザーIDとパスワードが書かれていたのですが、本人しか知らないはずの情報を見たときはゾッとしました。何とかしなければと思ったのですが、当時はまだセキュリティ対策について知りたい情報がインターネット上にはなく、コミュニティもほとんど作られていなかったような時代です。仕方なく、システムの構築や管理について書かれた数少ない書籍を頼りに研究室のシステムを作り直したことで、次第にセキュリティと深く関わるようになっていきました。その結果、セキュリティの面白さに目覚めてしまい、セキュリティの会社に就職することに。途中3年間、NISC(内閣サイバーセキュリティセンター)へ出向し、2015年に発生した日本年金機構の情報漏洩問題の対応にも関わりました。その後、2016年に会社の研究所に籍を置きながら、内閣府や経済産業省へ非常勤の公務員として従事するなど、充実した会社員生活を送りながらも、いずれは独立したいという思いを抱えていました。40歳の節目に自分の力を試そうと、思い切って会社を飛び出し、現在に至ります。

セキュリティの企業で漢字の社名は珍しいと感じましたが、社名の由来についてお聞かせください。

最初から、会社を作るなら「川口設計」にしたいという思いがありました。もともと私の父が機械設計の会社「有限会社川口設計」を営んでいたのですが、まったく違う道に進んでしまった私には、後を継ぐことができなかった心残りもあったと思います。周囲の人から「川口がやっている、セキュリティを設計する会社だとわかりやすい」と言ってもらったこともあり、2018年に父とはまったく別の「株式会社川口設計」を設立しました。平成が終わるその日、父から突然「平成とともに歩んだ会社を今日でたたむことにした」と告白され驚きましたが、平成という時代とともにあった父の会社のように、少なくとも令和の間は事業を続けていけるよう頑張っていきたいと思っています。

当社は「自助」「共助」「公助」を事業のキーワードに掲げています。これは、災害時によく言われる、「自分の命は自分で守ることが基本だが、地域の助け合いも重要であり、根本には国によるしっかりとした支援がなければならないこと」と同じです。サイバーセキュリティも、この3つのキーワードを実行できなければ成り立たないと考え取り組んでいます。

「Micro Hardening」が事業に含まれていますが、これにはどのような効果が期待できるのでしょうか?

セキュリティインシデントは、いつ発生するかわかりません。火事が起きたとき、すぐに火を消そうとするのと同様に、即時の対応が必要で、どちらも慣れていないと、いざというときに適切な行動が取れず、被害を大きくしてしまいます。消火器は、ピンを抜いてからホースを火元に向け、最後にレバーを押して使うことを、多くの方がご存じだと思います。しかし、実際にその場面に遭遇したとき、消火器をそのまま炎に投げ込んでしまうという人もいるそうです。パニックになると冷静に行動できなくなるため、頭でわかっているだけでは行動できません。また、炎に向かってやみくもに噴射しても火は消えず、火元に向かって噴射するなどコツも要るので、職場の消火訓練で実際に体験しておくことは、いざというときに役立ちます。セキュリティインシデントも同様で、平時に何度も訓練しておくことが攻撃を受けた際の被害の最小化につながります。火災発生時、消火も大事ですが、命を守るために危険を感じたら逃げるという判断が重要です。インシデント対応にもさまざまな場面で判断が求められますが、この判断力を鍛えるのが「Micro Hardening」です。繰り返し同じトレーニングメニューをこなすことで、インシデント対応力を定着させていきます。

テレワークを狙ったサイバー攻撃が増加
VPNサーバーへのセキュリティ対策が課題

4月の緊急事態宣言で実施されたテレワークには、さまざまな問題が発生しましたが、テレワークを安定して定着させるために必要なことについてお聞かせください。

新型コロナウイルス感染症による緊急事態宣言を受けてテレワークを始めた企業の多くが、突貫工事で何とか乗り切られたのではないかと思います。情報システム部門の方は、社員の方からのクレーム対応を含め、大変な苦労をされたのではないでしょうか。テレワークの定着を成功させるためには、例外的なルールで乗り切った部分も含め見直しを行い、システムと労働条件の両方をテレワークに対応させなくてはなりません。テレワークの環境整備は、システムだけでなく、規定やルールの対応が重要になるため、情報システム部門だけでなく総務部門の力が問われます。関係部署で協力して取り組んでいただけたらと思います。

テレワークによって、これまで持ち出さないことが前提だった事務職の方のPCなどが持ち出されるようになっていれば、暗号化の検討も必要です。OSがWindows 10の場合、まずはBitLockerを使用してドライブを暗号化する方法もあります。また、緊急事態を理由に、これまで禁止していたUSBメモリの使用を許可したままになってはいないでしょうか。USBメモリの中に、情報が残ったままになっていないかを確認するのも忘れないでください。そのほかにも、一時的に許可していたことが曖昧になっていないか、企業のポリシーから外れた状態で放置していないかをこのタイミングで確認してください。

4月の緊急事態宣言時には、テレワーク中のVPN(Virtual Private Network)の通信速度が遅い問題がたびたび報道されましたが、これは、もともと全社員が一斉にアクセスすることを考慮して設計されていなかったというわかりやすい原因だったため、現在はほぼ解決されていると思います。一方、セキュリティ対策はどうでしょうか?社外で作業する場合のログの収集については、(1)VPN接続時に社内と同様に収集できる、(2)管理サーバーをクラウド上に置いて管理、(3)インターネット経由で管理サーバーにアクセスできるよう解放するという、3つのパターンが考えられます。今後、スタンダードになっていくのは(2)だと思いますが、サーバーがインターネットで公開されることになる(3)は、不正アクセスを防ぐためにも注意が必要です。過去、実際にこのパターンで被害を受けた企業の報道を覚えている方もいらっしゃると思います。製品のメーカー側も、ユーザーがそういった使い方をしてしまうことがあり得ると見越して、事前に対策を打つ時期に来ていると思います。

テレワークの増加で注目される、VPNサーバーのセキュリティ対策についてお聞かせください。

このところ、テレワーク環境を狙ったVPNサーバーへの攻撃が増加しています。VPNサーバーの管理が難しいのは、仮想プライベート・ネットワーク機能に特化したアプライアンスだからです。そのため、最新のセキュリティ更新プログラムが適用されているかを確認できるSKYSEA Client Viewのようなツールを入れることができず、セキュリティ対策が漏れてしまっています。企業はホームページなど、外部に向けたサービスへの脆弱性対策には注力されていると思いますが、VPNのような社員向けのサービスについては対応が後回しになり、放置されていることも少なくないと思われます。しかし、テレワークで社外から接続する社員が増えた今、VPNサーバーのアップデート適用が後回しにされている状況は非常に危険です。VPNの脆弱性対策の優先度を上げて対応してください。

テレワーク時のインターネット環境は、社内より脆弱なため、これからテレワークを導入する予定の企業はもちろん、すでに導入済みであってもさまざまな悩みを抱えていらっしゃると思います。先ごろ、総務省の委託事業として2021年3月までの期間「テレワークのセキュリティ あんしん無料相談窓口」が開設されました。豊富な知見を持つ専門家が、無料で相談に対応してくれるようですので、こういったサービスも活用されてみてはと思います。

もはやテレワークは避けて通れない働き方です。テレワークができる業種・職種なのにテレワークを導入していない企業には、優秀な人材は集まりません。また、今後、日本が国際的な競争力を得るためには、海外の人材を積極的に採用することも必要になってきます。テレワークを選択できないだけで、優秀な人材から選ばれず、生き残れない企業になってしまうかもしれません。

最優先で対応すべきなのは、
銀行口座を守るためのセキュリティ対策

特に、中小企業にとって必要なセキュリティ対策についてお聞かせください。

新型コロナウイルスの感染拡大は企業経営に大きな影響を与えています。Withコロナの状況はしばらく続くと予想されるため、特に中小企業の事業継続には、従業員の命と会社のお金を守ること以外は後回しにせざるを得ない状況だと思います。そのようななかでも、セキュリティ対策を強化してサイバー攻撃から守るべきなのは、銀行口座です。もし、口座に入っていた5,000万円が突然なくなれば、会社がつぶれてしまうかもしれません。近年、銀行預金をある日突然失ってしまう不正送金被害が急増し、利用者にも対策が求められるようになっています。被害に遭ったとき、個人の口座であればほぼ100%保証されますが、企業の場合、戻ってくるのは何割かにとどまります。銀行のWebサイトには、口座への不正ログインを防ぐため、顧客に求めることが記載されていますので、そこに書かれている対策を必ず実施してください。パスワードを使い回さないこと(被害に遭わなくてもパスワードの使いまわしはNGなので)や二要素認証、電子証明書の使用など、やるべき対策が行われていたかを必ず問われます。ネットバンキングが当たり前になった今、口座を守ることから逆算したセキュリティ対策が必要です。

また、すでにクラウド活用が当たり前の時代になりつつありますが、クラウドを使いこなすことがビジネスの成功につながります。成功は、試行錯誤を繰り返し、失敗を成功につなげていくことによって得られますが、失敗はできるだけ早い段階で経験することが重要です。プロジェクトの立ち上げ時に物理サーバーを購入すると、そのプロジェクトが失敗したとき、残ったサーバーを使うことを前提に新たなビジネスを考えるという無駄な作業が発生します。クラウドであれば時間単位で課金できますので、不要だと思えばすぐに辞められます。クラウドサービスを利用すれば、3時間くらいの使用であれば数十円のコストに収まるので、失敗しても大きなダメージにならず、また次のチャレンジができるはずです。今後、システムやセキュリティのご担当者が、ほかの社員と同様にテレワークで業務することが前提となるため、オンプレミスがメインだった製品もクラウドにシフトしていきますし、管理サーバー自体をクラウド上に置くことがスタンダードになっていくと思います。クラウドを主体とした体制は大手企業ではすでに検討・実施されていますが、インターネットやVPNを安全に使うためには、中小企業こそ取り入れるべきで、SIerの方々にもクラウドベースで提案することが求められていきます。

法人が銀行口座を守るために実施すべきセキュリティ対策例

  • 1銀行が導入しているセキュリティ対策の実施
  • 2インターネット・バンキングに使用するパソコン(以下、単に「パソコン」という。)に関し、基本ソフト(OS)やウェブブラウザ等、インストールされている各種ソフトウェアを最新の状態に更新していただくこと
  • 3パソコンにインストールされている各種ソフトウェアで、メーカーのサポート期限が経過した基本ソフトやウェブブラウザ等の使用を止めていただくこと
  • 4パソコンにセキュリティ対策ソフトを導入するとともに、最新の状態に更新したうえで、稼動していただくこと
  • 5インターネット・バンキングに係るパスワードを定期的に変更していただくこと
  • 6銀行が指定した正規の手順以外での電子証明書の利用は止めていただくこと

出典:一般社団法人全国銀行協会

そのほかにも、今、見直すべきセキュリティ対策についてお聞かせください。

セキュリティ対策の基本は「パスワード」「セキュリティ更新プログラムの適用」「バックアップ」の3つです。これらの最低限必要な対策ができていない状態でほかの対策を投入しても、効果は限定的です。多くの企業がセキュリティ更新プログラムの適用状況を管理されていると思いますが、アップデート時のエラーが放置されるなど適用漏れは意外と多く、そもそも管理されていないケースもあります。私自身もWindowsのアップデートには何度も失敗していて、そのたびに「何で再試行させられるんだ」と感じていますので、一般の社員の方であればそのまま更新をスルーされても仕方がないと思います。そのため、アップデートは社員に任せるのではなく、ツールによる管理が必要です。行政機関の多くはセキュリティ更新プログラムの適用率を管理しており、手作業での集計は大変なので、おそらく資産管理ツールを使って対応していると思います。アップデートを適用していれば防げる攻撃は多く、企業でも適用率の把握に加え、未適用の端末に対して強制的にアップデートを実行できる環境の構築が急がれます。

IT資産を正確に把握することがセキュリティ対策の基本であるという視点は意外と忘れられていますが、そもそもIT資産が適切に管理されていなければ、セキュリティ対策はできません。把握できていない機器は、サイバー攻撃の標的になりますし、実際には余剰を抱えているにも関わらず、それに気づかず新たに機器を購入すれば、それは無駄なコストとなります。余計な経費を増やさないためにも、常に最新のIT資産情報を把握してください。

企業の情報システム部門の方に「社内に何台のPCがありますか?」と質問すると、多くの方が「100台くらい」と曖昧に回答されます。正確な台数を回答できない理由は、大半が棚卸をされていないためです。棚卸はとても重要で、例えば、100台のPCを保有している会社が棚卸をして、5台の不要なPCが見つかったとします。それは、5台分のコストカットと同時に、守らなければならない範囲が狭まり、セキュリティレベルが5%アップしたと考えることができます。新たなセキュリティ対策をどんどん投入しても、IT資産を管理できていなければ、湯水のようにお金を使うだけで効果がありません。IT資産を見える化するだけで、セキュリティレベルは確実に向上しますので、常に最新の状態を把握できる状況を確保してください。

SKYSEA Client ViewのCMで、藤原竜也さんが「社長、見える化しませんか」と言っていますが、本当にそのとおりで大事なことだと思います。見える化ができていなければ、ITの管理はできません。

減価償却が終わった時点で総務部門が管理しなくなったPCにも注意が必要です。情報システム部門が保管している間に代替機として貸し出されたり、本来ネットワークにつながってはいけない、メンテナンスされていないPCがネットワークに接続されていたという事例はよくあります。事故を防ぐためには、日頃からIT機器やネットワークの状況を可視化できるようにしてください。

セキュリティ対策への社員の努力が、
企業の利益を守ることにつながります

社員へのセキュリティ教育で重要なことについてお聞かせください。

社員への教育はもちろん必要ですが、不審なメールは開かないでくださいとお願いしても、必ず一定の割合で開いてしまう人がいます。これはもう仕方がないのですが、だからといってすべてをシステムで解決しようとすれば、莫大な費用がかかります。そのため、システムへの投資とともに社員の頑張りが重要で、この2つが機能することで企業のセキュリティ対策は成り立っています。社員の頑張りなしにセキュリティを強化しようとすれば、大きなシステム投資が必要となり、企業の現金は減少し、最終的に社員自身が困ることになります。セキュリティ対策への社員の頑張りは、企業の利益に関係します。決められたルールをしっかり守っているなかで起きたセキュリティ事故の責任は、会社とルールにありますので、システムとルールの見直しを行ってください。ただし、セキュリティ事故が発生したら、速やかに報告することは社員の義務です。報告を怠ったときの処分は仕方がありません。

私がセキュリティ講習会を依頼された際、必ずお伝えするのは「爆弾は手元に置かない」ということです。「これはマズイかも」と思ったら、偉い人に報告を上げて爆弾を渡してください。危険を察知したら、どんどん上に渡して、上の人が爆弾を抱えきれなくなれば、そこには投資が必要です。爆弾は危険物なので、自分のところに残したままにしてはいけません。最終的に爆弾は社長に集まり、抱えられる爆弾の量を超えれば、社長の判断で投資をすることになります。ルールを守りさえすれば、何が起こっても社員の皆さんが悩む必要はありません。

企業の事業継続は、
セキュリティ対策なしにはあり得ません

最後に、情報システム部門の方にメッセージをお願いします。

今、以前のように会場に足を運ぶイベントができなくなっていることで、オンラインイベントが盛んに行われるようになっています。オンライン化により、これまで東京・大阪でしか開催されていなかったイベントに、遠方や多忙が理由で参加できなかった方がアクセスしやすくなりました。世界中どこで開催されているイベントでも情報が等しく手に入る時代になりましたので、ぜひ積極的に参加して情報を入手してください。参加すれば、何かしらの情報が確実に得られます。その情報をどうやってうまく活用するかは、個人に委ねられていますので、情報システム部門の方にとってチャンスが広がっているのではないでしょうか。これまでどおりに業務をやっていれば、何も変わりません。企業が開催している無料のオンラインセミナーや各種講座、情報システム部門の方のコミュニティもオンラインで開催されていますので、こういったものに積極的に参加してみるのもいいと思います。

ITを導入している企業にとって、セキュリティ対策なしに事業を継続していくことはできません。セキュリティにいくら投資するか。これには利益とのバランスも必要なので経営者と会話する機会を作り、経営者が気になっていることをつかむのもセキュリティ担当者の役目です。セキュリティ対策に求められているのは、技術だけでなくこういった役割が担える人です。セキュリティを単独で考えるのではなく、ビジネスプロセスの中にセキュリティをどう実装するかを考え提案できる人は引く手あまたです。ぜひそういった立場になって活躍していただきたいと思います。

日本の企業は、ビジネスプロセスにおけるセキュリティの議論が足りないことが問題で、議論して中身を磨いていく場が必要だと考えています。そのような場を提供し、ビジネスプロセスの中にセキュリティを考えられる人を増やして、世に送り出したい思いで立ち上げたのが「Hardening Project」というコミュニティです。セキュリティの問題を技術的に話し合うのではなく、経営者にセキュリティ対策を強化したビジネスプロセスを伝えるロールプレーイングをしたり、実際に企業の社長に参加いただいて、セキュリティ事故が起こって、経営会議に呼び出されたという場面を疑似体験できます。経営会議には、システムやセキュリティに詳しくない役員が大勢いるため、理解してもらうのはなかなか大変です。ロールプレーイングを経験しておくことは、必ず役に立ちますし、自社のビジネスプロセスにおけるセキュリティとは何か、答えを見つけていただくきっかけになると思います。

次回の開催が決定しましたら、「Hardening Project」のWebサイトで告知します。また「Hardening Project」と検索していただくと情報が出てきますので、ご確認いただきお申し込みください。ただ、参加費無料ということもあり、毎回定員の2~3倍のお申し込みをいただいていまして、応募動機に熱いコメントを入れてくださっている方に優先して参加していただいています。このコミュニティは、最初に申し上げた「自助」「共助」「公助」のうちの「共助」にあたる活動で、この取り組みを通じて日本のセキュリティを、世の中を良くしていきたいと思っています。ビジネスプロセスにおけるセキュリティを一緒に考えていきましょう。

(「SKYSEA Client View NEWS vol.74」 2020年9月掲載 / 2020年7月取材)

ページのトップへ
「SKYSEA Client View」導入相談カフェ「SKYSEA Client View」導入相談カフェ
「SKYSEA Client View」導入相談カフェ