MPOWER 講演者コラム:セキュリティ意識向上のためのリスク・コミュニケーション

―組織文化と知の継承を活かした脅威情報共有-

 

岩井 博樹
株式会社サイント
代表取締役


2020年上半期は、大手企業のインシデント報道1 が相次ぎ、中国を拠点とするとみられるAPTグループからのサイバー攻撃に注目が集まりました。これだけサイバー攻撃報道が過熱したのは久しぶりですが、他人事の組織も多いのではないでしょうか。

これらのサイバー攻撃の本質は10年前と変わっていませんが、それでも侵害を受ける理由はビジネス環境の変化やインシデントへの対応経験値の高い人材が不足しているなど、複数の要因が考えられます。特に、セキュリティ人材の育成に関しては、伝承が難しいと感じるのは経験に基づく閃き、いわゆる「第六感」です。「ちょっと怪しい・・・」と思われるかもしれませんが、インシデントの発覚は第三者からの報告を除けば、関係者が”偶然”発見することが多いように思います。ごく一部の関係者のみがこの僅かな異変に気付くことに鑑みますと、発見者の過去の経験が何らかのアラートを挙げたのかもしれません。

シニア世代の武勇伝が将来のセキュリティ態勢を救う?!

セキュリティ対策が難しい理由の1つとして、攻撃者有利説がしばしば語られます。その他には、経験豊富なシニア世代の勇退といった「人的課題」、テレワークなどに代表されるような「ビジネス環境の変化」など、複数の要因が考えられます。

特に人的課題の影響は大きく、シニア世代の経験は後世に伝承してもらいたいところですが、なかなか難しいとの話を耳にします。例えば、2000年前半に猛威を振るったCodeRedワーム2 やBlasterワーム 3 、Slapperワーム 4 などによるインシデント対応の経験は、おそらく現在の10代、20代のセキュリティ担当者らには未知の世界でしょう。これらの武勇伝は是非、未来を担う優秀なセキュリティ人材に伝承してもらいたい逸話ではないでしょうか。

思い起こせば、当時のワームの感染力5 は爆発的なものでした。昨今のサイバー攻撃と比較できるものではありませんが、時間軸で考えるとインシデント対応には「迅速な安全確保」が求められていました。その意味では、インシデント対応にタイムリミットがあったと言えるでしょう。そのため、経営者判断も早く、1週間程度の事業の一時的停止は、中長期における事業継続を考えれば止むを得ない、といった考え方が多かったと記憶しています。

一方で、近年のサイバー攻撃は侵害事実の発覚が、侵入時から時間がかなり経過しているケースが殆どです。その為か、侵害を受けながらもサービスを継続するといった判断をする経営者がたびたびみられ、個人的には昔と比べて経営者のサイバーリスクに対する危機意識が薄くなってきている印象を受けています。その責任の一端は、経営層に情報を挙げているインシデント対応担当者らにもあるのかもしれません。この解決策は単純ではないことは百も承知です。そのため、セキュリティ担当者はサイバー脅威の影響を組織へ浸透させるべく、日頃からコツコツと情報発信を継続することが地味ではありますが重要なことだと考えています。

脅威情報の組織への浸透へはストーリーが大事

リアル社会において、安全情報の伝達にはリスク・コミュニケーションが欠かせません。これはサイバー脅威においても同様です。感染症専門医の岩田健太郎氏は、著書の中で次のように指摘しています。

「リスク下において、情報が伝達されず、情報発信者が沈黙してしまうと、その空間を素人が埋めるようになります。その多くは、デマや非科学的なトンデモ理論、勘違いだったりします。6

これは、サイバー脅威においても同様です。脅威情報の発信者が的確に経営者やセキュリティ実務者、現場へと情報発信を行わなければ、組織としてトンデモ対策を行なってしまうことになります。その際、組織全体へのセキュリティ意識の統一を図るためには、脅威情報に基き、「予想される自組織への影響」や「被害範囲の見積り」や「事業へのインパクト」、「複数の対応プラン」などを含めたストーリー性ある内容として伝えることが重要だと考えます。その結果、自組織固有の危機管理文化が関係者各位に浸透し、万一の際には誰もが迷いなく、同じベクトルで迅速な安全確保と事業継続を目的とした対応が可能になるのだと思います。例えば、下図のステップのように、受信した脅威情報にあらゆる角度から意見を取り込み、自組織に馴染むストーリーへと絞り込むことで、技術に偏向した内容になることを防ぐことができるのではないでしょうか。

では、ストーリーの肝となる脅威情報にはどのような情報が含まれていると参考になるのでしょうか。これは私見ではありますが、伝達する情報には次の3点を入れて貰いたいと考えています。

①侵害期間と発覚日時

⓶被害内容と復旧可否(情報漏洩事案は復旧不可なので、暗号化有無を争点とするなど)

③不明点(ログなどの証跡から被害内容が証明できない事項)

実際のところ、公開されている脅威情報には①〜③が含まれていない場合が殆どです。①においては、1年前の情報がまるで直近に発生したかのように報じられることは日常茶飯事ですので、複数の脅威情報と繋ぎ合わせて読み解くことが鍵となります。また、③については、脅威情報の発信元の”オトナの事情”があることも多々ありますので、組織内への情報発信者の想像力が鍵となってきます。これらを合わせて、「自組織全体に浸透しそうな内容」へと脅威情報を深化させていくことが、「見えない敵」と闘う上での勘所となってきます。

なお、脅威情報のストーリー化は、正解があるわけではありません。したがって、組織文化に合うスタイルで、(且つ忖度無しの)内容に落とし込めれば良いと思います。

サイバー脅威の組織全体での理解には時間がかかります。そもそもサイバーセキュリティに興味のある従業員は希有な存在であるという組織も少なくありません。これらも、経験豊富なシニア世代の武勇伝が伝承されない1つの理由になっているのだと思います。是非、自組織で培った経験値を次世代に残す上でも、組織内でのリスク・コミュニケーションを活性化してみてください。

  1. https://www.mitsubishielectric.co.jp/news/2020/0120-b.pdf,
    https://jpn.nec.com/press/202001/20200131_01.html,
    https://www.ntt.com/about-us/press-releases/news/article/2020/0528.html
  2. https://www.jpcert.or.jp/at/2001/at010020.html
  3. https://www.ipa.go.jp/security/topics/newvirus/msblaster.html
  4. https://www.jpcert.or.jp/at/2002/at020006.html
  5. https://www.cnet.com/news/msblast-epidemic-far-larger-than-believed/
  6. 岩田 健太郎. 「感染症パニック」を防げ!~リスク・コミュニケーション入門~
セッションの情報はこちら