どもこんにちは。NPで特集が続いているので、僕の方でもこのお題で書いてみようと思います。

2017年は、サイバーセキュリティに大きな注目がされた年でした。ここ2年間、大手企業のサイバーセキュリティ取り組み状況を分析してきた身としては、2016年と比べて、明らかに対策が前に進んでいます。

しかしそれだけに、出来ているところと出来ていないところの差が大きく広がり、出来ていないところの周回遅れ感がとても高いのです。

2016年と17年度で、CISO（Chief Information Security Officer、セキュリティの最高責任者）の任命度合いが大きく増えてきました。加えて、その方が機能してきているのが17年の傾向でした。当初は”名ばかりCISO”なんて言われ方も多かった役職なんですよね。もうそういう状況からは脱しているようです。

しかし、CISOがいる組織といない組織との間で、セキュリティ部隊の「自社の対策に一定の評価をしている」割合が完全に比例するのです。つまり、いるところは対策も出来ているけど、いないところは出来ていない、という現場の認識なのです。

2017年はこうした従来からの状況に加えて、世界規模で発生したサイバー被害「WannaCry」「Mirai」などが発生し、日本でも被害が起きました。しかし、まだ日本では個人情報漏洩での大きなサイバー被害はあっても、インフラが停止してしまうような大きなサイバー被害は発生していないといえます。

来年、それが起きても、何なら今日起きても全然不思議はないのですが、あるとしたら朝鮮半島で有事が起きた時でしょう。その時は核ミサイルだけでなく、組み合わせの攻撃としてインフラへのサイバー攻撃が起きる可能性が極めて高いです。

特にここしばらくの間で、世界では鉄道へのサイバー攻撃が増えてきています。韓国や米国での事例があります。起きるとしたら東京。各社の乗り入れが多く、システムに頼る範囲が大きく、被害が起きたときに手動で回復させることが大変だからこそ狙い甲斐がある。もちろん首都ということもありますからね。

そして次に起きること。サイバーセキュリティ対策は中小企業でも必須になり、しなければ大手から契約を切られます。

ぶっちゃけ、サイバーセキュリティはカネがかかります。だからどうしても中小企業の対策は進みません。人材もいませんしね。しかし、サイバーセキュリティの潮流は、企業の中の対策ではなく、サプライチェーン全体の対策です。このことは2015年末に初めて公表された「サイバーセキュリティ経営ガイドライン」に、当初から語られていることですが、なかなか上記事情もあって中小まで広がることはありませんでした。

しかし、委託先や取引先から被害が広がることは以前からあったものの、大手企業自身も自社の対策で精いっぱいだったので、そこまで手を付けられていないんです。でもそろそろ、上に書いたように大手では対策が進み、自社と取引先との対策の充実度に大きな差がついている現状、優先順位が自社の外にあることに大手は気づいています。いよいよそこに手を付け始め、対策に問題があるなら代替できる業者を探し始めるでしょう。

ここで大事なことは、セキュリティソリューションを買い漁ることでも、コンサルを雇うことでも無いです。後者についてはコンサルが何言ってんだと思うかもしれませんが、ぶっちゃけ僕ら大手で手一杯ですので中小まで下りてくることはまずないですし、下りてくるコンサルがいたら基本的に信じない方がいいです。経歴詐称してるかもしれませんよｗｗｗ

大事なのは、身の丈に合った対策の推進です。そして、先日のJALさんがかかったフィッシング被害でも言えるのですが、業務手順をしっかりしていれば防げたはずのものというのが結構あるんです。

JALさんがやられたのは、急遽振込先が変更になったと連絡が来て、変えてみたらそれはニセだったという話。こういうのはソリューションじゃなければ防げないかというと、そんなわけはありません。というか、基本的にソリューションを入れないと絶対に防げないサイバー被害というのは少ないです。

連絡をよこした先に電話一本入れれば引っかからない話だったし、振込先変更などという経理業務における最重要業務に対する感度の高さがあれば、急に振込先を変えると言ってくること自体が怪しい。普通、そんなのはだいぶ前から告知しますよ。そういうのはセキュリティのプロでなければ気づかないかというと、むしろ経理業務のプロが気づくようなことで、セキュリティの専門人材がいないことでセキュリティ対策が進まない、ということは無いのです。

結局、自分たちで少しばかりセキュリティのことに意識を払う時間を取って、自分たちを守るために手順や手続きをどう変えるかを考えてほしいのです。

コンサルは高いカネ取る代わりに、それを高速に高品質に進めてはくれますが、関係者もシステムも多い大手においては投資対効果が出たとしても、中小ではオーバースペックになっちゃうことが殆どでしょう。だから買わない払わない、なので「出来ない」ではないのです。買わなくても払わなくてもいいので「やってください」。

といったところで僕からの2018年予測「サイバーセキュリティ」でした。