いま学生さんに伝えたい「サイバーセキュリティ事情」について、大学で講義してきました《前編》
先日ご縁があって、東京医療保健大学様に訪問し、医療情報学科の学生さん向けに「情報セキュリティの出張授業」を行ってきました。
ビジネス向けのセミナーに登壇する機会は多いものの、学生さんを前にお話するという機会は少なく、いつもとは少し違った新鮮な気持ちで、教壇に立たせていただきました。
私、西井自身は、普段はサイバーセキュリティの企業にて、お客様からの「サイバー攻撃を受けた」というご相談をもとに、フォレンジック対応やコンサルティングを提供する立場にいます。
自身にとっては非常に身近である“情報セキュリティ” ですが、学生さんや広く一般の方からすれば、システムやITサービス自体への関心はあっても、それを支える“セキュリティ” は、あまり身近な問題に感じられないかもしれません。
しかし、近年のサイバー攻撃の進化は目覚ましく、IT技術を活用する誰もが、セキュリティインシデントに巻き込まれる可能性と隣り合わせです。
特に今回、足を運んだのは医療系の大学でしたが、最近は病院や医療施設を狙ったランサムウェアなどの被害が後を絶たず、医療現場におけるセキュリティ強化は必須課題です。
今回はそうした背景も踏まえ、セキュリティに関する基礎知識や、医療現場におけるインシデントの実態、実務的なセキュリティ対策への取り組み方などについて、学生さん向けに講義した内容の一部を、皆さんにもご紹介します。
前編パートでは、まず、基本的な知識として知っておいていただきたい「情報セキュリティの基本概念」と「対策を行うポイント」についてお伝えします。
イントロダクション ~情報セキュリティクイズ~
はじめにアイスブレイクとして、身近な例を題材にした「情報セキュリティクイズ」を出題しました。
例題を1つ紹介しますので、皆さんもぜひ考えてみてください。
<情報セキュリティクイズ>
Q. 課長がメールチェックをしていると、人事部門からメールを受信した。
「先ほどの人事異動についての訂正」という文面で、ファイルが添付されており、ファイルの内容を参照するよう促す内容だ。「先ほどの」のメールは見ていないが、業務に関連がある内容だし、添付ファイルを開いて特に差し支えないと思っている。
正しい選択肢は、1~3のどれだろう?
業務に関連あるメールなのでOK
アンチウイルスソフト(ウイルス対策ソフト)が入っていればOK
送信者に確認した方がよい
── 正解は、「3.送信者に確認した方がよい」です。
というのも、メールの添付ファイルを開かせたり、本文に記載されたURLにアクセスさせて不正なWebサイトに誘導させることで、ウイルスに感染したり個人情報が盗まれたりするリスクがあるためです。
開封してよいかの判断がつかない不審なメールを受け取った場合は、送信元に確認したり、組織のシステム管理者や上司などの責任者に相談したりする必要があります。
改めて問われてみると、上記のような対応は「当たり前」と感じるかもしれません。しかし実際には、こういった基本的な対応がビジネスの現場で徹底できておらず、ニュースで取り沙汰されるような、大規模なセキュリティ事故に発展してしまっているという現状があります。
また例えば、以前までパスワードで推奨される文字数は「8文字」でしたが、最近では「12文字」が望ましいとされています。
このように情報セキュリティについてリテラシーを身につけること、そして、時代の変化に応じて、身に着けたリテラシーをアップデートすることがとても重要です。
「セキュリティの基本概念」について知る
「情報セキュリティが、実は身近な存在である」ことを知っていただいたところで、まずは「情報セキュリティの基本的な概念」について学んでいきましょう。
そもそも「情報セキュリティ」とは、「組織が保有する情報資産を守る活動」のことであり、この情報資産には「無形資産」と「有形資産」の2種類があります。
無形資産…情報・データなど物理的でない資産(人事情報、顧客情報、注文情報、新製品情報、技術的ノウハウなど)
有形資産…PC・スマホ・メモリーなどのハード面
組織は情報漏洩や、それによる損害・加害、金銭的被害、信用低下といったリスクを避けるため、これらの情報資産をさまざまな脅威から守らなければなりません。
それでは、どのように情報資産を守るのか?
このときポイントとなるのが「情報セキュリティの3要素(CIA)」です。CIAは「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の頭文字をとった用語であり、情報セキュリティの担保には、3要素を適切に満たすことが欠かせません。
機密性(Confidentiality):許可された者だけが情報にアクセス(閲覧・編集など)できること。それ以外の者にはアクセスできない状態にすること。
完全性 (Integrity):情報が改ざんされず、正確なまま保管・維持されること。
可用性(Availability):認可された利用者が、必要なときに情報にアクセスし、利用できること。
一口に「情報セキュリティ」というと、何となく1つ目の「機密性」をイメージしてしまいますが、「完全性」や「可用性」を守ることも非常に重要です。
例えば最近、病院がサイバー攻撃を受けて電子カルテのシステムが停止し、診療に影響が出るといった事件が頻繁に報じられますが、これは「機密性」に加え、「完全性」「可用性」が満たされていない状態です。
情報(カルテ)が改ざんされ、利用者(医師や看護師などの医療スタッフ)がその情報を利用できないとなれば、事業(医療サービス)そのものが停止に。金銭面・信頼面だけでなく、事業の性質によっては人命にも関わる大規模な被害につなる可能性があります。
このように、情報セキュリティが守られないことによって、事業や組織の存続そのものが脅かされる可能性があります。大切な情報資産を守るために、組織では「機密性」「完全性」「可用性」を意識して、情報セキュリティを維持することが欠かせません。
情報セキュリティ対策は、「リスク計算」をもとに進める
組織が保有する情報資産を守るために重要な「情報セキュリティの3要素(CIA)」を脅かすものを、「脅威」と呼びます。セキュリティを語る上で必ず登場する用語「脅威」「脆弱性」「リスク」の定義は、以下の通りです。
脅威:何らかのリスクを発生させる事象
脆弱性:システムなどのセキュリティ上の欠陥
リスク:損害を受ける可能性
さて、組織が情報セキュリティに取り組む際には、「この対策を行わない場合、どの程度のリスクが生じるのか」という検討が必ず行われます。この時に用いるのが「リスクの計算」という手法です。
リスクの計算の考え方
脅威 ✕ 脆弱性 ✕ 情報やシステムの価値(重要性)= リスク
企業のセキュリティ担当者は、この計算結果をもとに、リスクが大きい項目から優先的に対応を行います。リスクへの対応方法は、以下の4つです。
回避:リスクを発生させない
低減(適正化):リスクの影響を小さくする
移転(共有):リスクの影響を他に移す
受容(保有):リスクを受け入れる
ポイントは、リスクを「受け入れる(受容)」という姿勢もあることです。というのも、組織においてセキュリティリスクをゼロにすることは現実的でなく、リスク対策に使用できるコスト(人的・金銭的)にも限りがあるためです。
組織におけるリスクコントロールでは、あくまで「組織として現実的に受け入れられる水準」までリスクを減らすことを目指します。リスクを減らすための対策に掛かるコストの費用対効果を検討し、重要度の高い項目から順にセキュリティ対策を実施していきます。
約8割の国内企業で、何らかのセキュリティ事故が発生している
対策の費用対効果を考える際、ポイントとなるのが、万が一組織でセキュリティ事故(インシデント)が発生した場合に、どのくらいのダメージを負うかです。
企業がインシデントによって負うダメージは、「事業がストップし、その間の利益が上げられない」という単純な被害にとどまりません。被害を受けた顧客やパートナー企業から損害賠償を求められる可能性もあれば、個人情報の取り扱いに関する法令遵守違反で、懲戒や刑事罰を受けることもあり得ます。
会社の信用を失い、長期的に会社の業績が悪化する可能性もあるでしょう。
自分の勤め先のことではなかったり、いち消費者として生活をおくっていたりすると、こういった企業のセキュリティインシデントは実感の湧かない話題かもしれません。しかし、ニュースで報じられるようなセキュリティ事故は氷山の一角であり、実際は国内企業の78%で、何らかのセキュリティトラブルが発生していると言われています。
また、情報漏洩事故の発生による金銭的被害は1企業あたり平均で1億4,000万円にも上り、約9割の企業が、激化・巧妙化するサイバー攻撃によって「未知の脅威」に脅かされている、という調査結果もあります。
出典:トレンドマイクロ│国内法人組織のセキュリティインシデント発生率は約8割、平均被害額は約1億4800万円)
組織の情報セキュリティにおいて、知っておくべき2つのポイント
これからビジネスシーンや組織のセキュリティを学ぶ皆さんに、心に留めておいてほしいポイントが2つあります。
1つは、こうしたセキュリティインシデントの根本的な要因として、「人」に起因する問題が存在するということです。
直接的な原因には、ネットワーク環境やシステム、クラウドサービスなどの脆弱性や設定不備がありますが、その裏側には、それらを使用する人の対応漏れや設定ミス、必要なルールやポリシー策定・遵守を怠たるといった、人的要因が潜んでいます。
もう1つのポイントは、近年は「攻撃者の動向を把握した上で、防御側(自組織)の実態を知らなければ、効果的なセキュリティ対策は行えない」ということです。
ひと昔前であれば、一般的と言われる対策さえ行えていれば攻撃を防げていましたが、昨今は攻撃手法も多岐にわたり、伴ってセキュリティリスクが増大しています。攻撃者の動向を把握した上で「自組織の実態では、どのレベルで、どのような対策が必要か」まで考えなければ、いまの激化・巧妙化したサイバー攻撃には太刀打ちできません。
さらに「サプライチェーンセキュリティ」という考え方も重要です。昨今は「サプライチェーン攻撃」といって、大企業を直接狙うのではなく、その大企業の関連会社・取引会社などにまず攻撃を仕掛けて侵入し、踏み台にすることで、本来の目的である大企業を攻撃するケースが頻発しています。
昨今の攻撃者は、コストが潤沢でセキュリティ体制が強固な大企業に比べ、セキュリティに投資できず対策が不十分になりがちな中小企業を狙う方が、攻撃に成功しやすいことを知っています。
つまり、今や自組織だけが対策すれば十分な時代では無くなり、関連会社や取引先といった「サプライチェーン」のセキュリティ実態まで、把握しておく必要があります。大企業であればなおさら自社で完結せず、関連企業やパートナーを巻き込んだセキュリティ管理が重要となります。
まさに、孫子の「彼を知り己を知れば百戦あやうからず」という言葉の通り、効果的なセキュリティ対策に取り組むためには「敵情を知ることに加え、客観的に自組織を理解すること」が欠かせません。
▼2つのポイント
この記事のまとめ
少し長くなりましたが、「情報セキュリティの基本」についてお話ししました。学生さんはもちろん社会人の方も、情報資産に関わりのあるすべての方に、お伝えしたい内容です。
講義のおさらい
情報セキュリティとは、組織の保有する「情報資産」を守ること
「情報セキュリティの3要素(CIA)」を担保することで、組織の情報資産を守る
セキュリティ対策に取り組む際は、「リスク計算」の結果に応じて、優先順位を決める
セキュリティリスクの対応方法は「回避」「低減」「移転「受容」の4つに分類される
セキュリティインシデントでは、直接的な原因(システム面)が注目されがちだが、根本的な原因は「人」にある場合が多い
効果的なセキュリティ対策を行うためには、攻撃者の動向を踏まえた上で、自分たちの「実態を正確に把握する」ことが欠かせない
この内容が、講義を聞いてくださった学生さん、そして記事を読んでくださった皆さんにとって、「セキュリティ課題を自分事として捉える」きっかけとなれば嬉しい限りです!
次回のnoteでは、より具体的な「インシデント事例」の紹介や、組織的な面・技術的な面それぞれにおける「セキュリティ対策へのアプローチ」について、引き続き解説します。
<後編に続く>
