セキュリティ・コラム by MM総研所長 中島洋

「完全防御」から「危機管理」へ 
    ~ 発想変わる情報セキュリティ ~

2017年3月7日

 興味深い調査結果が発表された。日本情報システム・ユーザー協会(JUAS)が東証一部上場企業を中心に実施した「企業IT動向調査2017」によると情報セキュリティー被害に対処する専門組織「CSIRT」を設置する企業が増加し、全体の1割を超えたというのである。情報投資の中でもセキュリティー関連投資の比率が上昇している、とのことである。
 しかし、もっと興味深いのは情報セキュリティーを担当する組織である。前回の調査では「IT部門」が83.9%だったのが80.1%にわずかながら減少した点である。これは誤差の範囲に見えるが、全体的なトレンドを考えると、単なる誤差ではないと考えられる。「CSIRT」を設ける企業が増加しているのと関係している。企業はサイバー攻撃をファイアーウオールなどの防護壁を高く、厚くしても、もう防ぎ切るのは不可能だと認識し始めたということである。防護壁は突破される。突破されることを前提に、そうなったときにどうするか、という対応策に、焦点が移っていると言える。
 ZenmuTechの秘密分散処理の製品シリーズは、まさしく、突破された時に備えるセキュリティー製品で、「危機管理の時代」の製品だということを実感する。

 CSIRTは「コンピューター・セキュリティー・インシデント・レスポンス・チーム」の略称で、企業や行政組織、団体などで情報システムの安全上に対する脅威が発生した際に対応するためのチーム組織である。
 少数の専門担当者によるチームのこともあるが、多くの企業ではIT担当部門も含めた関係部署から併任者を出して横断的なチームで当たる。一昨年ころから、経済産業省が情報セキュリティー対策推進のために発表したガイドラインの中で企業内CSIRT設置を勧めるなど、啓蒙活動が盛んになって関心を呼んでいるが、JUASの今回の調査では「CSIRT部門」を組織している企業が10.3%に上ったという。前回調査の4.1%から急激な増加である。
 「CSIRT」をいち早く設けた先進企業に話を聞くと、担当は経営トップと直結の総務部系の「危機管理」部門に移したそうである。災害や事故、事件などが起きた際に企業が被る損害を極小化し、被害の拡大を局所的にとどめるのが危機管理の発想だ。地震や火事、海外事業所などでのテロ攻撃などは防ぎ切れるものではない。
 そうした災害に備える訓練や機材の装備などが必要なのはもちろんだが、さらに必要なのは、起こってしまった時にいかに各部署が連携して被害の拡大を抑止するかである。「ダメージコントロール」と表現すれば、もう少し理解しやすいか。サイバー攻撃の場合に当てはめると、攻撃を防ぐ努力はもちろんだが、防ぎ切れなかった時に備えるのがもっと重要で、まさしく危機管理の範囲の問題である。
 ちなみに、JUASの調査の情報セキュリティー対策予算の項目も紹介しよう。「IT予算全体に占める情報セキュリティー関連費用の割合が10%以上ある」と答えた企業は、売上高規模別に、「売上高100億円未満では71.1%」、前年比7.3ポイントの増加、「売上高100億~1000億円未満」で前年比9.4ポイント増加の「63.3%」、「1000億~1兆円未満」では10.2ポイント増加の「43.9%」となっている。売上高が大きくなるにつれ、情報セキュリティー関連費用の増加率が上がっている。ただし、売上高1兆円以上では5.7ポイントの増加にとどまっているが、大規模企業では「情報セキュリティー投資が先行している」ためだと見られる。増加率ではなく、IT投資の中のセキュリティー予算の比率は売上高規模が小さいほど、セキュリティー負担が大きくなっている。
 防御を突破されても「情報流出」が起きない、というのがZenmuTechの製品シリーズだが、従来のセキュリティー製品に比べると格段に安い。相対的に負担が大きくなる中小企業にも向いているのではないか。

 

ZenmuTech からのコメント by CTO 友村清

 サイバー攻撃等から企業を守ることは、徐々に難しい状況になってきている。今までのような防ぐという考えのセキュリティー対策では、日々進化するとともに巧みになってくるマルウェアやサイバー攻撃に対してどうやっても防ぐことができなくなっている。守れないのならば、貴重な情報を守る価値のない形に変換(無意味化)にしたら誰も盗もうとしなくなるのではないか?この発想から生み出された製品が「ZENMU」である。「ZENMU」は、秘密分散技術によって無意味化を実現している。秘密分散技術は、鍵の無い暗号技術として、RSAの創始者であるシャミアとリベストが発案した技術であり、どちらの手法も情報の原本性を壊すことで情報理論的安全性を確保している。「ZENMU」では、リベストが発案した「All or Nothing Transform(AONT)」という秘密分散技術を採用している。