標的型攻撃をはじめとするサイバー攻撃や内部不正が招く大規模な情報漏洩が頻発し、企業のセキュリティ/情報管理体制が改めて強く問われている。今、企業はどのようなスタンスをもって問題に対峙したらよいのか。NTTアメリカ社長等の経験を持ち、経済学・法学の専門家でもある情報セキュリティ大学院大学教授の林紘一郎氏に尋ねた。(聞き手・構成は河原 潤=ITジャーナリスト/IT Leaders編集委員)
サイバー攻撃の主戦場は民間から国家へ
――サイバー攻撃をはじめとする情報セキュリティの脅威がここ2、3年で急激に増しています。傾向をどう見ていますか。
攻撃にしろ防御にしろ、サイバー攻撃の主戦場は長らく民間企業の間にあったが、昨今では国家セキュリティのレベルに引き上げられている。どこかの企業で機密情報の漏洩が発生したとき、まずはその情報に価値を見いだす者の犯行を疑うわけだが、2011年9月に三菱重工への標的型攻撃が発生した頃から、社会インフラを担う企業を狙い、その国にダメージを与えるような攻撃が珍しくなくなってきた。しかも「APT(Advance Persistent Threat)」と呼ばれているように、持続性・執拗さを持った先端的な攻撃で、攻撃者が身元を隠す手法も実に巧妙だ。
――かつては、ハッカーが自身のスキルを誇示するかのような愉快犯的なサイバー攻撃が目立っていました。今では、金銭窃取を目的にした犯罪集団や、政治的あるいは宗教的な信条の下で動員されたハクティビズム(hacktivism)が目立ちます。背景には何があるのでしょう。
価値の多様化やコンピュータネットワークの進展など、複合的な要因があると思う。また、人の倫理感も揺らいでいる。インターネットの商用化が始まった1990年代初頭は、思想的に自由主義者の主張が目立ったが、今では混沌としている。いわゆるネット右翼のような、既存の国家をひたすら忌避しまるで自分たちが国家とでも言いたいような輩も目立っている。超高度な情報処理の仕組みを持つはずの人間が、大量の断片的な情報に流されて短絡的な行動に走るようなさまを見ていて、非常に残念な気持ちではある。
セキュリティの国際コミュニティで継続的に活動できない日本
――各国とも、国を挙げてサイバー攻撃への対策を進めていますが、グローバルの先端レベルに日本はついていけているのでしょうか。
最先端にはいない。ただ、どこかに最先端があるとして、そこに追いついていこうという発想でもなくなっている。現在最も取り組みが進んでいるのはある意味で北朝鮮だという話もある。守らなくてはならない資産が元々さほど多くないのに加えて、ネットから切り離されている領域が圧倒的に多いからだろう。最悪、国家間の戦争が起こったとして、守るべきものが少ないほうが有利になるのは自明だ。戦争になれば極端な話、51対49でも勝ちは勝ちなので、守るべきものが多いほど劣勢を強いられることになる。だから、情報強国と呼ばれるような国でも勝てるとはかぎらない。
――失うものがないと、とんでもない暴挙に出る恐さは確かにあります。核兵器への対処と同様、各国が連携をしてグローバルでサイバー攻撃への対策の統治を考えていくような動きも出てきています。
部分的に起こっているが、足並みがそろうには時間がかかるだろう。私が問題視しているのは、どのセキュリティ評議会においても、日本のメンバーが継続的に参加できていないこと。これは国際的な評議会における信頼度にもかかわる問題で、サイバー攻撃の最前線に日本がどれだけ参加して、活動できているかについては、今一度真剣に考えなくてはいけない。
――どこに原因があるのでしょうか。
1つに、日本の官僚制度のウィークポイントが露呈しているように思える。約3年間のローテーションで、担当する任務が変わり、最前線から離れてしまう。情報セキュリティのような分野でこのやり方だとかなり厳しい。海外では民から官、官から民の流動性が高いこともあって、優秀な人材が情報セキュリティのトップコミュニティに集結し、継続的に諸問題を追っている。日本でも金融庁に関しては、民間から優秀な人材を呼んで長期間同じ任務につくケースが珍しくないので、セキュリティ分野でもならうべきではないだろうか。
企業の監督者たる取締役の役割とは
――サイバー攻撃の国際コミュニティに対し、日本が継続的に関われていないという指摘がありました。では、ベースの取り組みとして、民間企業のセキュリティ施策や問題意識についてはいかがでしょう。
民間についてもやはり、この国の制度的・習慣的な問題から十分なレベルでの取り組みに至っていないように思う。特に、取締役が内部昇格で決定するという日本企業の慣例を問題視している。それまで製造部門のトップや、マーケティングやセールスのトップといった各現業部門の部長が取締役に就任するといった慣例だ。
何が問題かというと、彼らは現場のビジネスのことは熟知していても、情報やデータの扱いについては十分に理解していないこと。もちろん、情報システム部門がやるような情報管理のスキルを身につけるべきと要求しているわけではない。取締役には本来、企業経営の監督者としての役割があるはずで、例えば、財務諸表を読めたり、コンプライアンスやリスク管理を正しく理解していたりといったことだ。
――現場のビジネスに精通していたリーダーが、取締役になって企業の監督者として役割をはたしていけるとはかぎらない。この点が周知されていないと。
まだまだだと思う。セキュリティの領域で言えば、取締役は、情報管理の不備が自社の経営を揺るがすようなセキュリティ侵害事案にならぬよう、普段からきちんとその体制や仕組みに目を光らせている必要がある。有事にそうした動きがとれる日本企業が非常に少ないのが実情だ。
取締役会は監督者であって執行者ではないということが、日本でもそろそろ浸透していかなければならない。私は、企業経営における執行と監督の分離について、1930年代に起こった所有と経営の分離以来の大改革に相当すると考えているが、まだ広く理解されているとはいいがたい。今では、執行を兼務しない取締役だけの役員もだいぶ増えているし、取締役会に第三者を入れることもルール化されているので、これからだと思うが。
会員登録(無料)が必要です
- 1
- 2
- 次へ >