情報セキュリティは昔も今も、企業にとって最重要課題の1つである。日本より頻繁なサイバー攻撃にさらされているドイツ企業にとってその重要度はきわめて高い。しかし、2023年2月9日にドイツのセキュリティ製品ベンダー、G DATA CyberDefenseとセキュリティ調査会社のStatistaが発表した調査レポート「数字で見るサイバーセキュリティ」によると、ドイツ企業の従業員の3分の1は情報セキュリティに関する知識や経験が低い、あるいはかなり低いと自覚しており、対策は必ずしも万全ではないようだ。本稿では同調査書の概要を紹介する。
G DATA CyberDefenseとStatistaが「数字で見るサイバーセキュリティ(Cybersicherheit In Zahlen)」という104ページにもわたる調査レポートを公表した。ドイツの大企業と中小企業に勤める5000人以上を対象に実施した調査で、大量のグラフが掲載されている。
レポートは、10の大項目で構成されている。すべての内容に言及することはできないが、調査結果の一部といくつかのインタビュー記事の要旨を紹介しよう。
調査レポートの前文には、DATA CyberDefenseとStatistaが今回も情報セキュリティ調査を行った経緯と調査の概要を述べている。背景にはやはりコロナ禍があり、リモート勤務やリモートアクセスが定着したが、個人の緩いセキュリティ管理が仇となって、サイバー被害が増加したという。
「準備は万全か」という章では、ドイツ企業の情報技術に関する知識や経験についての調査結果を示している。表1に示すように、業態によってかなり大きな差がある。電気通信、情報サービス、金融・保険は当然として、製造業のセキュリティ人材の充足度は総じて高い。その一方で建設や旅行業界はかなり低い。教育・人材サービス会社なども低いのは意外な感じがする。
順位 | 業種・事業内容 | 充足度 |
1 | 電気通信事業および情報サービス | 89.9% |
2 | 金融、保険 | 86.3% |
3 | 公共サービス | 85.6% |
4 | 機械製造(自動車、輸送機械) | 85.3% |
5 | 化学製品、医薬品の製造 | 85.0% |
6 | エネルギー、上下水道、廃棄物処理 | 78.6% |
7 | 繊維、衣料、靴 | 76.6% |
8 | 紙、ガラス、陶磁器、金属、木材、ゴム、プラスチック製品、家具製造 | 76.0% |
9 | 運輸・物流 | 66.4% |
10 | 食品、飲料、飼料製造 | 66.3% |
11 | 卸売・小売 (自動車販売も含む) | 65.1% |
12 | 福祉事業 | 59.6% |
13 | その他の産業 | 54.3% |
14 | 教育サービス | 53.2% |
15 | 人材サービス業(人材派遣、コールセンター、警備) | 50.8% |
16 | 研究・開発・調査、コンサルティング | 49.7% |
17 | 不動産、住宅産業 | 49.0% |
18 | 建設業 | 43.7% |
19 | 芸術、レジャー、スポーツ | 43.7% |
20 | 宿泊、レストラン | 35.8% |
表1:情報セキュリティ人材の充足割合(出典:G DATA CyberDefense、Statista「数字で見るサイバーセキュリティ」)
「敵は休まない」年中無休のセキュリティ部門のVW
独フォルクスワーゲン(VW)のITセキュリティ責任者のミヒャエル・クラム(Michael Kramm)氏のインタビューを載せた章がある。同氏は、160人のチームメンバーと共に日夜サイバー攻撃から同社の情報システムを守っている。クリスマスも大晦日、元旦も会社に詰めていることが多かったという。
クラム氏の勤務するヴォルフスブルクのオフィスでは、定常的に月200件の攻撃に対処している。特に注意しているのが部品サプライヤーのシステムだ。例えば、空調設備メーカーのエバーシュペヒャー(Eberspächer)は、2021年10月にサイバー攻撃を受け、全拠点のPCがダウンさせられ、被害総額はゆうに1億ユーロ(約143億円)を超えたという。この事案では、当然ながら、部品供給を受けているVWも連鎖的な被害を被った。そのためVWではサプライヤーのシステムに関して厳格なチェックを行っている。
VWは、車載コンピュータのOSを自社開発する方針だ。企業情報システムの防御だけでなく、今や電化製品、電気機器と言ってよいほど多数の制御コンピュータと電子回路を搭載する同社の自動車をサイバー攻撃から守るためだ。この決断には徹底性を重視するドイツ人気質を感じる。
ドイツと世界のセキュリティ情勢
「G DATA INDEX」と題した章では、ドイツ人の実に4分の1は何らかの形でサイバー攻撃の被害を経験していて、2022年は2021年に比べ情報セキュリティの安全度がわずかに(2%)減少していると考えているという結果を紹介している。
世界全体でのサイバー攻撃の実態に目をやると、2021年は、5年前の2016年に比べて実に15倍も攻撃が増えている。では、対策のレベルはどのくらい向上しているのか。ここでは、世界の代表的な国々のGlobal Cybersecurity Index(GCI)をリストアップしている。GCIは、国連の専門機関である国際電気通信連合(ITU)が加盟国の情報セキュリティの取り組み姿勢を評価するものだ。米国が満点の100点であるのを筆頭に、英国、サウジアラビア、エストニア、韓国、シンガポールなどが98~99点台の高得点を出している。ドイツや日本はわずか及ばず97点台である。
世界をより良き場所に、リーダーの奮戦
VWの次は、米カーネギーメロン大学INI(Information Networking Institute)所長のデナ・ツァミティス(Dr. Dena Haritos Tsamitis)博士(写真1)のインタビューである。
INIは情報セキュリティの専門家教育で世界屈指のカリキュラムを誇る研究所だ。カーネギーメロン大学には情報セキュリティに関して2つの組織がある。当初、INIが教育部門、CyLab(サイラボ)が研究部門という役割分担であったが、次第に両者の区別が判然としなくなったという。
ちなみに、筆者は2005年から2008年にかけて、兵庫県が資金を、INIがカリキュラムを提供して設立されたCylab Japanのプログラムディレクターを務めていた。そのときの副研究所長で、実際の業務に関する責任者がツァミティス氏であった。Cylab Japanでのメイン事業は、INIと同じく情報セキュリティ教育で、大学院(修士課程)のカリキュラムを提供していた。同氏によると、2002年のスタート時点では、INIの学生34人のうち、女子学生はわずか2人であった。それが現在では学生、教員とも女性の割合が半分になったという。
INIは、米国での成功をバネとして、ポルトガル、ギリシャ、カタールなど積極的に国際展開を図った。いずれも、日本同様、誘致を希望する側が資金を提供し、INIはカリキュラムを提供する。さらに、大学院生だけでなく、地域の高校生や子供に情報セキュリティ教育を行うなどの啓蒙活動も積極的に行っている。
筆者がツァミティス氏の活動を間近に見て感じたことがある。それは、氏の情報セキュリティ技術面に関する知識は専門家には遠く及ばないが、情報セキュリティを普及させる社会的意義に関しては、鋭く、的確な見識を備えていたことだ。そして、一度方針を定めると困難をものともせず、強力に推進する実行力を備えていた。
日本で、ツァミティス氏のようなリーダーが出てこないのは、技術系のプロジェクトにおいては専門知識を求めすぎていて、計画推進の能力を評価せずに人選をしている所に原因があるように感じる。
●Next:ドイツ企業のサイバー攻撃被害、その対策から学ぶこと
会員登録(無料)が必要です
- 1
- 2
- 次へ >
- EU議会が可決した「AI規制法」、ドイツ国民から賛否両論:第50回(2024/06/20)
- 欧州委員会が描く次のデジタル産業革命「Industrie 5.0」を読み解く:第49回(2024/04/15)
- ChatGPTを用いた良品/不良品判定─最新AIの活用に積極的なボッシュ:第48回(2024/02/29)
- ドイツの技術者が魅力的と感じる8つの都市、それぞれの特徴:第47回(2023/12/27)
- デジタルで業務を、働き方を変える─ドイツの“先進中小企業”から学べること:第46回(2023/11/06)