Cyber SecurityサウナJapan

河野:
『Cyber SecurityサウナJapan』ポッドキャスト、エピソード12。前回に引き続き、秋晴れの青野原野呂ロッジキャンプ場からお届けします。

IT関連メディアの記者さん／編集者さんたちをゲストにお迎えする覆面座談会。後編では、日本の企業のサイバーセキュリティに対する意識は最近どのように変わってきたかについて、みなさまからご意見をいただいていきますので、よろしくお願いいたします。

では、トラさんからご意見お願いします。

トラ:
はい、トラです。私、割と業界長いということもあり、大昔といいますか、10年以上前の状況から見てるわけですが、その時期と比べると今は全然進んでいますよね、というのが正直なところです。当時はとりあえずセキュリティ製品を、それこそエンドポイントのアンチウイルスを入れとけばOKみたいな感じはあったと思いますが、最近はその辺りは変わってきていて。例えばNISTのサイバーセキュリティフレームワークとかそういったものも普通に語られるようになっていたりして、良くなってるとは思います。意識はすごく高まってるという印象はありつつも、ただ一方でちゃんと勉強してるというか、ちゃんと対策を取っているところと取ってないところの差も開いてるのかなというのも正直ありますよね。その辺りはやっぱり企業としての経営戦略とかそういうところに、サイバーセキュリティの意識を持てているか持てていないかですごく差がついてしまってるんじゃないかな、というのはちょっと危惧するところでもあります。

Tuomi:
そうですよね。企業の中での差はどうしても出るとは個人的に思ってますが、ヨーロッパの方では大体セキュリティはリスク管理部門のとかCレベルの人たちの責任になってますよね。CISOとしてセキュリティを全体的に担当してる人が大体いますよね。もしいなければ、逆にそういう人に育てる人を採用して、セキュリティ的に、全体的にビジネスの継続性を守れるために、そういうセキュリティの担当者を雇って育てたいという気持ちが強いですよね。日本の企業の中でCISO、インフォメーションセキュリティオフィサーという立場の人が、まだヨーロッパとかアメリカと比較すると少ないですよね。そうすると、セキュリティを担当するようになってるのは、私の経験に基づくと、IT部門だったり品質保障部門とか、そういうところですね。そうすると一部の製品のセキュリティとかを担当できるようなことはできますが、企業とかビジネス全体のセキュリティの視野がちょっとできてないかなと、個人的には思ってますね。なので、おっしゃってるいうことは非常にあってるかなと思います。個人的にはこれからどういう方向性を期待しているかとか見たいかというと、セキュリティをビジネスリスクの一部として考慮していただいて、全体的にセキュリティのためにどうすればいいですかっていうことを会社として、リスク管理のレベルを含めて、ちょっと考えてほしいなと思ってますね。

河野:
アンッティさんもコメントありがとうございました。

確かにこの10年間の違いっていったところは、10年前に比べると、一般的に報道されるサイバーセキュリティに関する情報や、残念ながら起きてしまった被害の例といったところも非常に増えてきてるなと私も日々思っております。

それでは、次のコメントをハスキーさんからお願いいたします。

ハスキー:
私も同じく、やはり変わってきているなと思っています。そもそも企業を取り巻くシステムの環境が変遷していることが第1に (要因として) 大きいのかなと思っています。その環境の変遷から“強制的に変化している”という部分もあると思いますが。意識の部分も着実に、CIO／CISOの設置が進んでいるなど、変わってきているのかなと思う一方で、民間での動きが見られつつも、まだまだ国レベルでの動きがどうしても追随できてないかなと思うところです。何かインシデントが起きたときに、例えば制裁金の上限が1億円だったら、そこまでの (1億円以上はかけない) 対策で企業はいいのか。また、専門人材も必要とされていますけど、本当にその専門人材というものが、例えば製品やソリューションを単純にコントロールするだけの人材なのか、それともそれ以上のことを求めているのか。ガバナンスを構築・策定したり、そのあたりまで求めているのかどうか。そこが、まだまだズレがあったり、大きく認識が違うのかなと思っています。なので、進歩も見られつつ、まだまだ追いついてない部分もあるかなというのが現状だと考えています。

河野:
ハスキーさん、ありがとうございました。

企業のシステムの構成が変わりつつあるというお話をいただきましたが、確かに10年前に比べると、10年前2013年ぐらいの企業のITシステムっていうのはまだまだオンプレが基本で、クラウド環境を使ったりSaaS環境を使ったりというお客さんは一部限定的、あるいはWebのフロントの部分だけというところが多かったと思うんです。これがやはりこの2023年この数年間、10年間の中で、企業の基幹システムに至るまでクラウド環境が使われるようになり、SaaSをアプリケーションとして使うことも基幹系システムが使われるようになってきた、そういった観点で企業のシステム構成の変遷や気をつけるべき点、サイバーセキュリティに関する留意点というのはやはり変わってきてるなというふうに思います。

Tuomi:
そうですね。あとはやはりどうしても個人的には、民間の方ではいますが、国のレベルのことをある程度見てはいますが。例えば、ヨーロッパの方でですね、最近CLAのサイバーレジリエンススアクト (EUサイバーレジリエンス法案) で、どういう製品はヨーロッパで売ってもいいか、どれぐらいのセキュリティのレベルが必要かとか。そういうことは最近これから標準化しようとか、ある程度は進んでいるというところですよね。日本のレベルですと1つ難しいところとして個人的に思ってるのは、どうしても民間の方がある程度動きが早いですよね。やはりどうしても自分のお金が心配ですので、サイバーセキュリティのためにどうすればいいかが気になってますね。その一方で、国としては法律などのレベルで動いてますので、動きが遅いですよね。ただ、その2つの中でのバランスをうまく活用して、例えば国としてはいずれこういうふうにしたいですね、それができるために民間のセキュリティ企業にインプットしてもらうとか、そういう制度はやはりヨーロッパの方ではある程度活用されてますので、そういう感じで、民間レベルでちょっと想像できないぐらいの期間は国のレベルで目指していただいて、それを実現できるために、最近民間で一番の先発になってる企業に相談していただければ、すごくいい結果を出せるかなとは個人的に思ってますが。

河野:
アンッティさんもコメントをありがとうございました。

それでは、次のコメントをシカさんからお願いします。

シカ:
先ほどちょっとアンッティさんも触れられていたCISO関連の話なんですけども。どうしても表に出てくることが少ないかなと思っていて。エピソード11のアルパカさんのお話でもあったように社内でのセキュリティ教育とかも含めて、誰か1人のせいとかじゃなくて組織全体の責任であるわけなので、そういう場合にCISOとか経営陣に責任を負えるような立場の人を置くっていうのも、すごく重要だと思いますし。何となくセキュリティの担当者を情シス部門に置いていることで収めている部分があると思います。担当役員を置くっていうのはすごく重要なことだなと思っています。取材していると、セキュリティのことに関すると、例えばセキュリティ企業さんに取材するときにはいろいろ話していただけるんですけども、そうじゃない企業さんにセキュリティの話を聞くことって結構できないんですよ。なんでかというと、何かしらのインシデント・リスクになってしまうと考えられたりとか。また、インシデント自体を取材することもできないというのが往々にしてあるので。そこはオープンにしていくことでみんなで気をつけましょうというような、次のステップを踏むための材料としていい意見として集約して、次に繋げるみたいな形にしてくれた方がもっと日本のセキュリティ業界が良くなっていくんじゃないのかなっていうのは、すごく思うところではあります。

河野:
シカさん、ありがとうございました。

確かに情報共有という観点で、サイバーセキュリティの情報交換ができるような企業同士のコミュニティや、残念ながら起きてしまったインシデントに対しても、それに対してどのような対策していくべきかっていった点は、エンドユーザー同士が情報交換できる場、またウィズセキュアのようなサイバーセキュリティのベンダーや、実際の構築を担当されてるインテグレーターの方々も含めて、パートナーシップを組んでいくべきっていうような考え方を私たちウィズセキュアという企業は持ってるところもありますので、非常に参考になるご意見をありがとうございました。

Tuomi:
シカさんが出していただいた話題はすごくいいと思いますね。個人的に振り返ってみますと、いい意味でも悪い意味でも日本はやはりどうしてもそういう完璧を目指しますよね。そういう弱さとか失敗しましたってあんまり言いたくないですよね。それはある意味ではいいことですし、完璧は目指すべきではありますが、やはりセキュリティというのは例外についての話ですよね。なので、そういう例外を100%防げるのは、そもそもあり得ない話ですよね。なので、セキュリティ的にはとりあえず頑張っていますが100%守るのはそもそも無理ですよ、という意識をもうちょっと持ってもらいたいですよね。先ほどのセキュリティについて話ですが、ヨーロッパの方とかアメリカの方はですね、日本と比べるとそういう勝手な文化もある程度はありますね。なので、企業が攻撃されて、お客さんの情報が流出されてしまったら、お客さんとしては、それを発表しないとみんながすごく怒りますよね。なぜかというと、自分の情報ですよね。その企業の損害はどうでもいいですよね。だから、僕の情報が露出されてしまいますっていうことがわかったら、それをニュースに報道しますとかそういうことになりますね。そういうことで、ヨーロッパとかアメリカでは、こういうサイバーインシデントとかセキュリティインシデントだったり、その他のことはかなりの報道されてますね。それはもちろん企業については残念な話ではありますが、ある意味でそれがノーマル、それは普通になったらある程度、実はうちもセキュリティでトラブってますよねとか、実はうちもこういう問題がありますとか、こういうことで頑張ってますよとか、そういう話の機会には、きっかけには一応なりますよね。そうするとやはりもっとオープンにセキュリティについて話し合えることで、ある程度はセキュリティは全体的に良くなるでしょうとはちょっと思ってますよね。ごまかして、大丈夫ですよセキュリティ大丈夫ですよってというままだったら、ちょっと改善はできないですよね。とは思ってますので、シカさんのトピックとして、すごくいいことを聞けたかと思いました。

河野:
それでは今日最後のコメントとして、アルパカさんから、企業のセキュリティに対する意識に関する点、気になってる点をぜひコメントをお願いいたします。

アルパカ:
企業自体は本当に意識が高まってるなというのはすごく感じています。理由としては、経営戦略発表会とか事業戦略発表会に行けば、必ずトピックとしてそれがキーワードとして上がるので、企業の方々が考えているんだなというのは、日々感じているところです。でも一方で、中小企業とか本当に小さな企業は「あんまりウチには関係ないや」という意識がまだ強いのかなと思っていまして。前にいた会社は結構小さい会社だったんですが、「やばいメールは開かないで」というぐらいで、それ以上のことは特に教育された覚えがないので。そういう小さい企業も自分たちも他人ごとじゃなくて自分ごとなんだなと考えてもらうためには、さっきお話にあったように、同業のどこどこ社さんもこんな目に遭って、それでこうやって何とか防御しましたとか、サイバーセキュリティの事例、身の回りの近い話を共有することが「ウチも小さいからって、他人ごとじゃないんだな」とか、いうふうに思ってもらえるきっかけになるんじゃないかなと、日々考えています。それを伝えるのがメディアの役割なのかベンダーの役割なのか、そして政府の役割なのかはちょっと「うーん」という感じですけど、そんな感じで考えています。

河野:
アルパカさんもコメントありがとうございます。

本当にいまお話しいただいたとおり、いろんな企業の経営戦略の発表会や、場合によっては決算発表会などでサイバーセキュリティのトピックを聞く機会というのは非常に増えてきました。それだけ需要度が高まっているという点だと思いますし、もう1つコメントとしていただいた、中小の規模のお客様のところでもサイバーセキュリティの重要性をどういうふうに受け止めていただくか、また、対策や情報共有を行っていただくかという点で、今日お話をさせていただいてるこのポッドキャストなどが何らかの形でご参考になればいいなと思う河野でした。

アンッティさん、まとめのコメントがありましたらお願いします。

Tuomi:
すごぐ感じたのはですね、やはりセキュリティは何のためにやってるかっていうことを考えますと、ビジネス継続性のためですよね。小中規模の企業ですと、ビジネスの継続性はそもそもの経営とかその他ことに依存していますよね。セキュリティを考える余裕は、大手企業ほどではないですよね。その中で心配点として、まずはそのビジネスを守れるために頑張れってというのは、セキュリティより重要だとは思ってますよね。ただ、その中で小規模のビジネスから育っていって中規模／大希望に、大手企業に向かうときにですね、だんだんやはり自分のビジネスには、お客さんの情報とかお客さんのデータだったりお客さんのクレジットカード情報とか、それが重要な一部ですよね。それを意識していただいて、お客さんの情報とかお客さんのおかげでやっぱりビジネスができることを意識していただいて、やはりそのお客さんの情報とかお客さんのプライバシーを守っていきましょうよ、という意識をしていただきたいですねとは、個人的に思ってますね。そういう小中規模の企業でしたら、まだそういうレッドチーミングとか本格的な攻撃やってみましょうとか、そういう段階では当然無理だとは思ってますが、お客さんがお客さんとお客さんの情報を守るために、若干頑張って欲しいですね。それぐらいの意識が常にあれば、もうゼロよりはずっとマシですし、たまにはセキュリティ企業に相談していただいて、「ウチ、そんなに予算持っていないですけど、こういうことが、セキュリティのことが心配ですよ」という相談していただければ、プライス／パフォーマンスのいいところで、ちょっと少しずつ突っ込んでいけば、対策していけばいいかなと個人的に思ってますね。やはりすごく重要な話題だと思いますね。ありがとうございます、アルパカさん。

河野:
といったところで、『Cyber SecurityサウナJapan』エピソード12をお届けいたしました。普段はアンッティさんと河野、もしくはゲスト1名様をお招きしての『Cyber SecurityサウナJapan』なのですが、今日は4名のみなさまにお話をいただきまして、『Cyber SecurityサウナJapan』が目指している、サウナのようにホットなトピックで非常に活発なお話がいただけたと思います。ご視聴いただいてるみなさまもきっとご参考になったのではないかと思います。

そしてですね、本日は青野原野呂ロッジキャンプ場に朝から来てまして、サウナに入ってポッドキャスト1本目前編収録。で、後編収録したといったところで、今お時間的にはお昼の2時。ここで我々学びとしてですね、キャンプ場でテントサウナやると、ポッドキャストが2本収録できるという学びがございました。といったところで、本日の『Cyber SecurityサウナJapan』エピソード12はこのあたりで終了となりまして、本日ご参加いただいているゲストのみなさま、そしてアンッティさんと河野は、今日午後の最後のサウナに行って参ります。それではみなさま、次回の『Cyber SecurityサウナJapan』エピソード13でお会いしましょう！

Cyber SecurityサウナJapan エピソード#12はYouTubeでもご覧いただけます。
https://youtu.be/LjVIsoVwE8g