1. ホーム >
  2. FUJITSU PCセキュリティラボ >
  3. サイバー攻撃から社会・企業を守るために 〜富士通からの提言〜

FUJITSU PC Security Lab.

富士通がお勧めする Windows.

サイバー攻撃から社会・企業を守るために
〜富士通からの提言〜

記事の要約

  • サイバー攻撃の10倍以上の被害が生じている内部不正。マイナンバー・個人情報保護・サイバー攻撃対策を一体的に捉えた対策や運用こそが重要。
  • あらゆる企業や組織が繋がり、自社システムの脆弱性が他社のリスク要因となりかねない今、必要なのは自社システムを守ることで社会全体を強くしていくという意識。
  • 急速に普及するモバイルやIoT。サイバー攻撃対策と並んで、認証の強化が今後のセキュリティ対策上の重要課題に。

全文を読む

企業経営におけるセキュリティ対策・現在と未来 ■特別対談 サイバー攻撃から社会・企業を守るために 〜富士通からの提言〜 日経BP社 日経BPイノベーションICT研究所 所長 桔梗原 富夫 氏/富士通株式会社 統合商品戦略本部 エバンジェリスト 太田 大州 氏

悪意あるサイバー攻撃による被害は、ますます増加の一途をたどり、さらに深刻化している。これらのサイバー攻撃から社会や企業を守るために今、どのような対策が求められているのか。富士通でセキュリティイニシアティブセンターの設立に関わり、初代センター長を務め、セキュリティ対策の最前線に立つ、統合商品戦略本部 エバンジェリストの太田 大州氏に、近年の情報セキュリティ事情や、サイバー攻撃への対策、富士通の取り組みなどを聞いた。

(聞き手は、日経BPイノベーションICT研究所所長の桔梗原 富夫)

セキュリティに対する社会認識を一変させた個人情報漏洩問題

桔梗原氏 最近の情報セキュリティで象徴的なトピックスを教えてください。

太田氏 富士通株式会社 統合商品戦略本部 エバンジェリスト 太田 大州 氏 やはり先般起こった公的機関の個人情報流出問題です。メールの添付ファイルを利用した、標的型サイバー攻撃により、125万件もの個人情報が流出しました。不正な通信を発見し、外部機関へ対応を依頼したという流れは、間違っていなかったのですが、スピード感が伴っていなかった。つまり、危機管理のための体制が十分ではなかったということです。

これを受けて、政府やその他の公的機関でも、セキュリティ対策の改善に向けて動き出しています。社会全体の認識が新たにされた事件として、象徴的なトピックスです。

桔梗原氏 間もなくマイナンバー制度もスタートします。

太田氏 マイナンバーを含む個人情報は特定個人情報に指定されており、適切な取り扱いが求められます。ただし、そんなに構えることはなくて、今までの個人情報と同様に適切に管理されることが重要です。ですが、万一情報が漏れた際には大きな損害が出かねないということについては、経営者の方にご理解いただいた方が良いと思います。

昨年は多くの情報漏えい事件が起こり、特に、サイバー攻撃ではなく内部不正による漏えい事件も目立ちました。実際には、内部不正の方がサイバー攻撃の10倍以上の被害が出ていると世界的には言われています。

サイバー攻撃の対策を進めていくと、内部不正も見えてきます。マイナンバー・個人情報・サイバー攻撃と分けて考えるのではなく、全体を捉えた対策や運用を考えるということが、これから非常に重要になってきます。

桔梗原氏 先般の個人情報漏えい事故では、運用面の問題が大きな情報漏えいに繋がったと言われています。

太田氏 ポリシーはある程度決められていたと思いますが、現場にとってルールというのは、使いにくい、不便ということに繋がってしまいがちです。現場の利便性に対する要求と、セキュリティ対策のバランスが十分に議論されていなかったということだと思います。十分にコンセンサスが取れていなかったからこそ、ルール違反が起きたわけです。本来、利便性が低いのであればポリシーを変えて、セキュリティが低下したら、そこをどう運用でカバーしていくかという議論をすべきだったのではないかと思います。

まずは自社のシステムを守っていくセキュリティ意識が重要

桔梗原氏 富士通が取り組んでいる、企業のセキュリティ課題への解決アプローチを教えてください。

太田氏 日経BP社 日経BPイノベーションICT研究所 所長 桔梗原 富夫 氏 富士通では、“お客様にICTを安心してお使いいただくために”セキュリティへ取り組んでいます。ICTのライフサイクルを支え続けるのが富士通の使命です。セキュリティ関連の製品やサービスを「FUJITSU Security Initiative」として体系化し、継続的に開発、提供を行っています。また、国内外約300社がつながる当社のイントラネット内で起こる1日数億件にも及ぶイベントを、適切な対策と運用により対処しています。こうした研究開発や社内実践に加えて、情報セキュリティ専門家育成の取り組みも強化しています。

例えば、クラウドコンピューティングにおけるセキュリティを専門に扱うエキスパートチームである「富士通クラウドCERT」がいます。こうしたチームの人材をしっかりと、薄くならないようにするというのも、我々の中の取り組みのひとつです。

そして、これらのアプローチを通して得た技術やノウハウを製品に反映し、運用設計に生かして、お客様にご提供していく。それが、私どもが考えている、解決のためのアプローチです。

図:FUJITSU Security Initiative

桔梗原氏 こちらのセキュリティイニシアティブセンターもアプローチのひとつですね。設立の経緯をお教えください。

太田氏 2013年に韓国で、大規模なサーバ攻撃による放送局や金融機関のシステムダウンが発生しました。私どもはこの事件を知った時に大きな衝撃を受けました。そして、お客様に対して、このような脅威が存在し、被害は起こり得るという現実をしっかりと伝えていかなければいけないと考えました。お客様に脅威や事実と、富士通の取り組みをご紹介するための施設として、セキュリティイニシアティブセンターを設立しました。

日経BP社 日経BPイノベーションICT研究所 所長 桔梗原 富夫 氏
SI会社を経て1987年、日経BP社に入社。一貫してICT分野を担当。「日経データプロ」「日経コンピュータ」「日経Windows NT」の記者・副編集長として、主に企業情報システムの動向やICTベンダーの経営戦略を取材・執筆。2001年「日経IT21」編集長、2003年「日経ソリューションビジネス」編集長、2006年「日経コンピュータ」編集長を歴任。2010年コンピュータ・ネットワーク局長に就任し、ICT関連事業を統括。2012年執行役員に就任、2013年1月より現職。
富士通の「セキュリティイニシアティブセンター」
写真:富士通の「セキュリティイニシアティブセンター」お客様のセキュリティ環境の課題抽出、対策検討、システム構築、運用といったライフサイクルに対し、巧妙化するサイバー攻撃などの脅威から、常に安全なICT環境を保てるよう支援を行うために、2014年1月に設立。セキュリティエキスパートが富士通独自の手法により、お客様の現状から課題を洗い出し、対策立案、ロードマップ策定を支援する「セキュリティワークショップ」、お客様ネットワークなどを模擬した環境を仮想的に構成できるサイバーレンジを用意した「設計・構成の妥当性検証」、富士通クラウドCERTや当社の社内情報システム部門と連携して、脅威・脆弱性情報の早期発見と評価、インパクト分析を行う「最新脅威・脆弱性情報などの評価・分析」の機能をワンストップで提供。セキュリティに関するライフサイクルに対し、常に最適な対策を施すことができる支援を行う。

桔梗原氏 解決へのアプローチは進んでいますか。

太田氏 ユーザ会や研究会などでお客様にアンケートをお願いしますと、セキュリティに対する課題認識として、対応をここ1、2年でやりたいという情報システム部門の長の方が7割以上いらっしゃいます。そして、この数字はここ数年変わっていません。

セキュリティを課題と認識し、1、2年で対応したいという方が多ければ、翌年以降のアンケートでは、課題解決したという数字が増えて、課題・対応予定の数字は減っていくはずです。つまり、課題解決できないままというお客様が、まだまだいらっしゃると認識しています。

桔梗原氏 課題解決が進まないのはなぜでしょう。

太田氏 これは単純に言えば投資がないということですね。では、解決のためにはいかにアプローチすれば良いのかというと言いますと、やはりトップの方の意識改革ではないかと思います。トップの方に、サイバー攻撃に対する理解をしっかりとしていただいた上で、現場の方々が動きやすいようにしていくこと。それが直近の大きな課題と思います。

そのために、このセキュリティイニシアティブセンターもあります。まだ現状は、“うちは狙われるかな”といったレベル感で、差し迫った課題と捉えられていないのではないかと思いますので、そこをしっかりとお伝えしていきたいと考えています。

できるだけ運用を効率化できるように、現行の投資でもなんとか回るようにという現場側の動きと、トップの考え方を変えていく。人材育成まで含め、ICT投資で終わらないサポートを提供していくことが富士通の役割です。

桔梗原氏 ここ数年で起きているさまざまな情報漏えい事故などを受けて、着実に意識が変わってきていると思っていたのですが、まだ十分ではないのですね。

太田氏 すでにインターネットは社会インフラです。あらゆる企業や組織が繋がっています。標的型サイバー攻撃では、直接狙われた企業、組織でなくても、攻撃のための踏み台として利用されることがあります。自社のシステムが他の企業の迷惑になる恐れがあるわけです。そうしたことを考えた時に、まずはしっかりと自社のシステムを守っていくということは、インターネットを使う上での礼儀、マナーではないかと思います。

インターネットは便利ですが、オープンであるがゆえにリスクが付きまといます。それぞれがまず自分を守ることで、社会全体を強くしていくというコンセンサス、意識が必要です。

自社だけでセキュリティをすべてカバーするのは難しい時代

桔梗原氏 富士通ではセキュリティ人材の育成に力を入れていますね。

太田氏 富士通では、サイバーセキュリティに関する技能を持った富士通グループの人材を発掘、育成し、お客様の安心安全なICT運用を支えることを目的にした「セキュリティマイスター認定制度」を実施しています。最新のサイバー攻撃情報や解決策について、認定者コミュニティが日々情報交換を行い、それぞれの現場で生かしています。

 セキュリティマイスターの人材像モデルは、3つの領域に分けて定義しています。高度な脅威への対抗、グローバルな動静分析を行える「ハイマスター領域」。次に、高い技能を駆使したセキュリティサービスを担うことのできる「エキスパート領域」。それから、現場の品質確保、的確な事案の初動対応を行う「フィールド領域」。3つの領域あわせて、700名のセキュリティマスターを3年間で発掘、育成していきます。

図:富士通のセキュリティマイスター認定

桔梗原氏 やはりユーザが自社だけでセキュリティ対策をすべてカバーするのは難しいですか。

太田氏 脅威の発見はともかく、分析まで考えると、自社ですべてをまかなうのは難しいですね。重要なのは、その後の対応、運用です。ウイルスの検体をセキュリティベンダーに送って分析してもらって、といった従来の対応では通用しなくなっています。待っている間に被害が拡大してしまうからです。24時間365日の運用、そしてスピード感を持った対応が必要です。

桔梗原氏 従来のセキュリティ対策とは、まったく異なる対応が求められていますね。

坂巻氏 対談風景 従来のICTは、機能要件を定義して、それに対する構築を行うというロジックでした。しかし、セキュリティは非機能要件です。その部分をどこまで取り入れていくかが重要です。新しい要件はコストになってしまいますので、どれだけミドルウェアやハードウェアで織り込んでいけるかということです。効率的に作るための基盤だけではなく、効率的に運用できるような基盤になっているかが、これからのポイントになります。

 例えば、富士通の提供する統合運用管理ツール「Systemwalker」では、セキュリティ要件も織り込んだ運用を行うことができるようになっています。富士通のセキュリティ運用の実践知を活用した対処手順を運用シナリオとして提供し、インシデントの管理から対処までを確実にフォローします。

新たな運用、イノベーションの実現を支援

桔梗原氏 富士通が提供しているセキュリティソリューションの導入傾向はありますか。

太田氏 対談風景 2013年くらいから、サイバー攻撃対策専用のアプライアンスを導入しましょうという動きがあって、多くの企業で導入されています。しかし、実際は、サイバー攻撃が多すぎて運用が回らないですとか、運用を回すために検査を緩くすると攻撃が中に入ってきてしまうといったように、どのように運用すれば良いのかを悩んでいるというお客様が大変増えています。

 今、富士通がご提案しているのも運用です。SI型ではなくて、基軸となる運用をイノベーションしていきましょうというご提案をしています。お客様も運用の重要性に気付き始めています。どう対策しても脅威をすべて止めることはできません。運用でいかに対応していくかを考えなければいけません。

桔梗原氏 運用をイノベーションすることが求められているわけですね。近年、ビジネスへの導入が進むモバイルの分野はいかがですか。

太田氏 セキュリティの認識を持った上で、導入していくということが当たり前になってきています。

 富士通では、モバイルの普及や、IoT(モノのインターネット)の進展などにともなって、デバイスやネットワークにアクセスするための認証が課題になると考え、認証を効率化するエコシステムとしての認証基盤を提供していきたいと考えています。

桔梗原氏 認証は重要ですね。富士通では、従来から手のひら静脈認証などを備えたPCを発表しています。こうした手のひら静脈認証などもそのひとつですね。

太田氏 生体認証は、日本ではまだ導入が進んでいませんが、世界ではすでに多くの企業や組織で受け入れられています。利便性と安全性の境界で、いかに生体認証を使うと便利になるかを訴求していきたいですね。特に富士通は、認証系のテクノロジーに関しても世界で最先端を進んでいますので、マイナンバー対応だけでなく、その他の製品、サービスでもグローバル推進していきたいと考えています。

 まずは、サイバー攻撃からのブロックと、社会基盤としての認証を強くするというのは、セキュリティ上非常に重要なことです。

写真:手のひら静脈認証

富士通が開発を進めてきた手のひら静脈認証は、デバイスの小型化などにより活用のすそ野が広がっている。

桔梗原氏 最後に、情報セキュリティ対策に課題意識を持つ経営層の方に対して、メッセージをお願いします。

太田氏 不正アクセス法や個人情報保護法、JSOX、さらに今度はマイナンバーと、法律で情報セキュリティを定義しながら対策を進めてきた中で、経営者の皆さんは疲弊されていると思います。近年のサイバー攻撃においては、対策という概念ももちろん必要ですが、考え方として、ICTの運用が変化している、イノベーションが必要であるという認識を持つことが重要ではないかと当社では考えています。新たな運用、イノベーションを実現するために、富士通では支援を行っていきます。

 特に、運用コストの低減は経営課題のひとつですので、そのためには統合運用や、ICT基盤を揃えるといったことも必要となりますが、単にICT基盤を運用するだけではなくて、セキュリティも一緒に運用するような仕組みにして、運用コストを圧縮する。そうしたイノベーションが求められていくと思います。

 レギュレーションには当然沿っていかなくてはなりませんが、そうしたイノベーションを提案できる、数少ない企業体のひとつ、それが富士通です。お客様と安心をともにして、一緒にビジネスを進めていきます。

桔梗原氏 本日はありがとうございました。

対談風景
新しいスタンダードになりつつある「生体認証」
企業システムで現在主流であるパスワード認証は、確実に操作者を特定できないので「なりすまし」や「不正利用」といったリスクを根本的に解決できない。こうした従来型の認証方式に対して、新しいスタンダードになりつつあるのが指紋や静脈を使った「生体認証」である。

中でも体内情報である静脈を使った認証方式では、外的影響を受けやすい体表情報を用いる他の方式と異なり、体内情報である血管の情報を用いるため、非常に精度の高い本人認証を実現する。

さらに富士通の手のひら静脈認証ソリューションなら、既存の業務システムを改修せずに導入できるのも大きなメリットである。

そして、金融や公共といったハイセキュリティが求められる業種をはじめ、製造や流通、医療といったあらゆる業種で、様々なセキュリティ課題を抱えられていたお客様に豊富な導入実績がある。従業員情報を扱う人事・総務部門、大量の顧客情報を扱うコールセンター部門など、セキュリティ強化が必要な部門のみに導入することもできる。
情報元
:日経ビジネスオンライン
記事タイトル
サイバー攻撃から社会・企業を守るために〜富士通からの提言〜

富士通パートナー及び当社担当営業とお取引があるお客様は直接担当者へお問い合わせ
ください。
電話でもご注文・ご相談を承りますので、右記窓口までご連絡ください。

富士通購入相談窓口

0120-996-186受付時間 9時〜19時

Intel Inside® 飛躍的な生産性を

  • インテル® Core™ i7 vPro™ プロセッサー
  • インテル® Core™ i5 vPro™ プロセッサー
  • インテル® Atom™ プロセッサー

Intel、インテル、Intel ロゴ、Intel Inside、Intel Inside ロゴ、Intel Atom、Intel Atom Inside、Intel Core、Core Inside、Intel vPro、vPro Inside、Celeron、Celeron Inside、
Itanium、Itanium Inside、Pentium、Pentium Inside、Xeon、Xeon Phi、Xeon Inside、Ultrabook は、アメリカ合衆国および/またはその他の国における Intel Corporation の商標です。