グループ企業のセキュリティで求められる共に助け合う共助の精神
2021年12月 | EXPERT INTERVIEW
サイバー攻撃から企業グループやサプライチェーンを守るためには、セキュリティ統制によって一貫した防御策を講じる必要があります。しかし、多くの関連会社や拠点のすみずみにまでセキュリティ対策を行き渡らせるのは容易ではありません。特にグローバル企業においては、地域ごとの規制や文化の違いもあり、セキュリティ統制は極めて困難になります。ここでは世界46の国と地域で約250社の子会社を持つ東京海上グループにおいて、グローバルセキュリティを推進している原田大氏に、サイバー攻撃の現状やセキュリティ統制のあり方について伺いました。
東京海上ホールディングス株式会社 プリンシパル 原田 大 氏
東京海上ホールディングスの Principal, Global Security として、国内・海外のグループ会社向けサイバーセキュリティ戦略と推進に責任を担う。東京海上ホールディングス入社前は、国内大手セキュリティ事業者の北米支社長などを歴任し、米州域での事業戦略の立案や、事業開発、組織運営に携わる。セキュリティ業界歴 20年以上。CISSP-ISSAPを始め, CSSLP, CISA, CISM, CRISC, PMPなどの国際取得を保有。日本国内では、過去にIPA情報処理技術者試験委員としてIT人材育成へ貢献。
ハッキングのサービス化によりサイバー攻撃の技術的ハードルが下がる
原田氏はセキュリティ業界で20年以上にわたって豊富な経験を持ち、現在は東京海上ホールディングスでグループ会社向けのセキュリティ戦略立案や施策展開を行っています。サイバー攻撃の脅威の現状について、原田氏は次のように解説します。
「サイバー攻撃の主目的が直接的にお金を搾取することに変わったのが、ここ数年の世界的なトレンドです」その要因として原田氏は、「世界中でインターネットのインフラが安定的に使えるようになったこと、そして高度な攻撃技術が誰でも容易に使えるようになったことです」と語ります。今ではSaaS(Software as a Service)のようなクラウドサービスとして、サイバー攻撃の手段を提供するところが現れているといいます。
「例えば、Ransomware-as-a-ServiceやDDoS-as-a-Serviceといった形で、サイバー攻撃ツールがサービスとして提供されています。サイバー攻撃を行う技術力のある人は実行犯だけではなく、攻撃をサービスとして提供する側にもまわりました」(原田氏)また、匿名性の高い暗号資産(仮想通貨)の普及によって、サイバー犯罪による金銭の授受が容易になっていると原田氏は語ります。
サイバー保険は身代金支払いを補償しない傾向
近年、サイバー攻撃の手段として特に深刻化しているのが侵入したシステムのデータを暗号化して利用不能にし、その解除と引き換えに身代金を要求するランサムウエアです。その広がりは、サイバー保険を扱う損害保険会社にも、様々な影響を及ぼしています。
「サイバー攻撃の被害を補償するサイバー保険の中には、ランサムウエアによる身代金支払いを補償対象としている国や地域があります。いっぽうで、サイバー保険がランサムウエアの流行を助長しているとして、その被害を補償対象外にする世界的な傾向もあります」(原田氏)
最近では、身代金支払いを補償対象外とした保険会社が、反発した犯罪者グループから攻撃を受けたとされる事例も発生しました。なお、日本のサイバー保険ではランサムウエアによる身代金被害は補償対象外となっていると原田氏は解説します。
トップダウンではなく、知見を集約してセキュリティ対策を練る
防御の弱い拠点が狙われるという点では、日本国内も海外も変わりませんが、グローバル企業では地域ごとの特性を考慮したセキュリティ対策が必要です。グローバル企業のセキュリティ対策のポイントについて、原田氏は次のように語ります。
「世界各地に広がる拠点には大きな会社もあれば小さな会社もあります。大きな会社は予算と人員をかけてセキュリティ対策に取り組めますが、小さな会社では予算やモチベーションが低くなりがちです。しかし攻撃者は最も弱いところを狙ってきます。拠点によって予算やセキュリティの成熟度、モチベーションが大きく異なる中で、商習慣の違いなども考慮しながら、押さえる部分と任せる部分のバランスをとることが、グローバルセキュリティ統制の難しくも、やりがいがあるところです」
東京海上グループでは、海外の子会社も参加する委員会でセキュリティについて議論することで、グローバルなセキュリティ統制を実現しているといいます。
「東京海上には海外の子会社を含めた世界中のトップマネジメントが参加するグループ横断的な委員会があり、ここでグループ共通の経営課題について議論します。セキュリティもこの委員会の重要なテーマのひとつです。日本のやり方を押しつけるのではなく、海外子会社の知見も積極的に取り入れて、グループのセキュリティ戦略を立案、実施していくアプローチを取っています」(原田氏) また、セキュリティ対策の成熟度をグローバル標準のフレームワークを使って評価することで、継続的なセキュリティ改善やステークホルダーへの説明に役立っているといいます。
大きな拠点が小さな拠点のセキュリティ対策を手助け
原田氏は同社のセキュリティ施策を「グループ集団防衛体制」と呼んでいます。
「グループ集団防衛体制にはふたつの要素があります。ひとつは前述のように地域間の横の連携をとること、もうひとつは大きな拠点が小さな拠点を助けることです。我々の場合、世界を5つに分けた地域ごとに、大きな拠点が構築したセキュリティのインフラやオペレーションを、共通基盤として小さな拠点も活用できるようにしています」
これにより、自社では十分なセキュリティを確保できない小さな拠点でも高度なセキュリティ対策を実施できます。同時に、地域間の情報連携を推進することで、グループ全体のセキュリティ強化につながります。
原田氏は、これからのセキュリティ対策は集団で守ることがより重要になるといいます。
「攻撃者は世界中から狙ってきます。その中で、一社だけで自社を守ろうとしても効率的ではありません。グループ企業では同じ志を持つチームとして、共に助け合う共助の精神で守ることが必要です。セキュリティ人材にも個人の技術力だけでなく、周りの人や組織と協力して一緒に問題を解決する能力が求められています」
東京海上グループのグループ横断的な委員会
東京海上では経営課題をグローバルに共有する委員会がある。 セキュリティは機能別グローバル委員会のITの中で共有されている。 出典:東京海上ホールディングス
本記事は、東京海上ホールディングス株式会社の原田 大氏への取材に基づいて構成しています。
本記事は、情報誌「MELTOPIA(No.258)」に掲載した内容を転載したものです。