【覆面座談会】未来の社会をセキュアで安心なものにするために、いまCISOが頭を悩ませていること　前編

連載スケジュール
第1回　未来の社会をセキュアで安心なものにするために、いまCISOが頭を悩ませていること　前編
第2回　未来の社会をセキュアで安心なものにするために、いまCISOが頭を悩ませていること　後編

トレンドマイクロが製作・公開したオンラインドラマ「Project 2030」が公開されています。Project 2030は、テクノロジーが発展したデジタル社会において、あるトラブルによりコネクテッド環境に対応した架空のプラットフォーム企業が窮地に陥るという内容です。さまざまなデジタル技術やコネクテッド環境で実現したシーンがあり、その社会におけるサイバーセキュリティ上の課題についても示唆されています。

今回、大手日本企業のCISOを務めているお二方を招き、トレンドマイクロ執行役員兼CISO 清水智と語り合ってもらいました。ドラマの内容を踏まえて、いまの日本の組織が抱えているジレンマ、悩み、そして強固なサイバーセキュリティ体制をどのように考えて作り上げていくべきなのかについての話が交わされました。そして、将来を展望しながら、いまから考えておかなければならないことについても深い議論が展開されました。今回より前編・後編二回にわたりご紹介します。ドラマをまだ見ていない方にとっても示唆に富む内容になっていますので、今後の中長期的な意思決定の一助になれば幸いです。

今回ご出席いただいた方たち

“人の心”はテクノロジーの進歩を受容できるか

A氏　Project 2030は、なかなか面白い作品でした。「なるほどな」と思えるところもあり、懐疑的に見てしまうところもありました。

B氏　私も同じ意見です。テクノロジーの進化は、社会の要求によるところが大きいのです。“人の心”が本当にこの世界を望んでいるかどうかについて、いまから考えてみるという意味で、興味深いですよね。

清水　人の心、というのは良いですね。テクノロジーに対して、なんとなくいやだ、と思ってしまうこともあります。

A氏　私にとっては、「4Dプリンターで食事が作れる」という描写ですね。どうも気分として食べたくない（笑）。

B氏　社会がテクノロジーを受容してくれることで、テクノロジーは浸透していくわけです。Aさんの“気分”が多数派を占めれば一般化はしませんよね。私も、4Dプリンターの料理はちょっと嫌です（笑）。

A氏　うちはメーカーなので、エンジニアの志向は理解できるのです。皆が、世の中にないすばらしいものを作りたいと考えています。でも、それが本当に消費者に求められているかというと、そうでもないケースもあったりして…。Project 2030で懐疑的に感じるのは、そのような部分で、「こんなの本当に欲しいのかな？」と考えてしまいます。

B氏　それに加えて、ここまでデジタルが行き渡れば相当な電力を使いそうだな、と想像できます。

清水　電力をどうやって確保するのか、そして電力が逼迫するとどうなるのか、などもリスク要素になりそうですね。

A氏　一方、面白いなと思えるところは、バーチャルな会議の部分です。現時点のメタバースでは、アバターにリアル感がありません。ですから、人が一堂に会してリアルにワイガヤをする価値は、やはりあると思うのです。でも、ここまでリアルに見えるならバーチャルでもいいかなと考えてしまいます。

B氏　確かに、会議のシーンはリアルでした。全員がリモートですが、表情も含めてリアルに見えます。ただ、それでも「本音の部分はどうなのだろう」とも考えてしまいます。リアルな会議では、本音が顔や仕草に出ますよね。

A氏　なるほど、そうかもしれません。アバターは見た目どう見ても本人にしか見えませんが、実際の動きや顔つきと違っていますし、実はちょっと汚い言葉を使っても、きれいに直されたりしていました。メタバースでは笑っていても、実際の表情はわからない（笑）。

清水　それだけでなく、本当に本人かどうかわからない問題も出てくるかもしれませんね。顔も声も修正できてしまうわけですから。

B氏　そこは難しいところですね。なりすましは簡単にできそうです。NFTのようなブロックチェーンの仕組みを使えば何とかなるかもしれませんが、そもそも本人がだれかに身代わりを依頼するかもしれません。

参考記事：急速に進歩するディープフェイクが現実的な脅威に

未来のビジネスインフラは、電力と通信、そしてシステム＆サイバーセキュリティ

A氏　このような社会になると、業務がどうなってしまうのか不安です。私たちが新人のころは、システムが業務に入り込んではいませんでした。書類を回していましたし、横のリアルなコミュニケーションがありました。いまの新人の社員は、まずシステムの使い方を覚えます。その裏で何が起こっているのかは知らないまま、システムが業務を処理してくれます。そうなると、システムが止まってしまったときに、対応できないのですよ。

B氏　それは、うちの会社にも言えることです。システムが止まれば、業務が止まります。電力に加えて、通信も大切で、システムそのものも大切です。システムはサイバーセキュリティと一体ですから、止めないための対策のあり方もますます重要になってきます。いまから頭が痛いです（笑）。

A氏　通信について付け加えれば、いまはサーバがクラウドにあります。だから、余計に通信が大切なのです。うちの工場で通信が止まってしまったことがあり、工場内LANは使えて機械は動くのにもかかわらず、本当に工場が止まってしまいました。必要なデータがクラウドにあるためです。便利になるに従って、インフラへの依存度が高まってしまいます。

B氏　Project 2030の世界において、ビジネスインフラは、電力と通信、そしてシステム＆サイバーセキュリティということになりますかね。

清水　お二方とも、システムとサイバーセキュリティを一体として考えていますね。もちろん私も同じ意見なのですが、これがなかなかわかってもらえない（笑）。

A氏　私たちのような仕事をしていると当たり前のことなのですが、実際に上層部の理解を得ようとするとけっこう大変ですよね。

B氏　システムへの攻撃は目に見えないので、そのあたりの理解を得るのはこれからの課題です。ただ、システムとサイバーセキュリティを一体として考える思想が浸透してこなければ、Project 2030で描かれたような世界も実現しないのだろうな、とは考えてしまいます。

通信が途絶えることで、アクセスできなくなる。アカウントを消して永遠に断絶することも可能だ。

ビジネスの現実を考えると、リスクゼロは難しい

清水　システムと並行して、データの保護についても考える必要があります。「データは大切だ」、「企業秘密を守らなければならない」という点については理解が進んでいるように感じます。みなさんのところはどのような対策を取っていますか。

A氏　弊社は、「トップシークレット」「シークレット」「コンフィデンシャル」の3段階に分けてデータを管理しています。トップシークレットのデータは最もセキュアなサーバに保存して、データの所有者と鍵を持っているごく一部の人しか見られないようにしています。

B氏　同じく3段階で、すべてのデータをラベリングしています。鍵を持っている人は限られているので、問題は起こらないはずなのですが、絶対に安心かというと何をもって絶対かという悩みは出てきます。また、組織変更の際に以前のファイルを開けなくなったなどの問題も出てきて、運用面はまだまだ改善すべきところはあります。

清水　パートナー企業に侵入してそこを踏み台に徐々にシステムに侵入していくというやり方もありますが、悪意のあるハッカーからすると、BYOD（Bring Your Own Device）端末を狙いたいのではないかと考えています。個人の恥ずかしい情報をつかんで、脅迫し内部犯行をさせるのが手っ取り早い。

B氏　それは考えてしまいますよね。弊社は国内ではBYOD禁止ですが、PC配布コストの問題や文化的背景から許可している海外拠点があり、なかなか難しい問題で、一律に禁止しづらい状況です。管理がいい加減な国もありますし、監査のたびに問題になっています。

A氏　弊社は、電子メールとクラウドで共有できるドキュメントくらいなら、外部端末でも使えるようにしています。これが業務を阻害せずにやれるギリギリという判断です。システムを使う以上、現実のビジネスを考えるとリスクを完全にゼロにするのは難しいところです。

参考記事：調査から見る法人組織の改正個人情報保護法への対応状況と課題について

現場部門のトップに、さらなるセキュリティリテラシーを

清水　セキュリティ全体を考えると、規則を「作る」ことも「守らせる」ことも大切です。
ただ、「実際にどう運用するか」となると変わってきます。規則に縛られすぎると、事業の展開そのものが妨げられる可能性もありますから。リスクを完全にゼロにすることは現実的に不可能ですし、将来はどのような運用が理想になるのでしょうね。

A氏　これは、「赤信号を渡れるか」という話と共通します。規則では、もちろんダメなことです。しかし、子どもが高熱を出して急いで病院に行かなければならないときに、車が全く来ない田舎道を走っている場合ならどうでしょう。スピード違反をしても、赤信号を渡っても、子どもの命を優先させるかもしれません。ビジネスにおいては、同様のケースが頻繁に起こります。だれにも迷惑をかけないのであれば、規則がどうあれ渡るべきかもしれません。しかし、本当に迷惑をかけないのかどうかは不確かですし、相応のリスクがあることを理解しておかなければなりません。リスクを、だれがどう判断するかという課題があります。

B氏　結局のところ、セキュリティ運用の主導者は、私たちCISOでなく、現場の部門長になるのでしょう。現時点では私たちが主導して「守らせる」段階ですが、近い将来は現場を預かる人たちのリテラシーを育成するという役割が大きくなると考えています。赤信号を渡っていいかどうか。そのリスクをきちんと判断できる現場を育てなければなりませんね。

参考記事：トレンドマイクロ『DX推進における法人組織のセキュリティ動向調査』

情報システムが生活のあらゆる側面をコントロールする未来。インフラとしてのシステムの役割が大きくなればなるほど、情報セキュリティの役割もさらに増すでしょう。現在以上に、使うシステムも扱うデータも膨大になり、その影響範囲も大きくなります。そのようなシステムを使ってサービスを提供する事業担当者ひとりひとりが、セキュリティリテラシー向上させることは必至となりそうです。

お三方のお話はこのあと、そもそも規則とはどうあるべきか、グローバル企業にとってのサイバーセキュリティ課題の根っこは何なのか、深い課題に切り込んでいきます。後編もぜひお楽しみに。