地政学リスク、CISOがやるべきことは?
2025年や2027年に発生が予測されている台湾有事などのように、日本においても地政学的リスクの高まりが懸念されています。組織のセキュリティリーダーが地政学的リスクに対して行うべき対策について記載します。
この記事のポイント
----------------------------------------------------------
・地政学的な対立や紛争は、関連する国家の内外でビジネスにリスクをもたらします。
・紛争時には、平時とは異なる目的を持つサイバー犯罪者・攻撃者の動きが活発化します。企業や組織の最高情報セキュリティ責任者(CISO)は、こうした脅威の動向を予測し、サイバー攻撃の影響を軽減するための対策を打つ必要があります。
・CISOは、サイバーセキュリティ戦略を策定する際に、人の要素も考慮する必要があります。人材は企業が持つ最大の資産であると同時に、最も脆弱なポイントでもあります。
・CISOは、紛争時におけるリスクに対して多面的かつ柔軟な対策を実施し、有事を乗り切るために組織を導く必要があります。
----------------------------------------------------------
※トレンドマイクロは、サイバーセキュリティの専門家であり、紛争の専門家ではありません。本稿の目的は、読者の方が地政学リスクに伴うサイバーセキュリティ上の懸念点を理解した上で意思決定を行えるように、正確で信頼できる情報を提供することです。当社が本稿で提供するいかなる情報や助言も、軍事作戦や紛争、または物的な安全に関する専門的な助言ではありません。
地政学的リスクに直面するCISO
近年の急速な技術革新や地政学的情勢の変化により、組織の最高情報セキュリティ責任者(CISO)は、サイバーと物理空間の両面で、紛争リスクをいかに乗り切るかという課題に直面しています。政治的な緊張が地政学的な分断や物理的な紛争に発展していく中で、サイバー空間は一種の戦場と化し、そこでは情報が武器にも標的にもなり得ます。
仮に事業組織が紛争地域から離れた場所にある場合でも、この課題はCISOに降りかかります。ひとたび紛争が発生すれば、サプライチェーンが寸断され、ロジスティクスに支障をきたす恐れがあるからです。
具体的な影響の例として、商品の出荷停止、配送の大幅な遅延、コストの増大、品質の下落などが挙げられます。特に紛争状況では、多くのハクティビスト(政治的・社会的な主張・目的のためにサイバー攻撃を行う活動家や集団)や標的型攻撃(APT:Advanced Persistent Threat)グループが活発に活動するため彼らが追加のリスクを生み出す可能性に注意する必要があります。
紛争によって生じるサイバーリスクに関して行うべき対策は、一般的な自然災害のそれとは大きく異なります。本稿では、こうした課題に対峙する上で企業や組織のCISOが実行できる戦略や対策について解説します。
紛争によって高まる脅威
紛争時には、企業や組織を取り巻くサイバーリスクの発生頻度が高くなります。紛争時には国家などの組織的支援を受けていると推測されるサイバー攻撃者グループの活動を観測することも珍しくなく、彼らは高度な手口を用いて基幹インフラに侵入し、業務システムの停止を引き起こして情報窃取などの活動に及びます。その動機は、諜報活動や破壊工作、経済的混乱、心理戦に至るまで、多岐に渡ります。また、攻撃の実行者は紛争の当事者勢力のみにとどまらず、世界各地のハクティビストや、混乱に乗じて金銭的利益を得ようと企むサイバー犯罪者も含まれます。本章ではそれぞれの脅威について詳しく解説します。
標的型攻撃グループの活動活発化
紛争発生時には、標的型攻撃(APT:Advanced Persistent Threat)の勢いが強まります。APTグループは、標的である企業や行政機関の活動を阻害して機密情報を窃取するために、組織的なサイバー活動を展開します。こうした活動が、国家の支援を受けていると推測される場合もあります。APT攻撃の特徴として、高度な手口が利用されることが多く、標的への侵入手段も多岐に及びます。具体的にはソーシャルエンジニアリングやスピアフィッシング、水飲み場型攻撃(Watering Hole)、独自に開発した不正なソフトウェアの実行、ゼロデイ攻撃などが挙げられます。
サイバー空間上での争いがエスカレートするに従い、APTグループの戦略も変化していきます。例えばインフラ設備の拡充やアクセス手段取得のために、後述するサイバー犯罪グループとの連携を強める場合があります。また、通常時であればグループ内のルールや政治的制裁への懸念によって攻撃対象外としている組織にも、攻撃を仕掛ける場合があります。この活動がさらに発展する場合、医療機関や電力網などの基幹インフラも攻撃の対象となり、多くの市民にとっても深刻な被害に発展する可能性があります。
サイバー犯罪グループの活動目的の変化
物理的紛争によって事態が複雑化すると、一部のサイバー犯罪者はそれに乗じて金銭的利益の獲得を試みます。この流れに押され、彼らもAPTグループ同様に平常時ならば標的ではなかった医療機関や基幹インフラに対してさえも、攻撃を仕掛ける可能性があります。また、地政学的紛争のさなかで、ランサムウェア攻撃グループ「Conti」のように、サイバー犯罪グループの目的が金銭的なものから政治的なものに変化するケースも確認しています。
ハクティビズムの増加
地政学的紛争の発生時にはハクティビズム(政治的動機によるハッキング活動)が多発し、その規模も拡大します。例として、ロシアに協力的とみられるグループ「Killnet」や、イスラエル・ハマス間の紛争によって活動を強めている複数のハッキング・グループが挙げられます。また、国家主体と推測されるグループが既知または新規のハクティビスト・グループに偽装して活動を行うこともあり、状況をさらに複雑化させています。
影響力工作活動(インフルエンスオペレーション)の増大
影響力工作は、政治的対立や軍事作戦に伴ってエスカレートする傾向にあります。過去の事例に基づくと、政治的対立とサイバー上の脅威の増大は連動しているケースが多いです。対立を引き金に偽情報や世論操作といった手口が横行し、企業の行動や意思決定、評判に影響を及ぼす場合もあります。
紛争によりもたらされるリスク
平時であれば、異なる国の企業同士が国境を超えて提携し合い、ビジネス上の機会を生み出すことも珍しくありません。しかし、紛争や政治的緊張により、そうした状況が一変してしまうこともあります。例えば海外からのアクセスを禁止するサイバーセキュリティ対策が実施されたり、特定国家に対する経済制裁が実施されたりする可能性があり、企業に多大な影響を及ぼす可能性があります。本章では紛争によりもたらされるリスクをいくつか例示します。
サプライチェーンリスク
国際紛争は、サプライチェーンに影響を与え、サプライヤの供給が損なわれたり、欠品や遅延などにつながる可能性があります。具体的には特定の国家に所属する企業からの輸入ができなくなったり、支店を撤退する必要に駆られるケースもあります。これは物質的な物資調達だけでなく、デジタル空間上のリソースやデータにも影響を及ぼします。
参考記事:経済安全保障推進法をサイバーセキュリティ視点でとらえる~企業が備えるべきポイントを解説~
従業員へのリスク
セキュリティ管理上、重要であるにも関わらず軽視されがちなリスクとして、人の要素が挙げられます。その重要性は、回復力に優れた戦略を考案する上で、決して無視できないものです。紛争やサイバー攻撃の発生時には従業員にもストレスや圧迫感が重くのしかかるものであり、個人レベルでのミスによるリスクが高まります。こうした傾向に付け込んだ手口がフェイクニュースやソーシャルエンジニアリングであり、攻撃者は紛争の混乱に乗じて従業員を巧みに欺き、機密情報の流出などを誘発しようとします。
法律または倫理上のリスク
国内外の各種規制に違反すると、事業継続に関わる重大な法的問題に発展する場合があります。例えば、紛争によって個人情報のデータ取り扱いに関連する法的変更がなされた場合、組織の運用体制の変更を強いられる可能性があります。
レピュテーションリスク
紛争時に企業が取る行動や対応は、世間一般からの注目を集めやすく、ブランドや事業の信頼性に影響を与える可能性があります。例えば、紛争によって感情を突き動かされた従業員が、会社の公式なスタンスとは異なる自身の意見をオンライン上で公言し、会社自体の対外的評価に悪影響を及ぼすことがあります。
紛争時にCISOが行うべきこと
紛争発生時には脅威が高まり、より緻密なセキュリティ管理が必要となるため、CISOの役割が大幅に拡大します。これまでに紹介した脅威やリスクの高まりに応じて、紛争時にCISOが実施するべき具体例を下記に示します。
戦略的なリーダーシップと緻密な管理
CISOは、サイバー攻撃や物的損傷、業務障害などのリスクを乗り切れるように、CIO(最高情報責任者)やCRO(最高リスク管理責任者)といった経営陣と共に、戦略実行の指揮を執ることになります。これには、技術的な対策だけでなく、状況に合わせたポリシーや手順の継続的な見直しも含まれます。現在進行中の紛争や地政学的状況、部門関連の情報源を十分に把握することで、各部門において発生する影響の性質や、場所、タイミングなどを予想しやすくなります。
サプライチェーンリスクの管理
CISOは安定的な事業の継続のために、サプライチェーン上の関係者やそれぞれの依存関係を再評価し、代替の調達手段を練る必要があります。BCPにおいては、行政機関との密な連携やセキュリティ対策の強化に加え、安全な地域への事業移転も視野に入れる場合があります。
また、データセンターやネットワークを構成するサーバ、ロジスティクスの中継点に至るまで、さまざまな場所に置かれた資産について、個々の資産に優先順位を付与してリスク・アセスメントを行い、その結果に応じた保護措置を割り当てることで、重大な損失を回避できる可能性が高まります。
従業員向けトレーニングと意識向上
人的ミスは、セキュリティ分野における最大の脆弱性と呼べるものです。地政学的紛争の発生時には、政治的な話題を利用したフィッシング攻撃など、ソーシャルエンジニアリングのリスクが高まります。これに対処するには、従業員向けに定期的なトレーニングや意識向上プログラムを実施し、セキュリティのベストプラクティスや脅威の手口について周知することが重要です。トレーニングの内容として、紛争時に高まる脅威の種類やその詳細にスポットをあて、警戒態勢を保つ重要性について強調することが望ましいでしょう。
情報共有と透明性の確保
地政学的状況に起因するサイバー攻撃の脅威は複雑かつ大規模であり、これに対して防御側では、業界グループや国家のCERT(Computer Emergency Response Teams:コンピュータ緊急対応チーム)である、National CERTを始めとする他の組織と連携し、情報を共有することが重要です。こうした総合的なアプローチを通し、企業では脅威情報やベストプラクティス、よく練られた対応戦略を互いに共有しあい、状況の把握や準備体制の強化に繋げることが可能です。
また情報共有の観点では、自社内、社外両方に積極的に情報発信を行っていくことが必要です。前章でも記載したレピュテーションリスクを低減するために、それらのコミュニケーションの透明性を高め、社内には組織の一員として責任ある行動を促していきつつ、社外に対して自社の紛争下における方針を示すことも重要です。
ステークホルダーとの密接なコンタクト
企業として主要事業を紛争地域で展開することには、高いリスクがつきまといます。CISOは、現地のステークホルダーと密接にコンタクトを取り、状況を監視しながら戦略を調整していく必要があります。特に紛争地域の企業は、インターネットの接続制限、停電、物理的な損壊、第三者による情報資産へのアクセス、部内者による脅威の増大など、さまざまな課題を抱える点に注意が必要です。打開策の一つが、情報資産を地理的に離れた場所に分散させることであり、局所的な障害や停電、接続不良の影響を小さく抑え込むことが可能です。
紛争地域における業務プロセスの調整
組織として紛争地域と関わりを持つ際には、複雑で特異な課題に直面します。これは、実際の現場でビジネスを行う場合や物理的な事業所がある場合に限らず、当該地域が商品やサービスの配送先、またはサプライチェーンに含まれる場合も同様です。現地事業やサプライチェーンの安全性を確保するには、現地への影響と国際社会への影響の双方に考慮した繊細なアプローチが必要となります。例えば、紛争地域とのやり取りは、国際的な制裁や制限事項に違反する可能性があり、企業の評判に大きな影響を及ぼします。また、サプライチェーンの重要部を紛争地域に置いている場合、業務プロセスの根幹にリスクを抱えてしまう可能性があります。具体的には、紛争のためにハードウェアやソフトウェアの配送が大幅に遅れるケースや、サプライヤ側で品質管理およびサービスレベルの合意事項(SLA:Service-Level Agreement)を維持できなくなるケースが挙げられます。
以上の他にCISOは、サイバーリスクの観点から危機管理チームを率い、インシデントレスポンスや事業継続、広報活動の管理にも関与します。また新たな脅威やセキュリティ投資について、経営陣との間で定期的に協議する必要も出てくるでしょう。
まとめ
地政学的紛争への対応には多面的な取り組みが求められます。グローバルセキュリティを取り巻く状況は常に変化し続け、紛争は世界各地のビジネスに重大なリスクや課題を突きつけます。こうした事態に対処するため、CISOは先見性と戦略性に優れた計画を策定し、有事を乗り切るために組織を導く必要があります。本稿の目的は、事前準備や適応力、戦略的提携の重要性を示すとともに、CISOが予測困難な状況に直面しても利益を守り、事業を維持するためのヒントを提供することです。
政情不安によるリスクの高まりに対して本稿で記載した対策を施すことで、企業や組織のセキュリティやレジリエンスを効果的に強化することが可能です。
Security GO新着記事
Telegram(テレグラム)とは?サイバー犯罪に悪用される理由
(2024年10月31日)
地政学リスク、CISOがやるべきことは?
(2024年10月30日)
PCI DSSとは? クレジット産業向けのデータセキュリティ基準を解説
(2024年10月29日)