ニュース

サイバーセキュリティ対策はDXにおける「成功の推進力」――、マイクロソフトからの提案

Microsoft Security Intelligence Reportの調査結果を踏まえ

 日本マイクロソフト株式会社は12日、デジタルトランスフォーメーション(DX)におけるセキュリティの役割について、米Microsoftがグローバルに発表している調査結果をもとに、メディア向けの説明会を開催した。

 Microsoftは年に2回、1月と7月に「Microsoft Security Intelligence Report」を発表している。2018年1月に発表されたv23では、フォレスト&サリバン(Frost & Sullivan)と共同で実施した、アジア地域のサイバー攻撃の脅威に関する調査結果も公表された。

 この調査の対象となった企業は、日本を含むアジア地域の13カ国からそれぞれ100社の合計1300社で、企業規模は従業員数が500人以上の企業(大規模企業)が71%、250名から499名の企業(中規模企業)が29%となっている。

 日本マイクロソフト 技術統括室 チーフセキュリティオフィサーの河野省二氏によると、サイバー攻撃による経済的な損失は、「直接的なコスト」「間接的なコスト」「誘発的なコスト」に分けられるという。

 経済損失として目立つのは直接的なコストで、売上や生産性の低下、罰金や訴訟費用、そしてシステム改修や増強費用などがある。しかし、これらは氷山の一角に過ぎず、顧客が他社に乗り換えたり、ブランドイメージが低下したり、従業員が失業したり、といった間接的なコスト、さらにはサイバー攻撃によって消費者や関連企業が余分に支払わなければならない費用といった誘発コストまで視野に入れる必要がある。

 河野氏はこれらのコストについて、「サイバー攻撃によるセキュリティ侵害事故が発生した場合、この直接コストへの対応が早ければ早いほど間接コストや誘発コストを低く抑えることができる」と説明した。

日本マイクロソフト 技術統括室 チーフセキュリティオフィサー 河野省二氏
サイバー攻撃による経済的損失には、「直接的なコスト」「間接的なコスト」「誘発的なコスト」がある

 また経済損失以前に、セキュリティ侵害に気が付くための仕組みが実装できていない企業が多く、今回の調査では58%の企業が何らかのセキュリティインシデントに遭遇している、または遭遇したことに気づいていないという。

 実際にセキュリティインシデントに気づいているのは全体の39%に過ぎず、残りの19%の企業は何が起きているか把握できていないと回答しているとのこと。

 また、これらに含まれていない、つまり自分たちで定期的なフォレンジックと侵害アセスメントを実施し、インシデントは発生していないと回答している42%の企業についても、「企業の担当者は自分たちが知っている範囲でしかセキュリティのテストを実施しないので、本当に発生していないかどうかはわからない」と河野氏は述べ、「自分たちは大丈夫」と安心している企業に対しても警鐘を鳴らした。

 サイバー攻撃に起因する総コストは約66兆円にもおよび、これは日本のGDPの12%以上に相当する。特にブランドイメージの損失など間接的、あるいは誘発的なコストが大きい大企業では、1件のセキュリティ侵害事故が発生すると、平均して約37億円の経済損失が発生するという。これは中小企業のおよそ1100倍にもおよぶという。

サイバー攻撃に起因する総コストは約66兆と、日本のGDPの12%以上に相当する。しかし、セキュリティ侵害に気付くための仕組みが実装できていない企業が多い。

 マルウェア、ランサムウェア、DDoSなどサイバー攻撃による被害にはさまざまなものがあるが、その中で最もインパクトが大きいのは「データの漏えい」であるという。「一度漏えいしてしまったデータは、二度と元に戻すことはできない。自分たちのファイルは暗号化されているから大丈夫だと思っている企業もあるが、その暗号化も一度破られてしまえば終わりだ」と述べ、データ漏えいは回復に時間がかかると説明した。

データ漏えいはサイバー脅威の中で最もインパクトが大きい

 現在、セキュリティ対策の重要性を理解している企業は多く、市場にはさまざまなセキュリティソリューションやプロダクトが存在する。

 ところが、セキュリティソリューションの数が増えるほど、回復時間が長くなってしまうことが、今回の調査で明らかになっている。ソリューション数が10以下の場合、1時間以内の回復が37%、24時間以内が43%、1日以上が20%となっている。ソリューション数が11~25の場合が最も回復時間が早く、1時間以内が63%となるが、逆にソリューションが26~50になると1時間以内の回復が17%まで低下してしまうという。

 河野氏は「むやみにセキュリティソリューションを増やしてもインシデントは減らない。複雑になるほどかえって回復に時間がかかってしまう」と述べ、セキュリティ対策はシンプルに行うことが望ましいと主張する。

 また河野氏は、セキュリティソリューションからもたらされるセキュリティログだけではなく、イベントログをすべて取得することも重要であると説明する。何らかのインシデントが発生した際、セキュリティログだけでは検知できない被害が明らかになったり、攻撃の予兆などをイベントログから発見したりすることもあるが、あまり長期間保存されないケースが多いという。

 一方、日本企業の75%は、セキュリティ対策にもAIと自動化を積極的に活用している、あるいは活用を予定していると回答しているものの、検知までの時間短縮や誤検知(false positive)の減少といった実際的なメリットを享受できているのは、6%にとどまっている。また、サイバー攻撃がデジタルトランスフォーメーションの阻害要因になっていると回答しているしている企業は48%に上っている。

セキュリティソリューションが多すぎて複雑化すると、回復までの時間が長くなってしまうという

 これらの調査結果を踏まえ、マイクロソフトからの提案として河野氏は「セキュリティ基盤を強化するための投資は継続していかねばならない。そのためにも、AIと自動化を活用して業務やITの機能と能力を向上させ、セキュリティ対策もそれらの一環として実現していくことが重要だ」と説明する。

 また、ユーザー事例としてMicrosoft Office 365 Enterprise E5を導入することで、どの拠点の誰がセキュリティ侵害をうけ、どこまで広がっているかなどのリアルタイムな把握が可能になり、侵入された後の検知と追跡が可能になった日本郵船の例を紹介し、「データ活用の推進とセキュリティリスクに対抗する基盤の構築は表裏一体」と述べた。

 最後に河野氏は「サイバーセキュリティをデジタルトランスフォーメーションにおける『成功の推進力』と考えるべき。ガバナンスのためにプラットフォームを作成し、そこに集約されたデータをビジネスとセキュリティの両方で活用していく。デジタルトランスフォーメーションを実現することで、AIの活用、セキュリティの自動化を実現でき、さらなるビジネスの活性化を望むことができる」と締めくくった。