Cisco CISO
Round Table 2022 Review

重要性が高まる「サイバーレジリエンス」をどう考えるか

DX の推進の中であらゆるものがネットワークに接続されつつある一方で、高度化・巧妙化し続けるサイバー攻撃。脅威を全て未然に防ぐことは、すでに現実的ではなくなっています。このような状況の中、重要性が高まっている「サイバーレジリエンス」。シスコは、この「サイバーレジリエンス」をテーマに、2022 年 12 月に「Cisco CISO Round Table」を開催しました。前半にシスコと NTT 社が基調講演を実施し、その後、日本を代表する企業などから 23 名の CISO(Chief Information Security Officer)ならびにセキュリティ責任者に参加いただき、このテーマに関して活発な議論を展開しました。ここではその中から、基調講演の概要と、議論の中で注目したいコメントをピックアップしてご紹介します。

基調講演 1

シスコのサイバーセキュリティ レジリエンス

Cisco
SVP and Chief Security and Trust Officer
Brad Arkin

シスコの基調講演では、SVP and Chief Security and Trust Officer を務める Brad Arkin が、実際にシスコが経験した Active Directory(AD)への侵入についてご紹介しました。なりすましを防止するために多要素認証を導入していたにも関わらず、ソーシャルエンジニアリングによって通知コードが盗まれた経緯を説明。さらにシスコが即座に行った対応と、その後の予防策についても言及し、サーバーレジリエンスを改めて見直す上で、大きな学びにつながったこと、また、シスコ自身を守ることが、世界中のお客様を守ることにも貢献すると締めくくりました。

基調講演 2

リモートスタンダードを支える NTT のサイバーセキュリティ

日本電信電話株式会社 常務執行役員
セキュリティ・アンド・トラスト室長、CISO(Chief Information Security Officer)
横浜 信一 氏

NTT 社の基調講演では、常務執行役員でセキュリティ・アンド・トラスト室長、CISO を務める横浜 信一氏がご登壇。同社が 2022 年に導入した「リモートスタンダード制度」と、これを支える情報アクセス基盤や、セキュリティ関連ルールの見直しについて解説いただきました。その中で横浜氏は「ルールだけを変えても現場は変わらない」と言及。ガバナンス全体の整備が必要であり、そのための主役はあくまでも現場であると述べました。さらにセキュリティでは「100% 防衛」ではなく「被害の最小化」が重要だとも指摘。サイバーセキュリティに特化した、同社の情報発信についてもご紹介いただきました。

ラウンドテーブル

テーマ 1 サイバーレジリエンスを高めるための「カネ」「人」「スキル」をどう確保するか
テーマ 2 グローバル企業ではガバナンスが大きな課題 製造業では OT の取り扱いも重要に

ラウンドテーブルで話題となった注目したいコメントのピックアップ

  • 予算確保について

「当社はインシデントをきっかけに、本社がグループ会社のセキュリティコストを支払うことにしました。そのコストは経営管理業の中で間接的に回収していますが、本社がコストを負担することで『お金がない』という言い訳ができないようにしています」

 

  • 人材と組織について

「セキュリティを任せられる人を、質と量でどう担保するかが大きな課題になっています。グループ内には小さい会社も多いので、育成してもいなくなるケースが多いのです。また実際に脅威に対する構えをやっていても、その実効性がどの程度なのかも疑問です。客観性を持って評価するにはどうすればいいのか、これも課題になっています」

「グループ会社でセキュリティ担当者を募集しても、応募がほとんどないのです。そこでグループ会社でできないことは、本社側で巻き取っています。特に小規模な会社で狙われやすいところは、私たちがカバーしています」

 

  • セキュリティガバナンスについて

「海外子会社のガバナンスに苦労しています。例えばセキュリティのゾーンディフェンスを行っているのですが、ゾーンディフェンスに参加したくないという子会社もあります。また一部の地域では、許可されていないにもかかわらず、PC に USB メモリを挿してしまう、といったことも発生しています。訓練によって、人的な部分のレベルを上げていく必要があります」

「ガバナンスに関しては、グローバルガバナンスに加えて、サプライチェーンガバナンスという課題もあります。サプライチェーンのガバナンスをどう効かすのか。セキュリティを別の専門家の問題だと考えるのではなく、開発段階からセキュリティを取り込むといった、シフトレフトの考え方が重要だと感じています。その 1 つの施策として、社内にセキュリティの資格制度を設けています」

 

  • IoT のセキュリティについて

「どんどん IoT が入ってくることで、これらをどう防御するかが大きな課題になっています。今は情報システム子会社がグループ全体を見ており、エンドポイントに関してはグループ全体で同じレベルのセキュリティになりつつあります。セキュリティの実現方法は、境界型とゼロトラストのハイブリッド型です」

「当社ではレジリエンスの観点から OT と IT を分離しました。工場の感染は許されないからです。製造ライン間の分離も行っています。そのアクセス制御をどうするかは、これからの課題になります」

議論の中では、セキュリティへの予算確保が業種・業態に関わらず、大きな課題であることが明確になりました。また予算に加え、人の確保や育成をどのように行うのかも共通の課題であり、問題を早期に発見して対応するには、セキュリティ担当者以外の動きも重要であることが指摘されました。また、製造業では IT だけではなく、OT も含めた広い領域でのレジリエンスが必要であることが、共通認識になっていることが浮き彫りになりました。DX によるビジネスの柔軟性向上が求められる中、自社のみならずサプライチェーン全体のリスクを視野に入れた、グローバル規模のレジリエンスが求められているのです。

このような気付きを踏まえた上で、シスコに対する熱い期待も寄せられました。人やマネジメントでの対応には、おのずから限界があります。テクノロジーで可能なことはテクノロジーで実現し、レジリエンスを企業や組織の文化の中に織り込んでいく。このようなアプローチが、これからさらに強く求められることになると考えられます。

シスコは、今後もこのような議論を継続的に実施し、サイバーレジリエンス強化のお手伝いをし、ひいては日本のデジタル化推進に貢献していきたいと考えています。