まずはDX時代の新たな脅威について、ご意見をお聞かせください。

サイバー攻撃はこれまでと比べ、明らかに変質しています。2010年前後は、愉快犯やハクティビスト（政治的・社会的なメッセージ性を持つネット犯罪者）といった、自己顕示欲を満たしたり政治的思想を表現したりすることを目的とする攻撃が多数派でした。その後、「サイバー攻撃のビジネス化」が進行します。現在はさらに進んで、サイバー空間におけるスパイ活動である「サイバーエスピオナージ」が活発化しています。

一般的な企業はIPS（侵入防止システム）やファイアウォール、アンチウイルス、アンチスパム、サンドボックスなどの対策を実施していますから、それらをかいくぐるのは容易ではないと考えられてきました。ところが、現在のサイバー攻撃は非常に巧妙化しています。たとえば、あるマルウェアは、仮想OSでは動作しない仕組みを持ち、サンドボックスでは検知できません。また、あるランサムウェアは、感染後に支払いを求めるポップアップを表示しますが、それは偽装で、本当の目的はバックドアを仕掛けることにあります。

DX時代のテクノロジーとして、多くの組織がクラウドを活用しています。クラウドの普及に伴う脅威についてはいかがでしょうか。

4年ほど前に、当時の議員の方と一緒に日本版FedRAMP^※を作ろうとしたことがありました。そこで浮き彫りになったのが、米国と日本の考え方の違いです。米国では、もはや1つの組織で米国のセキュリティ水準を保つことは不可能だと考えているのです。そこで出てきたのが、NIST（米国標準技術研究所）のフレームワークであり、それに準拠していることを証明するのがFedRAMPという位置付けになります。

つまり、国がクラウドのセキュリティ基準を定め、クラウドベンダー側がその認証を取得してセキュリティを担保するという流れですね。では、クラウドを使うユーザー側には何が求められているのでしょうか。

かつてクラウドは不安だという時代もありましたが、現在はむしろクラウドの方が安全だと認識が変わってきていますね。ただし、クラウドを利用する側は何もしなくて良いわけではありません。

たとえば、ID管理やアクセス制御、データを預けるのであれば暗号化も必要です。また、マルチクラウド／ハイブリッドクラウド環境では、クラウドごとに設定が異なるため、CASB（Cloud Access Security Broker）のようなサービスが必要になりますが、現実の運用にフィットするサービスがないというのが実態です。クラウド関連の技術・製品は、今後さらに整備が必要でしょう。

IoT（モノのインターネット）についてはどうでしょうか。すでにPoC（概念実証）のフェーズをすぎて、実用段階に入っていると思いますが。

IoTのセキュリティといえば、Webカメラやルータに感染してDDoS攻撃を引き起こしたマルウェア「Mirai」が有名です。しかし、それは問題の一側面にすぎません。注意すべきは、これまでネットワークにつながっていなかったモノがつながることで何が起きるかを考える“想像力”の欠如だと思います。

似たことはレギュレーションの世界でも起きています。たとえば、国内のある部品メーカーは、これまでサイバーセキュリティとは無縁だと考えていました。しかし、自動運転車が開発されるようになって、調達先から外れてしまったのです。なぜなら、自動運転車を米国で走行テストするには、その車両がNIST対応している必要があったためです。このように、DX時代はこれまで思いもよらなかった事業リスクが突然現れます。

最近は「DevOps」で開発スピードを上げながら、同時にセキュリティも対策するという意味で、「DevSecOps」という概念が聞かれるようになりました。

長年、脆弱（ぜいじゃく）性を調査してきた立場からは、脆弱性を悪用された攻撃に対してその対応をどう進めるかという点で混乱があるように思います。1つひとつのコンポーネントはセキュアコーディングできていても、全体を組み合わせたとき、本当にビジネスとしてのセキュリティが担保されているかという視点が重要ではないでしょうか。

やはり、全体の中でどうとらえるかということですね。セキュリティの世界には「セキュリティは投資なのか、コストなのか」という議論がずっとありますが、私の考えでは、事前にシステムに組み込まれたセキュリティは「投資」で、後追いで必要になるセキュリティは「コスト」です。

そもそもセキュリティは非機能要件であり、システムやサービスを開発する側に任せられるケースがほとんどです。顧客側から開発手法を指定されることはまずありません。したがって、DevSecOpsのような開発手法を採用するかどうかは、開発側次第ということになります。そこで、スピードとコストとセキュリティのバランスを考えることになるでしょう。

私は開発者でもありましたので技術的な観点からコメントすると、「SAST（静的アプリケーションセキュリティテスト）」や「DAST（動的アプリケーションセキュリティテスト）」といったテストを開発のフローに組み込むことで、かなりの脆弱性を防げるのは確かです。したがって、こうした取り組みは重要だと考えています。

もう1つ近年よく聞くようになったのが、NISTの「サイバーセキュリティフレームワーク（CSF）」です。

NISTのCSFが注目される理由は、侵入されることを前提としている点です。CSFは「特定」「防御」「検知」「対応」「復旧」という5段階で構成されています。「特定」「防御」でいかに侵入されないようにするか、「検知」「対応」「復旧」で侵入されたらどう対処するかを規定しています。

セキュリティに完璧はありませんし、コストも重要です。セキュリティを強化するために100億円かけても、市場規模が1億円しかなかったら大損です。したがって、何らかの脆弱性は残ります。ある程度の侵入はやむを得ません。それを前提に考えられたNISTのCSFは高く評価できると思います。

キヤノンマーケティングジャパンでは、NISTのフレームワークにのっとった提案をしているのでしょうか。

実際の提案は、お客さまの要望に沿って「防御」に偏りがちですが、現実を見れば侵入を前提とすべきなのは明らかです。NISTのCSFに沿って「特定」「防御」「検知」「対応」「復旧」のバランスを見ながらお客さまと話をするだけでも、非常に意味があると思います。たとえば、「新しい脅威に対して防御はできているが、復旧はまだ不十分」など“可視化”ができるからです。NISTのCSFは現状を整理するためにも、とても分かりやすい考え方だと思います。

対策という点では、「CSIRT（Computer Security Incident Response Team）」もかなり広がってきました。洞田さんは、CSIRTの現状をどう見ていますか。

CSIRTはかなり一般的になったと思いますが、それだけでは問題は解決できません。CSIRTにできることは、あくまで現実に起きていることへの対応です。それが脆弱性に起因するなら、脆弱性を修正しない限り問題は終わりません。したがって、そこは製品の脆弱性に起因するリスクに対応する組織である「PSCIRT（Product Security Incident Response Team）」が必要になります。CSIRTとPSIRTがバランスを取りながらインシデントに対応することが、DX時代には求められています。

DX時代に攻めのデータ活用を推進する上で、注意すべきことは何でしょうか。

データ活用に関しては、各国にGDPR（EU一般データ保護規則）を始めとするさまざまな規制があります。その結果、「活用したくても怖くてできない」と考えている日本企業も多いかもしれません。しかし、米国、欧州、中国などのデータ活用に積極的な企業のトップは、まったく違います。彼らは「これらのルールをすべて満たせば、何をしてもいいのだ」と考えているのです。

かつては法整備が不十分だったため、何かやると「それは大丈夫なのか」となり、さまざまな訴訟が起きていました。しかし現在は「やってはいけないこと」「守るべきこと」が明確に定義されたので、先進的な企業はむしろ積極的になっています。やってはいけない“黒いエリア”が決まったので、“白いエリア”も決まったといえるでしょう。それが真の攻めのデータ活用ではないでしょうか。

重要なことはデータの透明性だと考えます。一言でデータといっても、個人情報もあればIoTのセンサーデータもありますし、それらをAI（人工知能）に学習させて、そこから出てきた二次データ、三次データもあります。さらに、こうしたデータがクラウド上にあったり、パートナーが持っていたり、サプライチェーンで活用されたりと、データの所在も非常に分かりにくくなっています。こういったデータの透明性をどうやって担保するかが、重要になるのではないでしょうか。

AIの話が少し出ましたが、AIとセキュリティという観点ではいかがですか。

AIでは、教師データの正しさが重要になります。たとえば、これから利用する道路を空ける目的で、私が「道路が混んでいる」という偽の情報を流したとします。するとほかの人はその道を避けるため、結果的に私はすいた道を利用できることになります。これは間違ったAIの育て方です。こうしたことを防ぎ、AIを正しく育てるためには、教師データの真正性を担保することが重要です。

最後に、DX時代のセキュリティを考える上でのアドバイスをいただけますか。

私はもともと独学でサイバーセキュリティを学び、海外のホワイトハッカーたちと互いのサーバをVPNでつないで攻撃し合う“模擬戦”のようなことをやっていました。それから技術の世界に入って企業のセキュリティを担当し、現在はレギュレーション、特に安全保障に関わるサイバーセキュリティに携わっています。その中で感じることは「視点の重要性」です。視点が異なれば、見え方も考え方も変わります。レギュレーションは重要ですが、同時に現場のリアリティーも重要であり、やはりそこでもバランスが求められるのだと強く感じています。

ITはすでにインフラであり、その上でビジネスを展開することは、今後も変わりません。だからこそ、どういう形で自分たちがサイバー攻撃に巻き込まれるのか、想像力を働かせることが大切です。特にサプライチェーンの中では、自社が被害を受けるだけでなく、攻撃に加担することもありうることを、もっと意識すべきだと思います。

日本企業のセキュリティ対策は、2005年4月から施行された個人情報保護法をきっかけに本格化しました。それから約15年が経過し、その間に着実にセキュリティレベルを上げてきた企業もあれば、そうでない企業もあります。サプライチェーンでは、こうしたさまざまな企業がつながるわけですから、改めてその難しさを感じます。だからこそ、NISTのCSFのようなルールが重要になり、ルールにのっとってバランスを取っていくことが、DX実現のキーになるのだと思います。