はじめに
インターネットの発達によるリモートワークの増加や、手軽なオンラインショッピングなど、サイバー空間の便利さの恩恵は計り知れません。しかし、サイバー空間で秘匿情報や個人情報を取り扱うことにはリスクが伴います。
サイバー領域は2011年以降、米国の安全保障において陸・海・空・宇宙に次ぐ第五の領域とみなされており、日本においても2013年の「国家安全保障戦略」でサイバー空間への防護が国家戦略に盛り込まれるなど、サイバーセキュリティは国際政治・安全保障の問題として扱われるようになってきています(wikipediaより引用)。
今日は有名投資銀行Goldman Sachsがどのようにサイバーセキュリティを発展させ、利用者を守っているのか、Chief Information Security OfficerのMatthew Chung、Head of the firm's Security Incident Response teamのWesley Williams、そしてThe Chief Information Security Officer for the Consumer Banking BusinessのAndy Bouraに聞いてみましょう。
スタート
司会:サイバー攻撃は年々洗練され、より攻撃的になっています。企業はセキュリティをどのように強化してきたか教えていただけますか?
Matt:ここ10年でとてつもなく発展しました。今でも覚えていますが10年前、私がまだイギリスの大手銀行に勤めていた頃、当時のサイバー防衛大臣Baroness Neville-Jonesとの会議に呼び出されました。彼女は10~12の大手有名銀行から人を集めてサイバー攻撃に対する恐怖について議論しようとしたのです。
彼女は「さて、話を聞かせてもらえませんか?」と言いましたが、当然誰も口を開きませんでした。当時サイバーセキュリティの分野は非常に競合的な分野であったために他の銀行に自分の銀行のサイバーセキュリティについて知られるのは、サッカーのディフェンスフォーメーションを教えるようなものでしたから。あの会議は私の人生の中でも最も短かった会議の1つですね。
しかしすぐに状況は変わりました。サイバー攻撃のTTP(Tactics(戦略), Techniques(技術), and Procedures(実行方法))が短期間で著しく洗練されたために、どの企業も大事な情報を守ることができなくなってしまったのです。そこで我々はイギリス政府だけでなくアメリカ政府とも連携をとることでサイバーセキュリティを強化することに決めました。
ようやくサイバーセキュリティについて足並みがそろったところで、情報をシェアするために尽力してくれたのがFinancial Services Information Center(FSI)でした。FSIのおかげで我々は、サイバー攻撃に対する危険性だけでなく、れっきとしたデータを共有することができるようになったのです。
司会:コロナ感染症の流行により多くの人がリモート環境で働くようになりましたが、このことはサイバーセキュリティに何か影響を与えましたか?
Matt:もちろんです。社員がリモート環境で働くことにより、新たなリスクが発生します。例えば、リモートワーク中の社員がスターバックスにラップトップを持ち込んで仕事をしていたとすれば、彼ら(彼女ら)はセキュリティ性の低いネットワークに接続して仕事を行うことになりますよね。誰かがラップトップの画面を後ろからのぞき込んでいる場合のリスクも考えられます。
他にも、社員が自身のラップトップを会社のネットワークに接続することで、安全性の確立されていないハードウェアが社内ネットワークに接続することになりますので、これもリスクの1つです。
家で一人で仕事をしている際にフィッシングサイトにアクセスする確率が上がるとも言われています。社内であれば、怪しいメールが来た際に友人に「これフィッシングだよね?」なんて聞けたりもしますが、リモート環境ではこれができないためです。
現在サイバー攻撃の95%がこのフィッシングタイプの攻撃ですので、自分がなぜ電話をかけなければならないのか、自分が何のためにそのウェブサイトにアクセスするのか常に注意しすることが大切です。
司会:サイバー攻撃の発展が、防衛側に与えた変化にはどのようなものがありますか?
Wesley:簡単に言うと、休みがなくなりましたね。チームの誰かしらが必ずスタンバイしていて、24時間いつでも対応できる準備を常に整えています。攻撃側の戦略も多様化してきているから、(略)どんな攻撃に対しても対応できる準備を整えることに重きを置いています。
司会:単純な質問ですが、ウォールストリートにあるGoldman Sachs銀行は毎日どれくらいの数のサイバー攻撃を受けているのですか?
Wesley:一日数十回の攻撃を受けています。フィッシングアタックは1日100~1,000回発生することもありますし、ビジネスメールを装った攻撃も山ほどきますね。
司会:いつも我々を守ってくれてありがとうございます。企業のサイバーセキュリティを高めるためにはどうしたらよいですか?
Wesley:従業員のサイバーセキュリティに対する意識を高めることが重要ですね。先ほども言ったように多くの攻撃がフィッシング攻撃ですので、魅力的な広告やリンクに釣られてクリックすることがなければ攻撃を受けることはありませんから。
これらに加えて、企業のサイバーセキュリティ担当者は従業員に必要以上の権限を与えないことも重要です。もし従業員がサイバー攻撃を受けたとしても、その従業員のPCにそれほどの権限がなければ、受ける被害も少なくて済みます。
最後にぜひBug Bountyに参加してほしいですね。Bug Bountyは公開しているプログラムにバグがあることを想定して報奨金をかけて公開し、一般人がバグを発見して脆弱性を報告して報奨金を受け取るという制度になっています(Cyber cecurity.comより引用)。優秀なホワイトハッカー達があなたの会社のプログラムのバグや脆弱性を発見してくれることでしょう。
司会:Andy、銀行は、他の業界と違って攻撃を受けやすい業界ですが、銀行利用者におけるサイバーセキュリティはどのように向上してきたか教えてもらえませんか?
Andy:そこにお金がありますからね。銀行に対するサイバーアタックは攻撃者たちのモチベーションも高くなっています。まずは自身のアカウントにログインする際の認証方法を複雑にすることで、攻撃を受けづらくしています。
(略)他にもサイトやプログラムの脆弱性を定期的にチェックすることも非常に大切です。サイバー攻撃は日々進化していますから、昨日までは見つからなかった脆弱性が今日見つかることだってありますからね。
司会:Mattに聞きたいのですが、社員のサーバーセキュリティへの意識を高めるにはどうしたらいいですか?
Matt:まず伝えたいのが、メディアのおかげで従業員のサイバーセキュリティに対する意識が昔に比べて向上しているということです。最近では不審なメールをクリックしてしまう従業員も減りました。
有効な教育法としてはフィッシングテストですね。サイバーセキュリティ担当者が定期的に偽のフィッシングメールを従業員に対して送信しましょう。もし従業員がクリックしたら、「このメールはフィッシングアタックです」といった画面がポップアップするようなプログラムを定期的に実行するのがおススメです。
司会:最後に、今後5~10年でサイバーセキュリティはどのように移り変わっていくか皆さんの意見を聞かせてください。
Matt:Deep learningによるAIの知能発達が恐怖だと思います。これらの新しいテクノロジーが攻撃側にも防衛側にも必須となる世の中になるでしょう。
Wesley:解析や企業活動の自動化が今より進化していくでしょう。活動の自動化が進むということは、サイバー攻撃を受ける箇所が増えるということですので警戒を怠らないことが重要ですね。
Andy:防衛側の協力体制がより強化されるべきですね。今後は政府主体となって他国とも協力してオンラインビジネスを安全に発展させていくべきだと思います。
司会:Matt、Wesley、Andy今日はありがとうございました。
↓
*上記のコンテンツの一部はPodcast "Exchanges at Goldman Sachs"を和訳したものであり、情報提供のみを目的としております。また内容は作成時に入手可能な情報に基づくものあり、読者様の財務状況や投資目的を考慮しておらず、内容が適さない可能性があることにご留意ください。
コメントを投稿
コメントを投稿