ライブラリー
PERFORMANCE

モノのインターネット(IoT)と新たなグローバル情報セキュリティの必要性

Performance モノのインターネット(IoT)と新たなグローバル情報セキュリティの必要性
EYのグローバル情報セキュリティサーベイ2015 (GISS 2015)によると、デジタル化の急速な進化とビジネスにおける相互接続の増加に伴い、サイバー攻撃が新たな巧妙な手口によるものになっていることが判明しました。1755名の調査回答より浮かび上がった新たな論点は、日常生活がインターネットとますます絡み合ったものになっているということと、そのことが各組織のサイバーセキュリティに対する取り組みにおいてどのような意味を持つかということです。

著者:
EYヨーロッパ、中東、インド、アフリカ
アドバイザリーサービス、ディレクター Tim Best
和訳監修:
EYアドバイザリー株式会社
パートナー ランジャン アミット
シニアマネージャー 四柳 勝利

88%
が、自社の情報セキュリティ機能が組織のニーズを十分に満たしていないと回答

EYのGISSサーベイ「デジタル社会に信頼を築く」1は、1755名のCIO、CISO、セキュリティ責任者および経営陣に実施したインタビューの集積です。その調査結果の主要な点は、サイバー技術の多様性と複雑さが増すことにより、サイバー脅威の性質も変化してきているということです。サイバー攻撃は、絶えずその戦術を変えており、より執拗になり、攻撃力を高めています。

インターネット接続技術が進歩し、新たに接続される機器が増加するに伴って、サイバー攻撃の機会を与えることになっています。こうした厳しい状況において、3分の1以上が高度なサイバー攻撃を検知できる可能性が低いと回答したのは不思議なことではありません。そして、EYの数多くの経験に照らすと、その数は実際にはさらに大きなものになると推察されます。組織は、得てして自らが思っている以上に準備ができていないも のなのです。

67%
が、「組織へのアクセスポイントの増加への対応」を、IoTにおける情報セキュリティ上の課題としては認識していないと回答

急激に広がる攻撃対象領域

戦略とは、不確実な状況下で1つまたは複数の目標を達成するための高度な計画です。ビジネスにおける戦略とは、競争やプレッシャーに直面した組織が企業戦略、成長戦略、業務戦略などのさまざまな形態を活用して優れた成果を実現することを意味します。それらの戦略に新たに加わるのが、デジタル戦略です。デジタル戦略は、組織のデジタル化に向けた取り組みやプログラムに投資することで、企業利益を最大化するための計画を策定するのに役立ちます。

IoTが持つ可能性はマーシャル・バーマンの言説を想起させます。「現代的(モダン)であるとは、冒険、権力、歓喜、成長、自己変革、世界の革新を経験できる環境に身を置くことなのだ。同時に、その環境は、持てるもの全て、既知のこと全て、そして現時点のあり方全てを破壊するものなのだ。」2

数十億人がインターネットに接続し、2020年までにインターネット接続機器が50億個に達する3という環境において、IoTは、全ての人とビジネスに劇的な変化をもたらし影響を与える可能性を有しています。

あらゆる戦略にはビジョンが必要です。デジタルビジョンはより広義の事業戦略の一環として、デジタルチャネルの役割、ターゲットとなる顧客や事業成果を定義します。ビジョンはデジタル活動すべてに影響を及ぼす主要な判断基準となり、測定可能な成果目標に分解されます。デジタル戦略は、まず、全体を定義し、このビジョン達成に必要な課題の概要を提供します、次に既に特定した障害を克服するための指針を選択し、最後に当該戦略と整合性のあるデジタル化を通じてその指針を実行するための一連の活動を提供します。

図1. デジタルによる機会と持続可能性のためのサイバーセキュリティの利用

(下の図をクリックすると拡大します)

20%
は、1年以内に発生したサイバーインシデントによる全体的な損失額を推計できていないと回答

このインターネット接続の増加を活用する方法は無限にあります。現時点で想定されている事例としては以下のようなものがあります。

スマート・モビリティ

移動をより楽しく安心なものにする、リアルタイム経路管理と関連ソリューション

[例]

  • 自動運転とコネクテッド・カー (通信機能を備えた自動車)
  • アーバンモビリティ(都市内移動交通): スマート渋滞管理
  • インターアーバンモビリティ(都市間移動交通):広域交通網の相互連繋

スマート・シティ

セキュリティやエネルギー効率も含めた、都市の生活品質向上に向けたイノベーション

[例]

  • 都市インフラ管理へのICTの活用
  • セキュリティ強化: 公共における安全・防犯の強化
  • ユーティリティ・ネットワーク: スマート・メーター、配管網の有効活用

スマート・マニュファクチャリング

最適な工程・制御・品質管理を実現する工場および物流ソリューション

[例]

  • 機器間情報通信: 相互連携、協働の進化
  • ネットワーク: 制御ネットワークと製造設備の管理
  • プロアクティブな資産管理:予防診断とメンテナンス

これらの例は、組織にとってたいへん有益なものですが、同時に脅威でもあります。これまで接続されていなかったモノを接続することは、より広い攻撃対象を生み出します。サイバー犯罪者は、厳重に保護された経路を迂回して、裏口からアクセスを仕掛けてきます。

車を例にとってみましょう。2019年までにコネクテッド・カーはグローバルマーケットの20%を占めると見積もられています。4これは、車両がインターネットに接続することで、メーカー、コミュニティ、道路交通システム、車載娯楽システムとデータ通信が出来るということを意味します。これら全ての通信接続が、モバイルデバイスとネットワークを通じて、システム本体、さらにはデータベースにも繋がることになるでしょう。各接続は、車両にアクセスするための経路となり、もしハッカーがデータベースにアクセスすることさえ出来れば、車両に至るまでのネットワークを経由してアクセル・ブレーキといった重要な運転機能に辿り着き、車両を制御不能にすることもできてしまいます。こうなると致命的です。

これは極端な例ですが、サイバーセキュリティ侵害を許すことによる信用毀損および財務的損失は致命的です。メディアは辛辣な報道をし、顧客は不信感を募らせ、組織のリーダーは責任追及を受けることになります。こうした理由から、IoTを用いて適切にサービス提供し、モバイルデバイス(携帯電話・体内ヘルスケア装置・スマート家電・スマート自動車等)とそれを持つ個人のセキュリティを完全に保障しているという信用を築き上げることは、マーケットにおける重要な差別化要素であり、優先対応事項です。

49%
が、インサイダーリスク・脅威の優先度は中程度だと回答。
    従業員による攻撃の可能性が高いとの回答は56%、
常勤の外部委託社員による攻撃の可能性が高いとの回答は36%

組織がサイバーリスクに対し焦点を当てるべき箇所

EYのGISSで、回答者よりあげられたセキュリティ上の脆弱性の上位2つは、「従業員の不注意または無関心」、「最新の脅威に対応できない情報セキュリティコントロールまたはそれに関するアーキテクチャ(設計上の懸念等)」です。これはまさにサイバーセキュリティが、組織の全階層および組織外の繋がりも含めて取り組むべき課題であるということを示しています。

しかし、たいていの場合は、サイバーセキュリティは、最後に取って付けたかのように考慮されるにとどまっています。サイバーセキュリティの検討は、プロジェクトにおいて不可欠であり、プロジェクトライフサイクルの最初から最後までの各ポイントで考慮に含められ、定期的なセキュリティテストが実施されるべきです。プロジェクトチームは、「この件に関するサイバーセキュリティ上の懸念は何か?」と問い続ける必要があります。また、サプライヤー、提携企業、自社やサードパーティがデータを共有する会社についても、同様の問いを発するべきです。しかし実際には、自社のエコシステムを構成する要素(外部委託先、ネットワーク接続情報、データ等)を正確に把握していると答えたのは36%にすぎません。

サイバーセキュリティに関する責任はITからCISO(最高情報セキュリティ責任者)といった役割へ移ってきました。CIOがデータをタイムリーに使用できるようにすることを主な役割とするのに対し、CISOの役割はその安全性を保つということです。それは、システム開発者のアクセス権限を制約すること等を通じて行われます。IoTが普及するにつれ、多くの組織はサイバーセキュリティを担当する上級役員を任命するようになっています。あるいは、44%の回答者が、情報セキュリティチームがITとは別のレポートラインを持っていると答えているように、組織内の報告ルールを変更しています。

こうした変化は良いことですが、さらに改善する必要があります。サイバーセキュリティの課題に対するとき、ITにこだわる組織は、「機密性(Confidentiality)」・「完全性(Integrity)」・「可用性(Availability) 」(CIA)を遵守しようとします。しかし、「安全性(Security)」は視野に入っていません。人命が危険に晒されている状況において、CIAだけでは不十分であるというだけでなく無責任極まりないと言わざるを得ません。

図2. 攻撃シナリオの例

(下の図をクリックすると拡大します)

総括

サイバーセキュリティはテクノロジー・ITの領域に留まるものではありません。IoTは日々の生活にますます深く溶け込んできています。同様にサイバーセキュリティは役員の誰か一人の責任として押しつけられるようなものではなく、ビジネスの各レベルにおいて非常に捉えにくく見えづらい形で影響を及ぼしているものなのです。

そのため、EYのGISSレポートに示す「アクティブディフェンス」アプローチを採用する必要があります。そうすることで、高いレベルのデジタル成熟度を達成し、バリューチェーンに潜むデジタルリスクに対してプロアクティブに対処することができます。そして、サイバーセキュリティ対策により利害関係者の信用を高め、エコシステム全体への革新に踏み出すことができます。このようにして得られる信用は、新たなリスク環境において生き残る必須要素というだけにとどまらず、IoTから得られる手付かずの果実を手に入れる重要な手がかりとなるでしょう。

本記事で取り扱ったテーマに関するさらに詳細な情報や、EYグローバル情報セキュリティサーベイ2015「デジタル社会に信頼を築く」については、下記URLをご参照ください。

【脚注】


記事元(英文):
performance8-1号のその他の英文記事はこちらから