2016年5月の弊社のブログでは、経済産業省と独立行政法人情報処理推進機構 (IPA) が出した日本の新しいサイバーセキュリティガイドラインである「サイバーセキュリティ経営ガイドライン Ver 1.0」と、本ガイドラインが出た2015年12月以降に見られる日本の産業界における進展について解説しました。続編である今回のブログで検証するのは、経済産業省の具体的な勧告の一つである、サイバー脅威情報の企業間共有の推進についてです。日本と世界が恩恵を受けられるよう、日本の産業界のサイバーセキュリティの向上・強化のために何をするべきか分析したいと思います。

 経済産業省は、サイバーセキュリティ経営ガイドラインの「重要10項目」の一つとして情報共有を挙げ、インシデントや社会全体への被害の広がりを可能な限り最小限に抑えるために、サイバー脅威情報の共有活動に積極的に参加し、貢献すべきと述べています。この勧告は重要です。攻撃者と被害者との間の勢力バランスを劇的に変え、力の差を埋め、デジタル時代の信頼を回復するために攻撃者に対して強い力を行使するためには、サイバー脅威情報の共有をオペレーション化しなければなりません。それでは、日本における現状はどうなっているのでしょうか、企業によるサイバー攻撃に関する脅威情報共有の拡大への障害は何なのでしょうか、そして今どのようにすれば改善されていくのでしょうか?

 実績レベルは千差万別ですが、効果的なサイバー脅威情報共有の枠組みの確立にはどの国もおしなべて苦労しており、ボットネットのC&Cサーバー、マルウェアの検体、マルウェアの解析結果、脅威の痕跡 (IOC; Indicator of Compromise) といった脅威とインシデントに関する情報をメンバー間で適時に交換できるようにしたいと模索しているところです。実現が遅れている理由は数多くあり、例えば、技術的 (大量の情報を適切に共有可能なシステムの数が少ないことや、情報共有の規格がそれぞれ別々であることなど)、規制や法律上の懸念、信頼性の問題などが存在します。

 あらゆる国でサイバー脅威情報の共有のあり方を改善する必要があるとは言え、日本は実運用に関して、他の国々より遅れているように思えます。プライスウォーターハウスクーパース (PwC) は2016年のグローバル情報セキュリティ調査の中で、世界中の企業と比べると、日本企業はサイバーセキュリティ脅威に関する情報共有に後ろ向きである旨報告しています。PwCによると、そのような情報共有を行っている日本企業は30.4パーセントにとどまる一方、世界では64.7パーセントの企業が行っているとのことです(PwCは本調査報告書のために2016年5月から6月までの間に、127カ国1万人以上のIT担当経営幹部および取締役にインタビューしました)。

 日本企業が脅威情報を共有したがらない理由としてトップに挙げられているのは、「情報共有の枠組みの整備、標準化ができていない」 (39パーセント) です。サイバー脅威情報の共有枠組みが自動化されるようになるまでは、実際に作業を行う優秀な人材が不可欠ですし、自動化には技術的な裏づけと強固なプライバシー保護が求められます。現時点では、日本は脅威情報共有の輪を広げていくうえで必要な人材が不足しています。日本企業は、システムインテグレーターにサイバーセキュリティ関連の業務を外部委託する傾向があるため、いつ誰と脅威情報を共有すべきか判断できる人材がユーザー側で不足しています。一方、米国の銀行や大企業の中には、サイバーセキュリティ部門や社内サイバー脅威インテリジェンスチームを持つところもあります。2015年の経済産業省の調査によると、日本のIT技術者の24.8パーセントはユーザー企業に、75.2パーセントはITサービス企業 (たとえばシステムインテグレーターや他の企業へサイバーセキュリティを提供する企業) に所属しています。これに対し米国では、71.5パーセントのIT技術者がユーザー企業に、28.5パーセントがITサービス企業に所属しています。PwCの調査では、情報共有活動への日本企業の低い参加傾向の背後にあるその他の上位の理由として、競合企業や外部の情報源に対する信用の薄さが挙げられています。

 日本がサイバー攻撃の脅威情報共有への参加に消極的なのは、文化的な背景も一因かもしれません。1946年に文化人類学者のルース・ベネディクトが記したように、日本は「恥の文化」であり、面目を失うことを避けたいとの願望が非常に強いところです。世界中の多くの企業も、サイバー事件の被害者となったことを認めたり、標的とされたことを明らかにしたりすることを望まないでしょうが、サイバー攻撃に関する脅威情報共有枠組みが目指す「信頼」された環境であったとしても、日本企業にとってそうしたことを認めるのは、さらに耐え難いことなのかもしれません。

 また、ボランティア精神は、社会への貢献という意味で、参加者間での情報共有を成功させる一つの要素になりえます。一般財団法人自治体国際化協会によると、米国のボランティア活動は17世紀までさかのぼる長い実績を持ち、行政や社会福祉を補完してきました。一方日本では、アメリカ式のボランティア活動が始まったのは第二次世界大戦終了後であり、しかも地元地域のための社会福祉活動に重点が置かれる傾向にありました。こうした歴史的背景があることから、情報共有の普及拡大への寄与における日本人のボランティア精神の発揮が難しくなっている可能性があります。

 日本企業が情報共有を迅速に着手できるようにするためには、他の国が情報共有のベストプラクティスについて日本と話すことが有益でしょう。実はすでに一部の日本の組織において、米国のセキュリティアプローチがモデルとなっています。たとえば、米国には業界別の情報共有分析組織 (ISAC; Information Sharing and Analysis Center) が数多く存在しており、現在はさらに広範なカテゴリを網羅する情報共有分析機関 (ISAO; Information Sharing and Analysis Organization) によって補完されつつあります。実際に、日本では2002年に最初のISACであるTelecom-ISACが発足し、2014年に金融ISACが設立されました。金融ISACは、恐らく最も成功したISACの一つである米国のFS-ISAC (Financial Services ISAC) をモデルにしており、ここから教訓を学ぼうとしています。日本の金融庁による金融分野におけるサイバーセキュリティ強化に向けた取組方針では、金融機関に金融ISACなどの情報共有枠組みによる脅威情報の共有を推奨しています。

 米国と同様に、脅威インテリジェンスの伝達およびアクセスのレベルに応じて、金融ISACには金融機関やベンダー向けの複数のメンバーシップがあります。銀行や保険会社といった正会員と準会員はより機微な脅威インテリジェンスを受けとることができるとともに、ベストプラクティス、サイバー演習、FS-ISACとのグローバルな情報共有、インシデントレスポンスなどのワーキンググループに参加できます。こうした活動を通じて、同じ業界に属する信頼できるメンバー間で機微な情報をやりとりする快適な環境が生まれるのです。

 日本は、さらに多くのISACが必要であると認識しています。総務省はTelecom-ISACを拡張して“ICT-ISAC” に名前を変え、従来は通信会社やインターネットサービスプロバイダ (ISP) のみにメンバーシップが制限されていたものをセキュリティベンダーを含むICT企業やシステムインテグレーターも対象としています。さらに、電力ISACも新たに日本で設立される予定であり、米国のElectricity ISACと欧州のEnergy-ISACと密に連携することになっています。

 こうした国境を超えた取り組みは称賛に値するものです。たとえば、日本企業が日本でのみ見られるインテリジェンスを共有することで世界的な情報の質を引き上げ、日本市場に進出している多国籍企業が脅威からの防御を向上させるうえで役立ちます。

 ISACは伝統的に業界 (たとえば金融、医療、エネルギー) ごとに整備され、各参加企業は受信した情報を自社ネットワークを保護するために活用し、自分の所属する業界と脅威情報を共有してきました。しかし、ISACだけが米国における情報共有の形態であるわけではありません。

 たとえば、2014年9月に設立されたサイバー脅威アライアンス (CTA) は、脅威情報の共有という大義のために協力を選択したサイバーセキュリティ企業のグループであり、高度なサイバー攻撃からの会員組織とその顧客の横断的な防御の向上を目的としています。弊社はCTA創設メンバー4社のうちの1社であることを誇りに思っています。各企業が自社の持つ脅威情報を囲い込み競い合うという、サイバーセキュリティ企業の昔ながらの考え方からの脱却をCTAは体現しています。CTAにより、セキュリティ企業は共有されたサイバー脅威の共通知識に基づいた行動がとれるようになります。ISACとの違いですが、CTAは、セキュリティ業界の独自機能を使い、これまで未知 (またはゼロデイ) であった脅威に関する情報の共有を参加条件にしています。その結果、共有される情報はすべての業種 (金融、医療、エネルギーなど) を含むあらゆる顧客を保護するために、参加企業によって活用されています。

 信頼と文化的要因は、情報共有に影響を与える可能性があるため、どの国においても大切です。実際、信頼関係はサイバー脅威情報共有上重要な要素です。情報共有の枠組みにおいてメンバー間で相互信頼関係を構築し、サイバー脅威情報を共有できるようになるまでには時間がかかります。個人的な関係により状況が大きく改善されることはよくあり、そこから関係を制度化につなげられます。5月のブログで述べたように、サイバーセキュリティおよびアイデアやベストプラクティスの共有について日本企業は今まで以上に率直に話し合うようになってきており、これがより大きな信頼関係の構築につながっていくものと考えられます。

 また、恥の感情を軽減していくうえで不可欠なのが、指導的立場の人物たちの働きかけです。どの国の企業の幹部も理解しなければならないのは、すべての企業がサイバー攻撃の標的とされており、その脅威情報を共有してこそ同様の攻撃の拡大が防止されるのだということです。攻撃対象になるということは恥ではありません。これは単に経営リスクの一つなのです。

 日本のサイバーセキュリティ活動の多くと同様、サイバー脅威情報共有拡大に向けた活動は、日本政府と産業界が2020年の東京オリンピック大会を成功させるためにサイバーセキュリティの強化を目指し、かつ2020年以降に向け良いレガシーと国家としてのサイバーセキュリティ能力を築く準備をしていることを表しています。そして、さらに高い目標として掲げられているのが、経済界全体でサイバーレジリエンシーを高めることです。経済産業省のサイバーセキュリティ経営ガイドラインで強調されているように、情報共有はそのために不可欠なのです。

 松原実穗子とダニエル・クリズ共著第三弾となる本ブログ・シリーズは、日本のサイバーセキュリティへの取り組みとその意義を政府機関、世界の産業界、オピニオン・リーダーなどの世界中の読者に紹介することを目的としています。次回以降に取り上げる予定のトピックは、サイバーセキュリティ能力構築における日本の海外支援の役割、2020年東京オリンピック大会を計画するにあたり発生するサイバーセキュリティ上の課題などです。