MS&ADグループのサイバーセキュリティ統括責任者に聞く セキュリティの仕事の難しさとは?
2025.3.7
三井住友海上火災保険株式会社(以下、MS)、あいおいニッセイ同和損害保険株式会社(以下、AD)などのグループ保険会社を有する保険持株会社「MS&ADインシュアランスグループホールディングス株式会社」(以下、ホールディングス)。
取り扱う情報の機密性の高さなどから、サイバーセキュリティ対策には高いレベルが求められています。
そんなグループのサイバーセキュリティ対策の統括を務める安達知秀氏に、2回に分けて話を聞くインタビューシリーズ。
2回目の今回は、次のような話を聞きました。
流れ
- サイバーセキュリティ対策の難しさは、“出発点”の違い
- どんどん変わっていくリスク
- サイバーセキュリティ対策の役割は「致命的なもの」に対応できること
- 会社の規模に関わらず“サイバーセキュリティ対策は悩ましい”
1回目の記事⇒「MS&ADグループのサイバーセキュリティとは?統括責任者に聞くセキュリティの仕事」
サイバーセキュリティ対策の難しさは、“出発点”の違い
ーーサイバーセキュリティに長く取り組まれてきたなかで、サイバーセキュリティ対策特有の難しさについて感じていることはありますか?
安達)サイバーセキュリティって、少し異色なところがあると思っていて、本来、目的はリスク低減であるため、「どんなリスクがあるか」を考えることが出発点になるはずですが、「どんな対策」が必要かを考える方が重視される傾向にあります。
安達知秀(あだち・ともひで)
2019年三井住友海上に入社。大学卒業後、大手クレジットカード会社に入社し、営業や事業開発を担当したのちIT部門に異動、サイバーセキュリティ担当に。
仕事におけるスローガンは、若い時は「付加価値」(自分がやるときは、他と違う価値を追加で提供する)としていた。最近では、「仕事は人生の一部」(人生の一部だからしっかりやる、人生の一部でしかないので思い詰めない)として、仕事やプライベートもバランスよく過ごすことを目指している。
「このリスクを考えなさい」ではなく、「この対策をやりなさい」という観点で、さまざまなフレームワークやガイドラインが出ていて、その対策を取ることでリスクを減らしていくという取組が多いと感じています。
その理由を考えてみると、サイバーセキュリティ対策の要件を考えるときに、出発点が「サイバー攻撃者」側にあるんですよね。通常のシステム開発と比較するとわかりやすいと思うのですが、「自社はこういうビジネスをしたい・何かを改善したい」という観点から要件を考えて、システムを構築します。出発点は、「自社の要望・要求事項」にあるわけです。
でも、サイバーセキュリティの場合は、攻撃者が何を狙ってくるかということが出発点になってきます。ただ、攻撃者が何を狙ってくるかを予測するのは難しいです。結果、狙われた場合の対策をまとめたフレームワークやガイドラインをもとに、「どの対策を選んで実施するか?」という話が中心になります。サイバーセキュリティ対策を、システム開発の例に当てはめて要件を考えた場合に、要件の出所が「サイバー攻撃者」。これがサイバーセキュリティ対策を難しくしている点だと思います。
また、要件の出所である「サイバー攻撃者」を分析するのも難しいです。Threat Intelligence※1を通じて、「サイバー攻撃者」の最新の動向を知ることは大切ですが、なかなかピンポイントで自分たちが狙われる箇所を予測するのは難しい。現状では、全体動向の把握レベルが多く、たまにピンポイントで活躍すると言った活用状況かと思います。
※1)Threat Intelligence:脅威インテリジェンスとも呼ばれ、サイバー攻撃に関する情報を収集・分析し、自組織のセキュリティ対策に活用できるように整理する行為やその情報 。
どんどん変わっていくリスク
ーーその意味では、サイバーセキュリティ対策は年々高度化している印象があります。
安達)出発点が「サイバー攻撃者」側にあるので、「サイバー攻撃者」の攻撃が高度化すると、対策も高度化せざるを得ないですね。加えて、「サイバー攻撃者」の狙いもどんどん変わっていきます。結果、サイバーリスクは変化していくため、守る側も対策を高度化し、時には変化も必要かと思います。
例えば、以前より、サイバーセキュリティでは「多層防御」での対策が求められています。「多層防御」は、リスクの発現を低減する考え方です。ある場所から侵入される際に、複数の砦を作ってそこで防御するという考え方ですが、具体的にある2つの製品がウイルスに突破される確率をそれぞれ4%・3%とした場合、4%×3%=0.12%に確率が減ります。計算どおりには行かないこともあるでしょうが、考え方はリスク発現の確率を減らすというものです。
「多層防御」に加えて、数年前から「ゼロトラスト」という言葉がいわれはじめていますね。「何も信頼せず、情報資産に接続する際は常に検証する」という考え方で、例えば、社内ネットワークからの接続も決して安全ではないので、常に監視して侵入をすぐに検知し、被害を最小限に収めるための対策をやりましょう、と。こういった感じで、攻撃側のトレンドもあれば、対策する側のトレンドもあります。
サイバーセキュリティ対策の役割は「致命的なこと」を防ぐこと
ーーサイバーセキュリティ対策の担当者として重要な役割は、どんなところにあると考えていますか?
安達)サイバーセキュリティ対策は、いくらお金をかけて取り組んだとしても、「100%大丈夫です」とはいえないんですよね。サイバー攻撃によるセキュリティインシデントは完全に防ぐことはできないことを前提に、影響の極小化へ向けた点検や対策を推進するしかないのです。大量の個人情報の漏えいや業務継続性を損なうシステム停止といった「致命的なこと」を防ぐことが大きな役割と考えています。
また、何が「致命的なこと」につながるかわかりづらいこともあり、難しいです。通常イメージするのは、日々のセキュリティ監視が不十分だったケースかと思いますが、システム構築時に脆弱性を入り込ませないといったことも重要となります。
例えば、ある会社が新サービスの提供をしようとしているとします。予定されたリリースの期限が近づいてきているのですが、リリース直前のセキュリティ診断で深刻な脆弱性を持っていることが発覚したとします。サイバーセキュリティ担当としては、その対策をしてもらわないとリリースできないと考えています。でもその対策を行うと、リリース時期が2、3か月ずれてしまう。リリース時期を優先するか、セキュリティ対策の実施を取るか。どちらを取りますか?
狙われないだろうと思っている人や早く成果をあげたい人は、リリース時期を優先する理屈をこねると思いますし、そういう人ほど、強気な人が多い気がします(笑)。
サイバーセキュリティを担当する者としては、セキュリティ対策を行わなかった場合のリスクについて、忖度することなく伝えるべきだと思います。
「サイバー攻撃を受けて、個人情報が漏えいした場合、本当に被害を受けるのはお客さまですが、その認識を持った上での判断ですか?」
「サイバー攻撃を受けてシステムに影響が出た際に、記者会見で責任者として、説明責任を果たせますか?」
このような感じで、率直に経営層に伝えることも必要だと思います。
最近のサイバー攻撃被害は、どこか特定の企業を対象に高度な技術を使って侵入されるのではなく、「ばらまき型」の無差別に拡散している攻撃による被害が多いです。狙われているか狙われていないかどうかは関係なく、どの企業も攻撃を受ける可能性はある、もしくは日常的に受けているという認識も必要だと思います。その認識を持ったうえで、「致命的なこと」が何かを改めて確認し、しっかりと対応できるかどうかが重要ですね。
会社の規模に関わらず“サイバーセキュリティ対策は悩ましい”
ーーサイバーセキュリティ対策を統括する立場として、“悩ましい”と感じていることはありますか?
安達)MS&ADグループという大きな保険グループのサイバーセキュリティの統括を担っているわけですが、当社グループはサイバーセキュリティに対して理解があると感じています。その上で、ぜいたくな悩みかもしれませんが、「必要な投資をかけて対策してほしい」と言われるのが悩みですかね。
セキュリティ担当としては追い風ではあるんですが、実は、「いくらを上限に、この範囲内で対策を考えて欲しい」と言われた方が、考える範囲が狭まって進めやすいんですよね。「必要な対策はやるべきだ」と言われると、シンプルであるがゆえに、考えることが増えてしまう。厳しいんです(笑)。
必要な対策であること、そこにかける投資額が妥当であること、これらを説明することは、シンプルでありながら、難しい。
お金をかけられない会社は、投資額の上限がある中で最大限のセキュリティ効果を模索しなければならないですし、お金をかけられる会社は、シンプルに経営層が納得する必要性と妥当性のある投資額を追求しなければならない。会社の規模や投資額に関わらず、サイバーセキュリティ対策というのは、どの会社でも難しいと思います。違う言い方をすれば、そういった環境下で、どこまで成果が上げられるかが、サイバーセキュリティ担当の腕の見せ所なのかもしれないですね。
ーー最後に、今回のインタビューを通して感じたことと、ほかの会社でサイバーセキュリティを担当している方へのメッセージを教えてください。
安達)改めて、“そもそも”のところから質問されると、自分自身の考えやポリシーを再認識する機会になりました。私が話したことと違う考えをお持ちの方もいらっしゃると思いますが、サイバーセキュリティの業務をしている方々の何らかのヒントになれば良いなとも思いました。ありがとうございました。
MS&ADインターリスク総研では、企業が直面するサイバーリスクに関する課題を解決するために、最適な対策を提案します
企業の抱えるサイバーリスクを多面的に評価し、多層的に防御する体制構築をワンストップで支援、「組織体制整備」「リスクの特定」「防御」「検知」「対応・復旧」の各フェーズに対応したコンサルティングメニューとデジタルソリューションをそろえていますので、まずはお気軽にご相談ください。
あわせて読みたい
-
コラム/トピックス
MS&ADグループのサイバーセキュリティとは?統括責任者に聞くセキュリティの仕事
MS&ADグループのサイバーセキュリティ対策の統括を務める安達知秀氏に、2回に渡り話を聞くシリーズ。1回目の今回は、グループのサイバーセキュリティ態勢や目下取り組んでいる対策などについて聞きました。
-
コラム/トピックス
MS&ADグループのサイバーセキュリティ統括責任者に聞く、セキュリティ人材の育成とは?
サイバーセキュリティ業界でも人材不足が叫ばれる中、MS&ADグループのサイバーセキュリティ対策の統括・安達知秀氏に人材育成について聞くとともに、現場で働く若手社員に“本音”を聞きました。
-
コラム/トピックス
【お客さま事例】イオンペット株式会社様 ~「セキュリティ対策にゴールはない」さらなる対策強化に向け、脆弱性診断とは異なるアプローチとしてASMツールを導入~
ペットとペットオーナーの暮らしを支えるイオンペット株式会社様に「MS&ADサイバーリスクファインダー」をご活用いただくに至るまでの経緯と、活用による成果とご評価、今後の展望についてお話を伺いました。
