サイバーテロや情報流出、システムの機能不全など、「情報セキュリティ」の重要性は高まる一方である。しかし日本では、いまだ優先順位の低い経営課題に留まっている。情報セキュリティの研究者であり実践者でもある高倉弘喜氏にそのポイントを聞く。

情報セキュリティは
いまや高次の経営課題

経営者のための情報セキュリティ入門国立情報学研究所 教授
高倉弘喜HIROKI TAKAKURA
九州大学工学部情報工学科卒業後、同大学院工学研究科情報工学専攻修士課程修了、京都大学大学院工学研究科情報工学専攻博士後期課程修了。博士(工学)。1995年、日本学術振興会特別研究員PD、並行して1995年5月から9月までイリノイ大学訪問研究員、同年10月から奈良先端科学技術大学院大学助手、1997年に京都大学工学研究科講師、2000年に京都大学大型計算機センター助教授、2002年に京都大学学術情報メディアセンター助教授(2007年に准教授)、2010年に名古屋大学情報基盤センター教授、2016年4月より現職。主な共著書に、『情報セキュリティの基礎 (未来へつなぐ デジタルシリーズ2)』(共立出版、2011年)などがある。

 私は、情報ネットワークのセキュリティ、より具体的にはサイバー攻撃時の情報システムの「抗堪性(こうたんせい)」(機能維持)について研究しています。2000年代のテーマは、あの手この手で仕掛けてくるサイバー攻撃を予測して備え、問題が発生した際にはすぐさま対応し、被害をいかに最小限に食い止めるかでした。

 2010年代に入ると、あらゆるものがネットでつながる世界が訪れ、私の研究には、いっそうのレベルアップ、幅の広がり、深掘りが求められるようになりました。たとえばサイバー攻撃によって自動車の制御を乗っ取ることもできてしまうのです。事実、そのような問題がメーカーとの調整が不十分なまま公開され、数百万台のリコールへと発展したことがあります。

 加えて、私のもう一つの関心事でもありますが、日本全体に共通する情報セキュリティの問題である「人」の確保です。IT人材の不足は言うまでもありませんが、現在の日本に圧倒的に足りていない人材がもう一つあります。それは、有能な技術者たちの仕事の内容を理解し、彼ら彼女らの能力を活かしつつ、情報セキュリティに関する情報を考慮しながら経営判断を下せるマネジメント人材です。

 2020年10月1日、東京証券取引所(東証)で発生したシステム障害の一件は記憶に新しいところです。記者会見では、IT出身者である担当役員が説明に当たりましたが、東証経営陣はインシデントの影響と内容を正確に理解していました。翌日にはシステム運用が再開され、被害は最小限に抑えられました。技術者たちの間では「神対応」と高く評価されています。それもこれも、ITを背景とする人材を迎え入れる重要性が経営陣に浸透していたからにほかなりません。

 コロナ禍とそれに伴うテレワークの広がりにより、これまで以上に情報セキュリティの重要性が再確認されました。同時に、台湾のデジタル担当大臣、オードリー・タン氏のように、ITに通じた変革リーダーの必要性をマネジメント層が認識し始めました。ひるがえすと、マネジメント層にも情報セキュリティに関する理解とリテラシーが求められていることを意味しています。

情報セキュリティにおける
経営陣の必修知識

 では、どこから始めればよいでしょう。まず、「単一障害点」(SPOF:Single Point of Failure)について理解しておく必要があります。単一障害点とは、そこに支障が生じるとシステム全体に影響が及んでしまう弱点のことです。悪意あるサイバー攻撃は、たいていこの単一障害点が原因で全機能停止を引き起こします。

 ここで、自動車の制御システムを例に考えてみたいと思います。たとえば、走行中に何か不具合が生じた時、どこがおかしくなったら致命的でしょうか。それは、ブレーキコントロールシステムです。すなわち、このトラブルが自動車の単一障害点となりえます。

 自動車といえば自動運転が焦眉の急ですが、関連して、さまざまなシステムの自動化が当たり前になりつつあります。いかなる不具合に見舞われようと自動制御できるシステムの構築は理論上可能とはいえ、コストの観点から現実的ではない場合も多く、遠隔操作であっても最後は人間の手によって停止させられる余地があることが大切です。言い換えれば、どこまで自動化を進め、どこから人間が判断するのか、その棲み分けが重要になります。

 社内ネットワークやIT機器も同様です。たとえば部長のPCが使えなくなった時、部内の業務はどこまで影響を被るのか。決済は課長のPCで代替できるのか。権限委譲の手続きをする前に部長のPCを撤去すると、何が起こるのか。こういうことをシミュレーションしながら、機械と人間の役割を決めておくことが肝要です。

 サイバー攻撃を完全に防御することは不可能ですが、攻撃されても業務を停止させない抗堪性の確保は極めて重要です。そのためには、情報システムにトラブルが発生しても仕事に支障を来さないように、業務継続に伴う危険性を考慮しつつ、最終的に人間が判断するための情報を提供してくれる機能が欠かせません。

 こうした抗堪性の高い情報セキュリティシステムを整えるには、事前にリスクの高いインシデントを特定し、その影響を把握する一方で、情報セキュリティの専門家だけに任せるのではなく、さまざまな視点から考えられる混成チームの存在が大変有効です。

 私たちが所属する国立情報学研究所(NII)は、日本全国の大学や研究機関を対象として学術情報基盤「SINET(サイネット)」を提供していますが、私はそのサイバーセキュリティ対策を担当しています。また私のチームは、多彩なバックグラウンドの持ち主の集まりであり、そのおかげで専門家集団が見落とす「気づき」が得られることが少なくありません。