
ヘルスケアデータ二次利用による企業価値向上を支える「デジタルコンプライアンス」の在り方(小野薬品)
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
2023-04-26
世界的に注目されるイベントは、サイバー攻撃者の格好の標的になります。関連ウェブサイトに対するDDoS攻撃や改ざんはもちろん、会場インフラの破壊工作や通信網の遮断といった、一般市民を危険に晒すような攻撃も試みられます。イベントを安全、かつ成功裏に終わらせるためには、あらゆる攻撃を想定し、その対策を講じなければなりません。日本で開催された国際イベントでは、数億回のサイバー攻撃を受けつつも、重大セキュリティインシデントをゼロに抑えました。本稿ではNTTコミュニケーションズの居林宏明氏をお迎えし、そのノウハウを伺いました。
(本文敬称略)
登壇者
NTTコミュニケーションズ株式会社
情報セキュリティ部 担当部長
居林 宏明氏
PwCコンサルティング合同会社
パートナー
辻 大輔
(左から)辻 大輔、居林 宏明氏
辻:
最初に、PwCが2021年に実施した「第25回 世界CEO意識調査」(※1)の結果から、日本企業におけるサイバーセキュリティの概況を説明させてください。日本のCEOに「自社の成長見通しに対する脅威」を訊いたところ、トップは「健康リスク(60%)」で、2位は「サイバーリスク(45%)」でした。一方、世界全体のCEOに目を向けると、「サイバーリスク(49%)」がトップになっています。
次に、日本におけるセキュリティインシデントの発生状況を見ると、2019年から2022年にかけて右肩上がりになっています。特に最近ではランサムウェア攻撃による被害が顕著です。一方、日本企業のセキュリティ予算は、増額傾向が続いています。
これらのデータから読み取れるのは、「日本企業はサイバーセキュリティを主なリスクとして認識し、多くの予算が投じられているものの、インシデントは年々増加している」という実態です。つまり防御対策よりも攻撃者のテクニックのほうが上回っているのですね。
ただし、このような日本企業の状況にもかかわらず、日本で開催された国際イベントでは、重大インシデントがゼロであったと報じられました。居林さんはこのイベントのサイバーセキュリティ対策を担当されていたと伺っています。実際の攻撃状況はいかがだったのでしょうか。
※1:PwCが2021年10月から11月にかけて、世界89カ国・地域の4,446名のCEOを対象に実施した調査。
居林:
同イベントの期間中、通信を遮断したセキュリティイベントは4.5億回を観測しました。過去に開催された同規模のイベントでは、特権アカウントが窃取されてシステムが破壊されたこともありました。しかし、今回は運営に直接影響を与えるインシデントは発生しませんでした。
特に記憶に残っているのは、開会式前に起きたAzureADへのパスワードスプレー攻撃とウェブに対する攻撃です。攻撃者はもっともインパクトが大きいタイミングで攻撃を仕掛けてきます。その事前準備としてクレデンシャル情報などを収集し、侵害行為を行います。さまざまな脅威は想定していましたが、想定された攻撃が目の前で起きたこともあり、鮮明な記憶として残っています。
攻撃者は常にスキャンや偵察をしていました。実際、侵入ポイント構築の機会をうかがう行為も多数確認できました。被害を最小限に抑えられたのは、サイバー攻撃を受けることを前提にセキュリティ対策を推進し、自身の環境を可視化したことが大きいと考えています。
NTTコミュニケーションズ株式会社 情報セキュリティ部 担当部長 居林 宏明氏
PwCコンサルティング合同会社 パートナー 辻 大輔
辻:
多くの日本企業は攻撃を前提とした対策を意識しているものの、実践するには多くの課題が山積しています。この課題を克服するには、何が必要でしょうか。
居林:
私たちがこのイベントにおいて実施した“備え・対策”を3つ紹介しましょう。
1つ目は「アーキテクチャの整理とその確実な実行」です。ネットワーク上に存在する情報資産に係るリスクを全て評価し、サイバーセキュリティ対策の考え方となるアーキテクチャを整理します。そして、攻撃者の悪性操作や攻撃活動が把握できるような設定と検知のルールを作り込むのです。そのうえで、監査やレッドチーム演習などを通じ、それらのルールに逸脱する設定がないかを確認します。
2つ目は「正規アクセスの可視化」です。何が異常かを特定するには“通常”を知る必要があります。システムのサイバーハイジーンに注力し、検知の仕組みによる可視化ができれば、セキュリティ製品の能力だけに頼らない対策を講じられます。
3つ目は「レジリエンス機能の向上」です。バックアップ&リカバリ対策は当然ですが、「セキュリティ対策は迂回され得る」という前提で対策の検討を重ねました。また、侵害された後のリカバリをトレーニングしたことも効果が高かったと考えています。トレーニングを通じて復旧時におけるシステムの依存関係などの条件が浮き彫りとなり、その都度課題に向き合うことで、不測の事態が起きたとしても、インパクトを最小限に抑えられるようにしました。
辻:
あらゆる攻撃を想定した事前準備は、「万が一の事態でも被害を最小限にする」という観点からも重要ですね。
居林:
そのとおりです。次に、運用時の対策を2つ説明します。1つ目は「インテリジェンスの活用」です。いわゆるダークウェブのモニタリングや攻撃者の動向調査なども実施しましたが、特に重要だったのは、鮮度の高いインディケータ情報(※2)の活用です。攻撃者が過去に利用したリソースや手口を使わずに、次々と新しい手法で攻撃してくるのを肌で感じていました。このためインディケータ情報の収集に注力し、各セキュリティデバイスにインテリジェンス情報を継続的に供給することを心がけました。
※2:攻撃者のIPアドレスやドメイン、マルウェアのハッシュ値など、侵害の痕跡となる情報
また、多要素認証を迂回されることも想定しました。具体的には、クリデンシャル情報に対するダークウェブのモニタリングと、日本と異なるロケーションや、デバイス情報が異なる端末からログインしようとするアカウントを抽出し、不正にアクセスされていないかを監視していました。そして、「IDやパスワードは漏えいしている」ことを前提に、先手を打ってパスワード変更などの対策を講じてきました。
2つ目は「プロアクティブなスレットハンティング」です。ここで言うスレットハンティングとは「攻撃の芽をいかにプロアクティブに摘み取るか」という広義な意味です。具体的にはセキュリティモニタリングと検知ルールの改善はもちろん、専門家の調査などで普段とは異なる兆候を発見するといった活動です。それ以外にも侵害調査サービス(Compromise Assessment)など、考えつく対策はプロアクティブにチャレンジし、リスクを取り除いて新たな脅威に対応できるよう、運用精度を高めていきました。
辻:
ご紹介いただいた対策は、時間をかけて入念に対応する必要がありますね。では、今まさに攻撃者から攻撃予告を受けた場合、どのような対策を講じればよいのでしょうか。都合のよい話ですが「即効性のある対策」はあるのでしょうか。
居林:
まずは「アタックサーフェス・マネジメント」の徹底です。サイバー攻撃の対象となり得るIT資産や攻撃の起点、攻撃経路を適切に管理する対策です。攻撃され得る情報資産の状態を把握し、各種設定の不備や抜け漏れ、脆弱性の有無をすぐにチェックします。もちろん脆弱性があれば対策を講じますが、全ての情報資産に対策を講じるのは難しいでしょう。したがって「攻撃の起点となり得る情報資産」を特定し、速やかに対策することが重要です。
次に実施すべきは「侵入経路の最小化」です。不要なサービスを無効化し、メンテナンス時のみに利用するような通信は一時的にオフにします。また、攻撃のターゲットになりやすい情報資産にリアルタイムでのモニタリングやタイムリーなトラッキングができる状態にしておくことが理想ですが、すぐに運用基盤の構築や成熟度を上げることは難しいので、セキュリティデバイスに最新のインディケータ情報を配布しておきます。
最後は「サイバー攻撃の予兆を捉えるインテリジェンス活動」です。守るべきものと、想定する攻撃が可視化できていれば、攻撃予告に対してもむやみに恐れる必要はありません。
辻:
先に紹介した「世界CEO意識調査」でも、日本ではインテリジェンス情報を収集している企業が多く見られる一方で、まだ収集していない企業も存在するという二極化された状況が浮き彫りになっています。
また、インテリジェンスを収集し、かつ戦略やインシデント対応に活用しているものの、人材や組織構造に課題があり、その活用が進んでいない実態も明らかになっています。こうした課題を克服し、企業がインテリジェンス情報を有効活用するにはどのようなアプローチが必要でしょうか。
居林:
最初にインテリジェンス情報の活用目的を整理する必要があります。インテリジェンス情報は手当たり次第に収集しても混乱するだけです。ですから、例えば「脆弱性管理」「攻撃予兆含め脅威となる情報の監視」「偽サイトの監視」といった目的を決めたうえで、各分野の対応を得意とするベンダーと協力し、情報収集することが効果的だと考えます。
国際イベントではインディケータ情報をまとめる機能や、自動配信機能を備えた「インテリジェンス共有プラットフォーム」を構築しました。保有したインディケータ情報は、約1億件に上りました。ただし、1億件をそのまま使うことはできないので、重要度や鮮度でふるいにかけました。“フレッシュ”で“アクティブ”なインディケータ情報を使用し、攻撃者のスピードに負けないように対策を講じることが重要です。さらには、最近のサイバー攻撃でも多く使われるサプライチェーンのリスクを意識した活動も重要となります。
また、地道ではありますが、攻撃アクターの攻撃傾向や攻撃経路・手法を把握し、自社のセキュリティ対策でそれを防げるかどうかを確認していく作業も必要です。
辻:
最後に日本企業のセキュリティ担当者に対し、アドバイスをお願いします。
居林:
“IT設備”に対し、セキュリティ担当者が逃げずに対策を決定していくことです。
辻:
どういうことでしょうか。
居林:
日本企業では、ネットワーク、サーバ、IT、クラウドなどシステムごとにオーナーが乱立しており、そのオーナーそれぞれにセキュリティ対策の責任が課せられています。しかし企業内のネットワークでつながる全てのノードは、個別ではなく全体で守るべきだと考えています。したがって、セキュリティ部門は企業全体のセキュリティアーキテクチャを包括的に把握し、個々のシステム開発や実装にも積極的に関与していく姿勢が大切だと考えています。
セキュリティ部門の関与度が高まれば、リスクは確実に減少します。「このシステムはセキュリティ部門の管轄外です」と線を引くことは簡単です。しかし、攻撃者にとって「誰の責任範囲なのか」は関係ありません。全ての資産を俯瞰的に捉え、セキュリティ対策を管理していくことが重要だと考えています。
辻:
まさに、強いリーダーシップを発揮された居林さんならではのご見解ですね。本日は、貴重なお話をありがとうございました。
小野薬品でデータ戦略を担当している山下 信哉氏をお迎えし、各部門を巻き込んだヘルスケアデータの二次利用におけるデジタルコンプライアンス体制の構築や、法規制、さらに視野を広げたELSI(Ethical, Legal, and Social Implications)リスクへの対応についてお話を伺いました。
アイデンティティ(ID)管理のソリューションが求められる背景や導入の要点、やってしまいがちな失敗とその対策などについて、ID管理を手掛ける企業の専門家3名にお話を伺いました。
膨大な量の個人情報を扱うリクルートのデータ保護・プライバシー保護専門部署の責任者と、プライバシー&セキュリティコンサルティングを専門とする弁護士を招き、今必要とされている取り組みと今後の展望を議論します。
2021年2月に施行されたデジタルプラットフォーム取引透明化法の中で注目されている「モニタリング・レビュー」。同法に携わる経済産業省の担当者をお招きし、モニタリング・レビューの果たす意義と新しい時代におけるトラストのあり方を伺いました。
2025年5月2日付で公表された「重要経済安保情報保護活用法の運用に関するガイドライン(適合事業者編)」、「重要経済安保情報保護活用法の運用に関するガイドライン(行政機関編)」及び「適正評価に関するQ&A」の概要を解説します。
営業秘密は企業の競争優位性を支える重要な資産であり、経営層はこれをリスク管理の一環として重視し、戦略的に対応することが求められます。シリーズ第1回となる本稿では、営業秘密の定義とその重要性について解説します。
グローバルでは近年、船舶サイバーセキュリティに関する統一規則(IACS UR E26/E27)の発行を筆頭に、海事分野におけるサイバーセキュリティの機運が高まっています。船舶・港湾分野におけるサイバーセキュリティの動向を理解し、発生しうる規制対応リスクについて解説します。
航空業界は、航空機や関連システムの高度なデジタル化やグローバルなサプライチェーンによる複雑化が進む中、サイバーセキュリティの重要性がかつてないほど高まっています。こうした背景から欧州航空安全機関(EASA)が2023年10月に制定した、情報セキュリティに関する初の規則となるPart-IS(委員会実施規則(EU) 2023/203および委員会委任規則2022/1645)について解説します。