IT デューデリジェンスについての課題（第二回）

松本：前回の対談では、企業が世界に進出するにあたり企業買収というものは珍しい話ではなくなりつつあり、そうした中で企業のサイバーセキュリティリスクを評価する「IT デューデリジェンス」が注目され始めていることをお話いただきました。

国内の中小企業の内、2025 年までに経営者が平均引退年齢の 70 歳を超えるのは約 245 万人、そのうち 127 万人が後継者未定とされています。このため、企業間の「合併と買収」（Merger And Acquisition：M&A）が加速することは容易に予測できます。

M&A により自社の強みを高めていくこは、国際競争力にも直結し、様々な相乗効果を生み出していきます。しかし、攻撃者の視点からはより魅力的な情報資産が誕生し、さらなる社会混乱やサイバーテロを誘発させる環境が同時に形成されていきます。

事実、国内の企業買収は増えており、DX（デジタルトランスフォーメーション）が多くの産業に拍車をかけています。情報セキュリティ対策は企業の健康経営を支える大きな柱として、その重要性が増してきていると考えています。

石塚：はい、日本の企業でも、海外を含めたグループ会社、取引先などへのサイバー攻撃による重要な情報流出の発生が近年増え、「IT デューデリジェンス」は経営上重要な案件になっています。

記憶に新しいところでは昨年末アメリカで起こった SolarWinds システムへのハッキングにより、そのシステムを利用していた政府や非常に多くの企業のシステムに侵入し、数多くの重要情報が流出したと言われています。
また、日本でもシステムの脆弱性を利用された攻撃により大規模な情報漏えいが発生したという報道もありました。

松本：こうしたサイバー攻撃が多発している中、サイバー攻撃へのリスクアセメント（評価）の重要性が益々増えてきますね。その際に、重要となるポイントは何になりますか。

石塚：重要なポイントは、経済性に加え、即効性と正確性です。この観点で、私が推奨するのは OSINT リスクアセスメントです。

OSINT とはオープン・ソース・インテリジェンス(Open Source Intelligence) の略称で、本来は諜報活動の一種として、公開情報であり、合法的に入手できる情報源を基に、インテリジェンスの収集を行うことを指します。

私が導入を進める OSINT リスクアセスメントは、ハッカーの視点でウェブサイトやソーシャルメディアなどの発信情報のほか、検索ツールやスキャンツールなどを利用し、企業の IT インフラやネットワーク上の公然情報を調査分析することで、その企業のセキュリティホール（弱点）を見つけ出します。
サイバー攻撃の糸口となる情報を定期的にではなく、常時チェックしていくことがポイントなのです。

近年、サイバー攻撃に対する事前のセキュリティ対策構築を目的に、自社及び関連企業のセキュリティ上のリスクの調査にも利用され始めています。

例えば、脆弱性（CVE）が公開されている IT システムを何も対策をせずに利用し続けていれば、ハッカーに対してそこから攻撃してくれと言っているようなものです。また、本来社内の人間しかアクセスすべきではないクラウドシステムが設定ミスなどで意図せず外部へ公開されている場合、そこから重要な機密情報が覗き見されてしまう可能性もあります。そのようなシステム上の穴がないかを常時確認することが可能になります。

松本：確かに、もはや定期的にではなく、常時リスクアセスメントをしていく時代だと感じています。常時監視のサービスも定着しつつありますが、対象システムの評価をしながら常に最新の状態でサービスを継続される取り組みが求められてきています。実際に、OSINT リスクアセスメントは海外では、どんな利用が広まっていますか。

石塚：海外では企業の競合分析、金融投資、さらにはローンの申し込みや保険請求時にも活用され、過去数年間で飛躍的に進歩してきました。もちろん今回のテーマである IT デューデリジェンスにも、非常に大きな役割を担っていくことになると期待します。

日本企業もこれから益々海外企業とのビジネスを進めていく上で、このようなグローバルレベルでのセキュリティ対策が求められますが、一部の大手企業をのぞいて、十分なリスク管理やセキュリティ対策が進んでいないことが課題だと感じています。
グローバルから見た場合、日本は世界的にもサイバーセキュリティ対策の向上が最も望まれているマーケットです。

松本：いまのままですと日本の企業のシステムや IT サービスは海外から格好の標的にされ、言い方は悪いですが「狩場」にされてしまう恐れもあります。事実、記憶に新しいところでは外国からの Emotet と呼称されるランサムウェアも日本を標的にした攻撃でした。

石塚：はい、そうですね。昨年より始まったコロナ禍において、企業はテレワークや DX の推進などへの、急速な変化を求められています。一方、急速なデジタル化に伴って様々なものがネットワークへ接続されこともセキュリティリスク上の懸念です。

その脆弱性をついて、ランサムウェアも急増し、これまでは国外のことと思っていた日本企業の被害が多く報道され始め、最重要経営課題となっています。2022 年は、日本はまさに抜本的なサイバーセキュリティ確立への対応が必要となる年となるでしょうね。

松本：まさに、「IT デューデリジェンス」が発展する年になりますね。その際に考慮すべきことはなんですか。

石塚：まず必要条件は、「第三者」による客観的なアセスメントであること。そして、経済性・正確性・即効性が十分条件となります。その答の一つが OSINT リスクアセスメントです。

独立したプラットフォームを使い、同時に複数の企業のアセスメントを行い、最先端のアルゴリズムで、数時間から 24 時間で、レポートを出すことが可能です。現在、多くのお客様に価値を体感していただくために特別価格でのレポート提供のキャンペーンも行っておりますので是非お問い合わせをいただきたく思っております。

OSINT リスクアセスメント レポートのサンプル

松本：攻撃者にとって「経済的に割に合わない状態にすること」が犯罪の抑止力になると考えています。いくら時間とお金をかけても、この会社からは機密情報は盗めないという事を攻撃者に対して分からせることが肝心です。

石塚：その通りです。抑止力を上げることで、攻撃をペイしないものにすることですね。今後は株主総会や有価証券報告書を通して、如何に頑強なセキュリティ構築に経営リソースを使っているか、リスクアセスメントを常時行っていることを説明することが当然なこととなっていくでしょう。

松本：日本にも優秀なシステムエンジニアはたくさんいますが、レッドチーム（攻撃者）を演習でこなせる人はとても少ないです。攻撃者のノウハウを持った人材を自社で抱えるのは難しいのですが、外部のリソースを借りてノウハウを蓄積していくということも必要だと感じます。

石塚：最新の攻撃手法を熟知したイスラエルのパートナーが開発した OSINT のプラットフォームを使い、対象ドメインを入れるだけでアセスメントをしていきます。正確なレポートを基に、社内でセキュリティ人材のリソース育成をしていくことができますね。