危機管理産業展(RISCON)2024のセミナー登壇
皆様お久しぶりです、尾崎です。2024年10月9日、に東京ビッグサイトで行われた日本最大級の危機管理見本市である「危機管理産業展(RISCON)」にてセミナー登壇してきました。用意された席数を超えるお申し込みをいただき、立ち見の方もいらっしゃる状況下でセミナーを担当させていただきました。危機管理産業展全体の参加者もコロナ後としては最多を更新だったようで、尾崎の担当したセミナーにもたくさんの方にご参加いただき光栄でした。
今年のセミナーテーマは企業における防諜対策~産業スパイから会社を守るために~。日本でも近年徐々に注目が集まってきている「経済安全保障」にも関連する企業の防諜対策について、最先端の知見を持つ稲村氏をお招きして前半は講演、後半はディスカッションと質疑応答を行いました。講演では国家の意思によるスパイと個人的動機に基づく情報取得行為を区分すること、また実際に発生した様々と犯行グループの思考回路などを詳しく紹介していただきました。壇上から見ていても、多くの方が熱心にメモを取りながら、そして頷きながら聞いておられたことが印象的でした。
個人的に印象的だったのは、次の点です。
サイバーセキュリティならサイバーセキュリティ、フィジカルセキュリティ(警備員や入室管理等)はフィジカルセキュリティと対策や担当部門を分けがちだが、犯人側はそんなことは一切区別していない。とにかく一度侵入に成功してしまえば大儲けなのだから、ありとあらゆる手段を組み合わせて侵入を試みる。防御側(企業側)も担当部門がしっかり対応すればいい、という程度の考え方では防御は到底不可能。日本企業はごく一部の大企業を除き、グローバル企業の中堅・中小が取り組んでいること、自社の規模で取り組みが可能なことに取り組もうとすらしていないことに懸念がある。
こうした講演・ディスカッションを経て、質疑応答セッションの前に尾崎がややでしゃばって「企業のセキュリティ対策は担当部門だけが頑張っても意味がなく、「組織文化」として浸透させなければ実効性は生まれない、」というコメントをさせていただきました。普段から当サイトでお伝えしている「安全対策の『組織文化』化」です。このコメントはご来場いただいた方に響いたようで、セミナー終了後に司会役だった尾崎にも多くの方からお声かけを頂けたことは大変うれしく思います。
「つぶやき」コラムではRISCONでのセミナーを聞いていて、尾崎自身が感じたことをざっとまとめてみたいと思います。
市場規模1.6兆円を超えた情報セキュリティ分野ですら「マイナーリーグ」の日本
日本において「セキュリティ」と名の付く分野で企業側がコストをかけ始めているのが情報セキュリティ(ITセキュリティ)の分野です。ハッキングによる顧客情報の詐取、フィッシング詐欺、あるいはITシステムの乗っ取りを通じた身代金要求など攻撃手法が多種多様であることも相まって、直近日本企業の被害も増えています。トレンドマイクロ社が実施した関連の調査では、従業員が500人以上いる日本企業の56.8%が直近3年以内にサイバー攻撃を経験しており、被害額は平均で約1億2500万円にもこれに伴い情報セキュリティ市場の規模も右肩上がりで拡大しており、この数年は毎年8~10%ずつ伸長中。2018年に1兆円規模を超えたばかりですが、今や2兆円をうかがう勢いです。
他方で、投資金額に伴う実効性が確保されているか、と言われるとこれまたプロの目から見てそうではないようです。例えば2024年9月22日付の日本経済新聞紙上で、日本ハッカー協会の代表理事は「日本のサイバー対策はかねて『マイナーリーグ』と揶揄されてきた。同様の攻撃による被害を繰り返し受ける企業もあり、セキュリティーの改善はなかなか進んでいない」と明言されています。日本の企業全体で2兆円弱のお金をかけてもなお、米国と比べればレベルが低い状態であることを米国の政府高官の言葉も借りて直言したものです。この後、記事では日本企業の多くがシステム上の脆弱性を放置したまま(更新費用をかけずに)使い続けているなどセキュリティー上の課題を放置していること、またサイバーセキュリティを理解する人材の育成が各企業内で行われていないことなどを課題として解説しています。
尾崎自身はあくまでテロや襲撃、オフィス防御といった物理的なセキュリティ対策(失敗すると人が死傷する)の専門家です。お金や情報を失うけれども直接的に人が死ぬことはないサイバーセキュリティ対策は専門外。それでも、後者にこれだけお金をかけている現状がありながら本質的な対応力が上がっていない、というのは似たような業界に取り組んでいる身として忸怩たる思いがありますね。
警備やオフィス侵入対策は「誰かの仕事」という草野球レベルのフィジカルセキュリティ
話をRISCONのセミナーに戻します。日本カウンターインテリジェンス協会の稲村さんによれば、企業の情報を盗むときにサイバーセキュリティよりももっと安易に、安価にできてしまう方法があるそうです。それは日本企業がほとんど警戒していない物理的な侵入。例えば清掃業者や配達業者として入り込む、あるいはIDの偽造などで簡単に各企業のオフィスに入り込めてしまいます。いくらサイバーセキュリティに投資を行い、IT上の防御をしっかり固めてもやすやすとオフィスに入られて、職場内の情報を持っていかれてしまったら元も子もありません。そしてこの手のフィジカルセキュリティにはほとんど投資がなされていません。投資以前に社員全体として「対策が必要である」という意識すら浸透していないと言っても過言ではないのです。日本全体で2兆円近く投入しているサイバーセキュリティですらマイナーリーグレベルなのだとしたら…。フィジカルセキュリティの分野は草野球レベルと言っても過言ではないように思います。
例えば、RISCONのセミナー前に講師陣で「こんな会社は危ない」のネタを出し合ってみたところ、こんな事例が上がりました。
外から中に入るときにフィジカルのセキュリティーバリアがなく、ノーチェックで物理的に侵入できる
監視カメラがない
インターホンがない
カードリーダーによる入域・入室制限がなされていない
オフィスの営業時間中の施錠をしていない(夜だけ機械警備をオンにして帰る)
宅配便や清掃業者のバックグラウンドスクリーニングや立会いをしていない
外から普通に入れる場所(打ち合わせスペース、ラウンジ等)に、パソコンが放置されている
社員証を首から下げる習慣がない、社員証を首から下げていない人に一般社員が積極的に声がけをしない
テールゲーティング (共連れ) が常習化している
セキュリティや災害対策、BCPなどのプランがない
緊急時の訓練を1年に一度も行っていない
こうした対策を行っていない場合には、正直いつ、どのような形でオフィス内に入り込まれいわゆる産業スパイ的な情報漏洩が起こってもおかしくはありません。しかしながら実は対策の費用はそこまで大きなものではありません。身分証を提示していない人への声掛けやテールゲーティングの禁止は意識一つで金銭的な追加負担は一切ありません。また、現在監視、カードリーダーによる入室管理システムやカメラとその映像統合システムは過当競争といってもいいくらいの状況で非常に安価に導入が可能です。その他、緊急時のBCP計画策定や非常事態訓練などもどちらかと言えばやる気の問題であり、専門家を短期間雇用するだけで既存の人材である程度は対応できてしまうというのも実態でしょう。
オフィスエリアの警備は警備会社に委託しているから(私は知りません)
宅急便、OA機器のメンテナンス要員、清掃員の委託は総務部/管理部の管轄だから(どんな人が自分のデスクに近づいているのか知りません)
身分証を提示していない人がオフィス内を一人で歩いている(けれども誰かのお客さんだろうから私は知りません)
という意識が組織内に蔓延しているとすればこれはもうセキュリティ対策以前のお話。日本の文化では「誰かを疑う」ことがあまりよしとはされませんが、企業・組織の存続・利害にも関わる場合にはやはり守りの姿勢から入るべきではないでしょうか?もちろん、その先により高度な侵入対策や専門家による指導が必要であれば当然コストをかけてでも企業・組織を守るための取り組みを強化する必要があります。
まずは、現状日本企業の多くで自社のセキュリティ対策が草野球レベル~マイナーリーグレベルであるという現状を認識することが大事なのではないかと感じました。
この項終わり