CFOフォーラム・ジャパン2014

サイバーセキュリティと向き合う

KPMGコンサルティング株式会社 パートナー 田口 篤

2014/12/02

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 1

目 次

I. サイバーセキュリティとは何か

II. 企業に求められる対応

III. サイバーセキュリティコストの考え方

I. サイバーセキュリティとは何か

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 3

サイバーセキュリティに関する誤解

サイバー攻撃から身を護るために、こちらも専門家（Ethical Hacker）を雇用した

サイバー攻撃に対抗するために、最新鋭、最高級のITシステムを導入した

誤解その１

誤解その２

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 4

定義が確立されていない

サイバー セキュリティ

サイバー 攻撃

サイバー テロ

外部の脅威 ネットワークやシステムを利用 高度なハッキング技術 ターゲットが明確

サイバーセキュリティ基本法など

サイバーテロ対策協議会（警視庁） 情報通信ネットワーク安全・信頼性基準（総務省）など

防衛省ホームページなど

サイバー 犯罪

都道府県警察、警視庁ホームページなど

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 5

企業のセキュリティ対策の歴史

Stage1 Stage2 Stage3 Stage4

～2004 ～2006 ～2009 2010～

主な脅威

脅威の 主体

ウイルス・ハッキング等の外部脅威

メール誤送信、 紛失、設定ミス等の

内部エラー

盗用、売買等の 内部不正

入念な準備に基づき特定ターゲットに攻撃（外部脅威）

主な目的

時代背景

主な対策

インターネット 接続の広がり

企業におけるPCの浸透（1人1台）

業務の システム化率上昇

システムの 多様化、複雑化

いたずら （ミス・エラー） 金銭 多種多様

外部 内部（過失） 内部（故意） 外部

F/W、ウイルス対策ソフト等のツール

教育・啓発、ISMS等の内部管理の

仕組み 内部性悪説を前提

とした対応 標的型攻撃を前提とした新たな対応

Stage1との相違点：外部脅威のプロ化・多様化

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 6

多様化する攻撃者と攻撃目的

Individual Hacker ・技術スキルの誇示が目的 ・Web改ざんなど

Hacktivist ・業務妨害や評判へのダメージが目的

・サービス停止など

Organized Crime ・金銭的利益が目的 ・フィッシング、詐取 など

Nation States （Government）

・地政学的、経済的優位性の獲得が目的

・スパイ、機密漏えいなど

Insider

サイバーセキュリティの本質は、多様化した攻撃者と攻撃目的に対して 的確に対応すること

Stage1 プロ化・多様化 • 特定組織を明確な目的を持って攻撃

• 技術の高度化（Social +

Technical）

Stage2 & 3

Stage4

Ⅱ. 企業に求められる対応

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 8

企業が取り組むべき事項

① Crown Jewelの特定

② リスクシナリオの想定

③ 突破されることを前提とした対策

④ サイバーインテリジェンス機能の導入

これまでの情報セキュリティの取組みをサイバーセキュリティ用に進化させる

具体的な取組み事項

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 9

進化① Crown Jewelの特定

王冠の宝石 ＝ 宝石店の中で一番高価な宝石

管理サイドの論理で広く機密情報に網をかけすぎていないか

管理サイドの論理で対象外になってしまっているものはないか

客観的な視点

外部から見て本当に魅力的なものは何か？

Crown Jewel

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 10

Crown Jewel 制御系システムの備えは万全か？①

発生した事象 ：

ウラン濃縮施設の遠心分離機（約8,400台）がウィルス「Stuxnet」に感染し操業停止

原因 ：

アメリカ国家安全保障局とイスラエル軍による標的型攻撃といわれている

被害 ：

核施設の稼働停止

イランの核施設を狙った攻撃（2010年）

出処：新聞・雑誌・Web等検索による筆者調べ

発生した事象 ： インド・ニューデリーのインディラ・ガンジー国際空港で、チェックインカウンターや搭乗カウンターを管理する共通旅客処理システムのチェックインシステム用サーバーに障害発生

原因 ： 空港システムに詳しい何者かがメインサーバーをハッキングし送り込んだ攻撃スクリプトが原因

被害 ： 運航に遅れが生じ、約50便が影響を受けた。チェックイン業務を手作業に切り替え空港が混乱

空港システムを狙った攻撃（2011年）

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 11

Crown Jewel 制御系システムの備えは万全か？②

セキュリティ対策が

不十分

セキュリティ管理が組織

的に行われていない

魅力的な攻撃対象

安定稼働が優先されるため、ウィルス対策やパッチ適用などの

セキュリティ対策が実施しづらい

情報システム部門の管轄外でセキュリティのルールがない

制御系システムは現場が個別管理しているため全体を把握しづらい

（装置一式で発注してしまうため誰も詳細がわからない）

現場にはセキュリティの専門家がいない

IT－LANよりも影響が大きく攻撃対象として魅力的

無線LANが導入されネットワーク接続されるケースが増えている

汎用OSが搭載されるケースが増えている

制御系システムがサイバー攻撃のターゲットになり始めている

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 12

進化② リスクシナリオの想定

誰が、なぜ、何を、どうやって

誰から狙われるのですか？

なぜ狙われるのですか？

何を狙われるのですか？

どうやって狙われるのですか？

会社ごとに攻撃シナリオが異なる

自社固有のシナリオを想定した対策がとられているか？

リスクシナリオ

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 13

サイバーセキュリティに関する誤解 Part2

情報セキュリティのグローバルスタンダードに準拠した対策を実施しているので我が社は安全である

誤解その３

標準的なコントロールセットはベースラインとして

Crown Jewelの対策はよりリッチに柔軟に

個々のCrown Jewelを具体的に想起して対策を検討

リスクの変化に応じたタイムリーな新規策の導入

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 14

自社はサイバー攻撃のターゲットとして魅力的か？

KPMG「サイバーセキュリティサーベイ2013」より 国内上場企業、売上高500億円以上の未上場企業 308社回答

非常にそう思う

6%

どちらかとい

えばそう思う19%

どちらともいえない

30%

どちらかといえばそう

思わない37%

全くそう思わない

8%

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 15

進化③ 突破されることを前提とした対策

オーダーメイドな攻撃手法

サイバー攻撃はターゲットを入念に調査した上でオーダーメイド型の攻撃手法で仕掛けられる

もしかしたら．．．

セキュリティツールはすり抜けられてしまうかもしれない

アンチウィルスやIDSは既知の攻撃手法とのパターンマッチ

自社への攻撃は未知の攻撃手法で行われるかもしれない

ソーシャルな手法との組み合わせで攻撃されるかもしれない

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 16

Prevention， Detection and Response

Prevention Detection Response

人と組織

業務プロセス

テクノロジー

防御中心の対策（Prevention）

これまでの対策の中心

今後充実すべき領域

これまで

これから

攻撃を受けたらすぐに発見できる対策（Detection） 攻撃を受けても被害を限定的にできる対策（Response）

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 17

サイバーセキュリティに関する誤解 Part3

サイバー攻撃を100%防御する仕組みを構築せよ

誤解その４

いつか必ずインシデントは発生するもの

絶対、情報漏えいしない仕組み？

過度な防御対策への傾注はコスト増と業務効率阻害を招く

× フォルトトレラント（二重三重の安全対策） ○ フェールセーフ（事故発生時に安全側にたおす）

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 18

進化④ サイバーインテリジェンス機能の導入

サイバーインテリジェンス機能

情報セキュリティに関するさまざまな情報を収集し、自社への影響を分析することによって、サイバー攻撃の予兆を捉えプロアクティブに対応する機能

日々、発見・報告される脆弱性の情報

自社サイトの監視結果

国内外の同業種に対するサイバー攻撃の情報 アンダーグラウンドの情報 等

情報収集・分析機関

学習機能をもつことが最良のサイバーセキュリティ対策

Ⅲ. サイバーセキュリティコストの考え方

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 20

サイバーセキュリティのコストを考える

500円 × 2900万件 = 145億円

お詫びの金額

個人情報漏えいの損害賠償額は一人当たり5000円～3万円程度の範囲（過去の判例）

インシデントの発生が会社の存続を揺るがすリスクに変化

収益を生まないコストの妥当性は古くて新しい問題

情報漏えい事故は会社の存続を脅かすか？

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 21

セキュリティ対策費に関するデータ①

74%

47%

68%

13%

14%

13%

3%

22%

7%

2%

5%

3%

2%

4%

2%

6%

8%

7%

0% 20% 40% 60% 80% 100%

過去1年にサイ

バー攻撃を 受けていない企業

過去1年にサイ

バー攻撃を 受けた企業

全体 1,000万円未満

1,000万円以上2,500万円未満

2,500万円以上7,500万円未満

7,500万円以上1億5,000万円未満

1億5,000万円以上

無回答

サイバー攻撃の予防のための年間予算はどれくらいか

KPMG「サイバーセキュリティサーベイ2013」より

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 22

セキュリティ対策費に関するデータ②

サイバー攻撃の予防のための年間予算はどれくらいか（売上高別）

92%

81%

74%

51%

15%

24%

68%

3%

13%

15%

23%

15%

13%

2%

3%

4%

11%

32%

20%

7%

2%

5%

15%

12%

3%

2%

8%

20%

2%

3%

3%

5%

8%

15%

24%

7%

0% 20% 40% 60% 80% 100%

100億円未満

100億円以上500億円未満

500億円以上1,000億円未

満

1,000億円以上5,000億円

未満

5,000億円以上1兆円未満

1兆円以上

全体 1,000万円未満

1,000万円以上2,500万円未満

2,500万円以上7,500万円未満

7,500万円以上1億5,000万円未満

1億5,000万円以上

無回答

KPMG「サイバーセキュリティサーベイ2013」より

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 23

セキュリティ対策費に関するデータ③

サイバー攻撃の予防のための年間予算はどれくらいか（業種別）

80%

76%

37%

74%

79%

62%

85%

68%

15%

9%

20%

11%

4%

15%

9%

13%

12%

6%

2%

9%

10%

3%

7%

14%

2%

3%

3%

14%

4%

1%

2%

5%

3%

9%

11%

4%

9%

3%

7%

0% 20% 40% 60% 80% 100%

その他・無回

答

サービス業

金融・保険業

運輸・商業

情報・通信業

製造業

建設・不動産

業

全体 1,000万円未満

1,000万円以上2,500万円未満

2,500万円以上7,500万円未満

7,500万円以上1億5,000万円未満

1億5,000万円以上

無回答

KPMG「サイバーセキュリティサーベイ2013」より

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 24

セキュリティ対策費に関するデータ④

(参考)売上高に対するIT予算比率

全体平均 1.23% 金融機関 5.07% （13年度調査）

出典：第20回 企業IT動向調査2014 一般社団法人日本情報システムユーザー協会 http://www.juas.or.jp/servey/it14/it14_ppt.v4.pdf

セキュリティ予算比率の試算

売上高500億円 IT予算 6.15億円 セキュリティ予算 1,000万円

セキュリティ予算比率 IT予算の1.6% 売上高の0.02%

ROSI※という概念も提唱されているが．．． ※ Return On Security Investment 対策費用と対策による損失軽減額を比較しその費用対

効果を検証する考え方

© 2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved. 25

CFOに求められる視点

ⅰ） セキュリティコストの妥当性を判断する基準を備える ⅱ） 全社のリスク状況を俯瞰し他のリスク対策コストとのバランスをとる

CFOに求められる視点

対応するリスクの適切性 － Crown Jewelへの対応か？ どんなリスクシナリオへの対応か？

選択された対策の適切性 － Prevention、Detection、Responseのどれに該当する対策か？

全社的なリスク状況とのバランス感覚 － 他のリスク対策コストと比してどうか？ － 事故が発生した場合の損害額と比してどうか？ － 売上高やシステム予算と比してどうか？ － 他社と比してどうか？

ここに記載されている情報はあくまで一般的なものであり、特定の個人や組織が置かれている状況に対応するものではありません。私たちは、的確な情報をタイムリーに提供するよう努めておりますが、情報を受け取られた時点及びそれ以降においての正確さは保証の限りではありません。何らかの行動を取られる場合は、ここにある情報のみを根拠とせず、プロフェッショナルが特定の状況を綿密に調査した上で提案する適切なアドバイスをもとにご判断ください。

©2014 KPMG Consulting Co., Ltd., a company established under the Japan Company Law and a member firm of the KPMG network of independent member firms affiliated with KPMG International Cooperative (“KPMG International”), a Swiss entity. All rights reserved.

無断転写禁止

お問合せ先 パートナー 田口 篤

KPMGコンサルティング株式会社 TEL : 03-3548-5305（代表）

kpmg.com/jp/kc