サイバー不正の世界的脅威と日本企業の現状 〜ランサムウエアなど不正対策の最前線を聞く
サイバー不正の世界的脅威と日本の現状~ランサムウエアなど不正対策の最前線を聞く~(さいばーふせいのせかいてききょういとにほんのげんじょう~らんさむうえあなどふせいたいさくのさいぜんせんをきく~)とは、2022年3月8日、一般社団法人日本公認不正検査士協会に掲載された山岡裕明の対談記事である。
概要
理事長対談(魚拓) -ACFE 2018年6月に、一般社団法人日本公認不正検査士協会 (ACFE JAPAN) の理事長として日本公認会計士協会元会長の藤沼 亜起 氏が就任いたしました。 ACFE JAPAN は、不正対策の分野で活躍される著名な専門家の方と藤沼理事長の連続対談を企画しました。 いろいろなテーマに沿って行われた対談をお楽しみください。
日本公認不正検査士協会とは米国の認定資格である公認不正検査士が所属する団体である。2022年3月8日に理事長藤沼亜起[1]と山岡裕明の対談がHPに掲載された。山岡は米国公認会計士を育成する総合ビジネススクール株式会社アビタスで、サイバーセキュリティのeラーニング講師を担当しており[2]、アビタス主催のセミナーも度々行っている。
更に山岡は2021年10月7日に、一般社団法人日本公認不正検査士協会主催の第12回 ACFE JAPANカンファレンスにて講演とパネルディスカッションを行っており[3]、その繋がりで対談が企画されたと推測される[4]。
また対談掲載後、一般社団法人日本公認不正検査士協会では山岡が講師を勤める法人会員向け勉強会「ランサムウエア対応における実務上の留意点と、サイバー犯罪に使われる暗号資産の実態」の予告が掲載され[5]、本対談は勉強会の企画の一環と推定される。
本文
第10回の対談はサイバー不正対策の最前線で戦われている弁護士の山岡裕明氏(八雲法律事務所)をお迎えして、日本を含む世界各国で深刻化している企業を狙ったサイバー不正や犯罪の現状、ランサムウエアの脅威、更に企業におけるサイバーセキュリティ・マインドの重要性などを伺います。 (聞き手:ACFE JAPAN理事長 藤沼亜起)
もくじ
- 1.サイバー不正対策と関わる契機
- 2.RaaSの拡散と増大する脅威
- 3.日本企業における被害の実状と対策
1.サイバー不正対策と関わる契機
藤沼 氏
山岡先生は弁護士でありながら、プログラミングやネットワーク技術にも精通され、サイバー不正や犯罪の抑止に取り組まれています。そもそも、サイバー不正や犯罪に関心をもたれた経緯を教えてください。
山岡 氏
元々、私は企業法務が専門でした。2016年頃、担当していた企業がサイバー攻撃を受けるという経験をしました[6]。それより以前にも、ITシステムやインターネットのビジネス利用に伴う情報漏洩などのサイバー不正は存在していましたが、例えば従業員が事業所からデータを持ち出す違法行為や電子メールの誤送信、USBメモリ等のメディア紛失など、どちらかと言えば、企業内の問題でした。しかし、私が経験したのは外部からのサイバー攻撃を通じて情報を窃取されたケースで、手探りでインシデント対応をしたのを覚えています。この経験を機に、こうした外部からのサイバー攻撃に今後は世界中の企業が頭を悩ますだろうと直感しました。同時にサイバー攻撃は、現場の担当者やIT部門だけでは対応できない問題であるとも感じました。つまり、経営陣が率先して企業全体で取り組まなければ対処できない問題であると考えたのです。この点については、情報漏洩防止などに関する取締役の義務をテーマにした論文を執筆しました。[7]2019年には日本弁護士連合会からの推薦を受けて、米国におけるインターネット法制を研究するべく、カリフォルニア大学バークレー校へ留学しました。
藤沼 氏
留学先ではどのような勉強をなされたのですか。法制度の研究カリキュラムの中に、IT関連の実務学習などが含まれていたのですか。
山岡 氏
渡米当初、サイバーセキュリティに関する講義を、ロースクールで聴講しました。ロースクールの講義のテーマにサイバーセキュリティが含まれていること自体が驚きでした。その講義を通じてサイバーセキュリティに関する大量の文献に触れたのですが、「日本と米国ではサイバーセキュリティに関する実例数や議論の集積が『1対100』くらい違うぞ」と痛感しました。そこで、サイバーセキュリティをより深く学ぶには法律の調査だけでは足りないと思い、留学先のバークレー校にある情報大学院(School of Information)という、コンピューター・サイエンスや情報学を学ぶ大学院に私費で入学しました。20カ月間のカリキュラムを経て、Master of Information & Cybersecurityという修士号を取得しました。
藤沼 氏
なるほど、ITの専門性や知見は、情報大学院で磨かれたのですね。ただ、専門性の高い大学院ですから、理工系の知識や能力、英語力も、相当高いレベルで要求されたのではないですか。
山岡 氏
はい。主にコンピューター・サイエンスのバックグランドを持つ学生が進学してくるような大学院でしたので、英語や専門用語の理解には本当に苦労しました。1クラスわずか16人で、ほとんどがエンジニア経験を持っており、米国空軍のエンジニアやマイクロソフト社のエンジニアといった、ミドルキャリアのクラスメイトもいました。こうしたクラスメイトに囲まれ、数学とコンピュータ・プログラミングを中心としたカリキュラムを学びました。AI(人工知能)に関する機械学習のクラスでは、大量のマルウエアに関するデータを前さばきして、様々なアルゴリズムを試しながらウイルス対策ソフトウエアの検知率をひたすら向上させる、といった作業にも取り組みました。元FBI(米国連邦捜査局)の捜査官が講師を務めるサイバー犯罪に関連する実践的なレクチャーや、オバマ政権時代のセキュリティ担当官による、米国政府におけるサイバーセキュリティの位置付けの変遷に関する講義などが、強く印象に残っています。
藤沼 氏
おそらく、日本の弁護士で山岡先生のような貴重な学びの経験をされた方はいないでしょう。もちろん、誰でもできる経験ではないことを承知の上で、DX(デジタル・トランスフォーメーション)が必然の将来を見据えると、弁護士、そして私たち不正検査士(CFE)や会計士のような専門家の中から、山岡先生に続く人材が出てこなくてはいけないですね。しかしながら、山岡先生のおっしゃった、米国との「1対100」の違いを埋めるには、相当な努力が必要だと思います。
山岡 氏
米国は事例が圧倒的に多いと先に述べましたが、米国はロシアや中国など世界中から日々サイバー攻撃を受けており、被害件数からして日本とは比較にならないという背景があります。日々の攻撃にどう対応するべきか、どう考えるべきかを米国では様々な分野の人々が研究しています。興味深いことに、コンピューターサイエンスのみならず、法律、公共政策、軍事、公衆衛生、行動心理学といった実に多様な領域、学術分野からサイバーセキュリティの研究が米国では進んでいます。
藤沼 氏
米国の場合、軍や国家が関与するような軍事力の行使としてのサイバー攻撃も受けており、そうした大きな文脈でのコンフリクト(対立)の中で、私企業も外部からのサイバー攻撃を日常的に受けている、という構図ですね。日本の場合、米国に比べるとそうした地政学リスクがさほど高くはなく、外部からのサイバー攻撃に対して一部の企業を除くと、リスクの実感がまだ薄いのかもしれません。
山岡 氏
仰るとおりだと私も思います。米国は、サイバー攻撃対策に関する公的な予算も潤沢ですし、物的なキャパシティも人的資源も豊富です。1980年代から、米国連邦政府ではペンタゴン(国防総省)を中心にサイバーセキュリティの脅威に注目して組織を拡充してきた経緯もあります。軍事的側面では、2009年から2010年かけて当時のオバマ政権下において軍の組織体系が改編され、従来の陸、海、空、宇宙の4軍に加えて「米国サイバー軍(USCYBERCOM : United States Cyber Command)」を創設しました。こうした流れの中、この10年余りの間に米国では民間においてもサイバーセキュリティに関する社会経済上の大きなシフトチェンジが起きたと思います。
藤沼 氏
世界的な動きの中で、日本もようやく国を挙げたサイバーセキュリティ対策に注力しているところです。そうした国の施策に山岡先生も参画されているそうですが、具体的にはどのような分野に取り組んでいるのですか。
山岡 氏
2019年から2020年にかけて、NISC(内閣サイバーセキュリティセンター)において、サイバーセキュリティ関係法令の調査検討などを目的とするサブワーキンググループのタスクフォースに所属していました。サイバーセキュリティに関する法律や法的論点を整理し、一つの指針(ガイドブック)にまとめる作業です。この成果物は2020年3月、NISCから「サイバーセキュリティ関係法令Q&Aハンドブック」として公開されています。例えば「取締役の善管注意義務の中にサイバーセキュリティ体制を構築する義務が含まれるか否か」といった、実務的な課題の検討も扱っています。
藤沼 氏
それは、経営層も理解しておくべき、非常に重要な実務論点ですね。私自身、いくつかの企業で社外役員などに就いてきましたが、IT関連の業務は「現場任せ」の企業や取締役会などが少なからず存在すると感じています。ITに対する経営陣の知識や関心が乏しいために結果的に現場任せの企業もあれば、ITの導入や業務の効率化に強い関心を持ちつつも、サイバーリスクに関する深刻さに経営者が気づいていない企業もあります。後者の場合は「うちの会社は平気だろう」「狙われないだろう」といった、いわゆる「正常性バイアス」が経営側に見受けられます。万が一、サイバー攻撃を受けて被害が出た場合、事前に十分な対策を講じていたか否かが善管注意義務として経営陣に問われるならば、経営陣者の意識改革と具体的対策が企業の急務ですね。
山岡 氏
まさに現状はご指摘の通りです。残念ながら、日本の企業における経営陣のサイバーリスクに対する意識醸成は、まだ道半ばであると私も痛感しています。善管注意義務に関しては、具体的には内部統制システムの一環、IT業務との関係性がポイントになります。日々の管理体制も含めて、サイバーリスクについて事業継続を脅かす重大なリスクの一つとして認識しているか、適切な要員人を配置しているか、予算を割り振って内部統制をしっかりチェックできているかなどを、確認しなくてはいけません。これらの体制づくりに関わる責任は、取締役が負うべきであるとの考え方が基本となります。今、企業では新たな経営改革のテーマとしてDXが盛んに謳われていますが、リスクの側面への議論が少ないように感じます。私は常々、「DXの普及とサイバーリスクの関係は表裏一体である」と伝えていますが、DXを通じたビジネス改革を進める過程でサイバーリスクの増大は不可避であることを、しっかりと認識していただきたいと願っています。
2.RaaSの拡散と増大する脅威
藤沼 氏
サイバー不正・犯罪に関連して、最近はRaaS(Ransomware-as-a-Service)、直訳すると「サービスとしてのランサムウエア」という単語を耳にする機会が増えました。改めて、RaaSとはどういったものかを教えてください。
山岡 氏
まず、RaaSの生まれた背景からお話しますと、一昔前の「サイバー攻撃」といえば、直接的あるいは間接的に国家の支援を受けた攻撃者、具体的な例ではロシアや北朝鮮、中国などが支援しているハッカー集団が行う行為が主でした。ですから、敵対する国家の公的機関やそれに関連する組織や大企業などが主な攻撃対象で、高度なハッキング技術と何らかの強い目的や動機——例えば相手の国家機密の傍受やデジタル・インフラの破壊など——を持って動いているのが特徴でした。ところが最近、そうした高度なハッキング技術やノウハウが1つのパッケージ・サービス、つまりRaaSとして、インターネット上からは通常アクセスできない「ダークウェブ」上の闇市場で売買される状況になっているのです。RaaSは、従来のハイレベルなハッカー集団が利用してきたツール、マルウエアやコンピュータ・ウイルスとそれらを使いこなすためのノウハウなどが一式化されており、技術力のない犯罪集団や個人がそれを買い求めています。RaaSならば、本来ハッキングやサイバー攻撃とは縁遠かった階層の犯罪集団まで使いこなすことができ、その結果、サイバー不正や犯罪が世界的に急拡大しています。具体的な手口は、企業のシステムに暗号鍵をかけて機能停止させた上で解除を条件に「身代金」を要求するシステムの乗っ取りパターンと、情報を盗み出して脅迫するパターンがあり、両方を組み合わせた「二重恐喝(ダブルエクストーション)」脅迫も増えています。不正の手口や犯罪手法の拡散状況は、日本における「オレオレ詐欺」「なりすまし詐欺」が広がった経緯にも似ている面があるかもしれません。一昔前、一部の知能犯がオレオレ詐欺という一種の演出型の犯罪スキームを考え出しました。最初は一部の集団が行っていた犯罪が、「誰でもできる」ということで色々な犯罪者に広まっていった、そのような図式です。
藤沼 氏
なるほど。サイバー不正の手口やツールがRaaSによって世界規模に拡散し、これまでのような専門的な犯罪集団だけでなく、一般の犯罪者までも関わるようになってしまい、経済的犯罪が増えているのですね。ただ、技術力の高いサイバー犯罪集団にとって、RaaSのようなツールまでも用意して、犯罪の手口を拡散させることには、何らかの意味や狙い、目的はあるのでしょうか。
山岡 氏
まず、RaaSによって犯罪スキーム自体が売買の対象となり、世界的に広がりました。その結果、RaaSを開発して売り渡す元締め的な「デベロッパー」と、RaaSを買い求めて犯罪を実行する「アフィリエイター(協力者)」の2極化が進んでいます。さらにデベロッパーはRaaSを使ってアフィリエイターが奪い取った資金の一部を「成功報酬」として分配します。ダークウェブなどの情報によると、奪い取った資金については「3対7」に分けられ、「7」を実行者であるアフィリエイター、残りの「3」をデベロッパーに納めるといったスキームが多く見受けられます。一見、デベロッパー側の取り分は少ないようにも見えますが、デベロッパーにしてみると摘発リスクを負わないで資金が継続的に入ってくる仕組みを構築でき、かつ、RaaSを買うアフィリエイター、つまり不正の実行者が増加すれば、総収入も相対的に増えていきます。その意味では、犯罪者側の階層化もオレオレ詐欺に通じる点があるように感じますね。大元の集団が存在する一方、金銭の直接的な授受を行う受け子役、文書の偽造や不正な携帯端末の入手役など末端の犯罪者がどんどん増えていく、まさにRaaSを巡る状況も同様です。
藤沼 氏
なるほど、RaaSを通じてサイバー犯罪の「下請け」や「アウトソーシング」を行っているとも捉えられますね。ちなみに、デベロッパー側、アフィリエイター側、それぞれの犯罪集団のプロファイルは絞り込めているのですか。出身や拠点の地域など、何らかの特徴や手がかりが存在するのでしょうか。
山岡 氏
あくまで推測ですが、高度な技術力や専門性に鑑みると、デベロッパー側はやはり国家や軍事機関に近い組織や軍出身の人間であることが多いと思われます。アフィリエイターから得ている資金については、外貨の獲得や更なるサイバー不正技術の開発に必要な費用を稼ぎ出しているとの見方もあります。地域特性に関して、2021年8月に一つの裏付けとなる興味深い騒動がダークウェブ上で起きました。ロシア系のサイバー犯罪集団において内紛が起き、彼らが普段使っているハッキング・マニュアルがダークウェブ上に流出したのです。マニュアルはロシア語で記載されており、やはりロシアやその周辺の国や地域がサイバー犯罪集団の拠点であることが判明しました。
藤沼 氏
以前、あるIT専門家から「ハッカー集団の『発祥』はロシアや東欧諸国と思われる」といった趣旨のお話を聞き、使われる言語やプログラムなどを解析すると、それらの地域が疑わしいとのお考えでした。山岡先生の見解はいかがですか。
山岡 氏
ご指摘の通りだと思います。ダークウェブ上のハッカー同士が情報交換するフォーラムでも、鮮度の高い情報が出てくるのは、やはりロシア語系のフォーラムです。私自身、ダークウェブやランサムウエア、サイバー不正を調査するようになってから、ロシア系の言語を目にする機会が増えていると感じます。また、ランサムウエアによる攻撃集団とのコミュニケーションやそうした集団が被害企業に残す「ランサムノート」(身代金要求文書)と呼ばれるファイルを見ると、基本的には英語表記が多いのですが、よく読んでみると、英語圏のネイティブではない人間が、何か翻訳アプリなどを使って書いたように感じる場面が多々あります。
3.日本企業における被害の実状と対策
藤沼 氏
違和感のある英語で書かれた脅迫文、というのは生々しいですね。RaaSを買って不正を行う人間、つまりアフィリエイター側が世界レベルで広範に拡散している上、目的が身代金のような経済犯罪になってくると今、サイバー犯罪者、不正行為実行者の摘発、さらにプロファイルやバックグラウンドの把握も相当難しい状況ではないですか。サイバー不正がここまでコモディティ化してしまうと、一昔前とは様相が全く異なりますね。
山岡 氏
藤沼理事長のご指摘の通りです。実行者の素性が急速に読みにくくなりつつあります。犯罪の目的が暗号資産(仮想通貨)など経済犯の傾向が強くなっていますし、今後更に世界中の単純な金銭目的の犯罪者が小銭稼ぎの感覚でサイバー不正や企業脅迫にどんどん手を染めていけば、従来のような国家の影や地域性といった特徴は薄まる恐れがあります。先日、ある専門家から聞いた[8]のですが、ランサムウエアを使って日本企業を攻撃してきた犯罪集団の中に、日本人、あるいは日本語や日本企業の状況などを相当理解できる人間が含まれている可能性があるとのことでした。
藤沼 氏
そのお話を踏まえると、あまり考えたくはないですが、すでに日本の犯罪集団がRaaSなどを使って企業にサイバー攻撃をかけている恐れが十分あり得えるわけですね。2021年には日本の地方の医療機関がランサムウエア攻撃[9]に遭う事件が起きました。こうした状況の一方、日本の企業などはサイバー攻撃を受けた際には自社内で内々に処理する傾向が強く、つまり身代金を支払う事例が多いとも伝え聞きますが、実状はどうでしょうか。
山岡 氏
2021年7月に公表されたある調査結果によると、「米国では被害企業の約8割が身代金を支払っており、日本の場合は3割の被害企業が支払った」とのデータがあります。ただし、この数値は明らかになっている事例に基づいており、見えない部分で処理されているケースも相当あると推測されます。
藤沼 氏
米国企業は8割も支払っているのですか。これは驚きました。米国では、いわゆる「サイバー保険」が普及していますが、そうした影響は考えられますか。保険があるということで攻撃側は「保険(金)で支払うだろう」と考え、そのために狙われるリスクはありませんか。
山岡 氏
ご推察の通りでして、皮肉ですが、米国企業はサイバー保険への加入割合が高い分、身代金支払いに応じる傾向が強く、支払いに応じる一番の理由とも言われています。それゆえ、米国財務省の外国資産管理室(OFAC)は2020年から2年連続で、「(ランサムウエア攻撃で)身代金を払ってはいけない。払ったら厳しく罰する」旨の勧告を発出しているほどです。その一方で米国の場合、サイバーセキュリティ・インフラセキュリティ庁(CISA)、FBIなどが被害企業への支援に積極的に取り組んでいます。日本でも大きな話題になりましたが、2021年5月に米国最大の燃料パイプラインを運営するコロニアル・パイプライン(Colonial Pipeline)社がサイバー攻撃を受けた事件の際には、FBIが捜査に乗り出してシステムの乗っ取りに使われていた暗号鍵を犯行グループから入手し、システムの機能を回復しました。ただし、あの事件に関しては「運が良かった」というのが私たち専門家の見解です。おそらく、実行犯の末端構成員を捕まえて、暗号鍵を入手できたのではないかと推測されています。
藤沼 氏
米国企業においては、会社を守るために身代金を支払ったとして、連邦政府のOFAC規制やテロ資金規正法に違反すれば刑事罰が科されるかもしれません。逆に、身代金要求に応じず、その結果、企業活動が破綻してしまえば、株主代表訴訟や取引先から訴えられる恐れもあります。攻撃を受けた企業の経営陣は、限られた時間で経営判断を下さなくてはいけない難しい局面です。日本企業も同じ構図ですね。まず、山岡先生のような専門家の意見をしっかり収集した上で意思決定をしたいところですが、専門家がすぐ近くにいるとも限らない。悩ましい問題です。
山岡 氏
ランサムウエア攻撃が従来の破壊型のサイバー攻撃と最も異なる点は、初期段階から経営陣を巻き込む、経営陣が意思決定をしなくてはいけないという状況だと感じます。ランサムウエアでシステムがロックされた後、「身代金を払いますか、払いませんか」という問いが企業に突きつけられます。そして、これを解決できるのは経営陣だけです。経営陣が、巨額の身代金を支払うか否かの意思決定を下さないといけない。仮に数カ月間、工場や生産ラインが停止するとしても、毅然とした姿勢を貫くか否か、もしかすると機密情報も同時に盗み出されていて、それを公表される恐れもあります。これは私の実体験なのですが、従前のサイバーセキュリティ・インシデントの場合はIT部門や管理部門など、いわゆる現場からまず相談が入ってきました。ところがランサムウエア攻撃の場合、経営層からご連絡を頂くことが多いです。
藤沼 氏
サイバー不正にどのように対峙していくか、私たち不正検査士も世界各国で議論し、大きく注目しています。「ゼロトラスト・セキュリティ」などの概念も出てくる中、もはや未然に防御する手段はないもので事後対応を軸に対策を考えるべきなのか、そういった諦観的な考え方も一部にはあります。
山岡 氏
2021年7月に公表されたある調査結果によると、「米国では被害企業の約8割が身代金を支払っており、日本の場合は3割の被害企業が支払った」とのデータがあります。ただし、この数値は明らかになっている事例に基づいており、見えない部分で処理されているケースも相当あると推測されます。
藤沼 氏
米国企業は8割も支払っているのですか。これは驚きました。米国では、いわゆる「サイバー保険」が普及していますが、そうした影響は考えられますか。保険があるということで攻撃側は「保険(金)で支払うだろう」と考え、そのために狙われるリスクはありませんか。
山岡 氏
この藤沼理事長の問題提起は、実は私たちサイバーセキュリティの専門家の間でも大きな論点になっています。興味深い事例が米国で起きまして、ソーラーウィンズ社のネットワーク管理ソフトウエアを利用する企業が長期間にわたりハッカー集団に不正侵入されていたことが、2020年12月に発覚しました。被害組織にはペンダゴンが含まれており、半年間にもわたってハッカー集団がペンタゴンのネットワークの中に不正侵入していた可能性が指摘されています。米国の国家安全保障局(NSA)は、2000年代前半から数千億円をかけて構築したネットワーク監視システム、『Einstein』を開発・運用していましたが、この『Einstein』をもってしても不正侵入を感知できなかったことを意味します。こうなると、「サイバーセキュリティに『完璧』はあり得ないのではないか。まして企業レベルなどに一体何ができるのだ」という悲観論が出てきても仕方ありません。ただし、ランサムウエア攻撃に関しては、RaaSのように技術力の低い攻撃者によるパッケージ化された攻撃が多い点に鑑みると、当該パッケージの傾向を踏まえた対策を講じることはサイバーリスクの低減には確かに有用です。
藤沼 氏
具体的な対抗策はどういうものでしょうか。
山岡 氏
例えばサイバー攻撃の9割は、電子メールが起点になっているという調査結果があります。この調査結果を前提とすれば、非常に単純に聞こえるかもしれませんが、「不用意に電子メールを開かない」といったカルチャーを社内に醸成する、電子メール攻撃対策として社内教育や模擬訓練を徹底するといった対策でも、サイバーリスクを相当軽減できる可能性があります。付け加えると、近年に普及したVPNサービスやクラウドサービスに関し、認証情報の漏洩にも注意を払うべきです。これは2段階認証などで侵入を防ぐことが可能です。また、サイバー保険を提供している保険会社では、万一の場合の保険金の支払いだけでなく、予防措置として、社員向けの模擬訓練などリスク軽減策をサービスとして提供する会社もあり、サイバー保険への加入はリスクの転嫁のみならず、リスク低減にも資するとの指摘もなされています。もう一つの重要な視点として強調したいのは、サイバー不正といえども典型的な不正対策が肝要になる、ということです。2021年に発生した米国企業におけるランサムウエア被害の事案では、組織内部の人間がIDとパスワードをハッカー集団に故意に渡し、それから侵入された可能性が指摘されていました。ダークウェブ上では今、クラウドサービスなどのIDやパスワードの売買も盛んに行われています。ダークウェブ上で、匿名でこれらの情報を売り飛ばして暗号資産(仮想通貨)で支払いを受ければ、売る側も買う側も一切足がつかないからです。
藤沼 氏
なるほど、確かにサイバー空間での不正ですが、不正の本質は会社の知的財産侵害や営業秘密の流出などと同じですね。となると、会社に対するロイヤリティ(信義心)の低下など、動機の面でも典型的な社内不正と変わりはないですし、機会や正当化の側面を含めて、社員に対するマネジメントも留意すべき要素となりますね。
山岡 氏
経営陣の善管注意義務に関して申しますと、経営の責任としては、サイバー攻撃からのリカバリーが議論の焦点になりますが、責任を問われた時に「やるべきことはきちんとやっていました、その上で攻撃者のレベルが高く結果回避不可能でした」と、しっかりエクスキューズできるレベルまで体制を整えておく上では、大局的にはコンプライアンス体制や総合的な不正対策など、原理原則の基本的な活動も大事なポイントだと考えられます。
藤沼 氏
最後の質問ですが、今後、山岡先生が取り組みたい課題や問題意識を教えてください。
山岡 氏
やはり、経営層にサイバーセキュリティのマインドを持っていただくこと、そのための啓蒙活動です。NISC、経済産業経産省、日本経済団体連合会(経団連)などがサイバーリスクは経営レベルの問題であるとして経営者へ警鐘を鳴らしています。私も全くもって同意見でして、日本のサイバーセキュリティの底上げには経営者の意識醸成が不可欠だと思います。もう一つは、サイバーセキュリティを目的とした多様なステークホルダーによる連携体制の構築です。サイバーセキュリティを構築する上で、攻撃と防御の非対称性がポイントに挙げられます。攻撃側は一点を突破すればいいのですが、防御側は全てを守らなくてはいけません。防御側の負担は重く、各企業や組織が個々に対応していては大変です。個々の負担を分散する上でも、企業や組織の垣根を越えた情報の共有や連携の構築が求められています。
藤沼 氏
先日、ある雑誌記事で、サイバー犯罪関連の日本の法制度が十分に整備されていない指摘を読みまして、いささかショックを受けました。検閲禁止の問題や通信の秘密保持といった憲法による制約のほか、電気通信事業法、有線電気通信法、電波法など現行法では規制に限界があるばかりか、摘発や捜査の妨げになるケースも存在する、との趣旨でした。法律家として、山岡先生のご見解はいかがですか。
山岡 氏
既存の法制度が、サイバー犯罪の捜査や摘発に必要な活動とコンフリクトを起こすケースは、実は米国や欧州などでも問題視されています。サイバーセキュリティの文脈においては、ダークウェブ上を定期的に監視し、ハッカーの動向、被害企業から盗まれた個人情報や企業情報が流出していないかなどを調査するサイバーインテリジェンスというサービスが普及しつつありますが、こうした活動を行う際、個人情報保護法への抵触などが指摘されています。おそらく、不正検査士の方々も業務の中での情報収集に関しては難しい局面が多いと察しますが、サイバー空間という法域や国境を越えて、更には「人」や「時間」に関する既存の概念を超えた環境下で、不正や犯罪と対峙していく上では、現行法に一定の例外規定を認めることや法律の抜本的な見直しを視野に入れる必要があると思います。
藤沼 氏
不正と戦う側が萎縮してしまう仕組みのままでは、大局的には不正を助長しかねません。サイバー不正対策は、多様なステークホルダーが連携して、一緒に声を上げて、変えていくべき急務のテーマですね。山岡先生、本日は示唆に富んだお話をありがとうございました。
脚注
- ↑ ちなみに藤沼氏は唐澤洋が所属していた新日本監査法人の出身で2004年~2007年まで日本公認会計士協会会長を務めている。
- ↑ 〈eラーニング〉サイバーセキュリティ基礎講座(魚拓)株式会社アビタス
- ↑ 第12回 ACFE JAPAN カンファレンス 開催レポート(魚拓)
- ↑ なお、実際に対談があったのは、EXIF情報から2021年12月9日のようである。また、山岡は2021年10月7日のACFE JAPANカンファレンス、2021年12月15日の大塚商会のセミナーと同じネクタイを締めている
- ↑ 2021年度 最終回・法人会員様向け勉強会のご案内(魚拓) - ACFE
- ↑ サイモントン療法協会の事件、あるいは同時爆破予告事件かカラッキングか。あるいは教徒がまだ探し切れていない事件の可能性あり
- ↑ 経営者の喫緊の課題 新たなサイバーリスクへの向き合い方と推測される
- ↑ 対談数日前の2021年12月7日、第18回デジタル・フォレンジック・コミュニティ2021 in TOKYOが開催されている
- ↑ ランサム攻撃でカルテ暗号化 徳島の病院、インフラ打撃(魚拓) - 日経新聞
