2025年の崖

さらに追い打ちをかけるのは、新たなデジタル技術を活用してビジネスモデルを創出・柔軟に改変するデジタルトランスフォーメーション(DX)を実現できないことで、2025年以降に年間最大12兆円の経済損失が生じる可能性を示す「2025年の崖」の存在だ。老朽化や複雑化、ブラックボックス化している既存のシステム(レガシーシステム)が大きな障壁となり、DXの推進が阻まれている。それもそのはず、レガシーシステムの保守管理費用にほとんどのIT予算を取られてしまう現実は企業経営に重くのしかかる。

このような状況下、先月新潟県のとある製造会社の顧客情報が漏洩した。同社は英国に支店を構え、欧州の顧客情報が含まれている可能性もあるという。企業規模にかかわらずEU圏内に拠点を置き、情報漏洩が起これば、当然ながらGDPR抵触の可能性がある。改めて、サイバーリスクが全ての企業規模の経営課題だと言わざるを得ない。

そこで、サイバーリスクに対する考え方を振り返ってみたい。去る7月、米国から本物のハッカーが、とあるルートから筆者を訪ねて来た。彼は米国の旅客機をハッキングした容疑で、かつてFBIからお尋ね者扱いだった。現在は米国政府筋へのアドバイザーや、自身が考案するサイバーセキュリティー手法の提供をなりわいとするいわゆるホワイトハッカーである。

頭はスキンヘッド、サンタクロースのような長い顎ひげは真緑。黒のパンクロックTシャツに五本指の地下足袋で現れた彼の怪しさたるや相当なものだ。しかしながら彼との議論は最高に刺激的で我が意を得たりの展開だった。

彼は開口一番、「どんなシステムでも100パーセントハッキングできる」と言った。サイバーリスクは100パーセント防ぐことはできないというありがちな考え方ではなく、100パーセント侵入もしくはハッキングされて当然であることを前提にすれば、その対策の根底が天と地ほど違うのは自明の理である。

彼はかつてブラックハッカーとして数多くのシステムに侵入してきた。要するに、「システムは必ず侵入される」ということは自分自身が実証済みというわけである。彼の論点である「必ず侵入される」という視点で見れば、全く同一のデコイ(おとり)のシステムを作り上げてそちらに誘い込み、リードタイムを稼いで対策を取るといった、いわゆるロスリダクション(軽減)こそが有効であり、従来型の入り口管理に重きを置いたロスプリベンション(予防)では完璧ではないだろう。

システムは「必ず侵入される」という発想の転換により、サイバーリスク対策のあるべき姿がより明確に見えてきた。次回は、サイバーリスク対策のポイントについて解説していく。

(了)
マーシュジャパン株式会社 
シニアバイスプレジデント
佐藤徳之