ニューヨークだより 2017年12月
「米国における企業のサイバー攻撃対策の現状」

2017年12月27日

省庁・団体名

JETRO/IPA　NewYork

内容

　先月号（「米国におけるサイバー保険の現状）（https://www.ipa.go.jp/files/000062714.pdf））に続いて米国における企業のサイバー攻撃対策（全般）の現状を紹介します。
　近年、重要インフラや企業へのサイバー攻撃により、情報漏洩や企業活動の停止といった被害だけでなく、被害への対応ぶりにより社内体制に影響が及ぶ例も出ており、サイバー攻撃の防止だけでなく、サイバーリスクマネジメントの重要性も高まっています。
　米国においては、被害防止の方法として、スタートアップ企業やベンチャー企業が様々な新たな製品、サービスを生み出している。また、サイバーレンジ（Cyber Range（演習場）において、模擬サイバー戦やセキュリティ製品、サービスの試験を行っています（日本でも、東京大学やNTTデータでサイバーレンジへの取り組みが始まっている。）。
　サイバーリスクマネジメントとしては、
・企業の社内の体制整備（CISO、CSOなどのサイバーセキュリティ責任者の設置、CSIRT（Computer Security Incident Response Team、シーサート）の設置等）
・内部不正対策（適切なアクセス権限の付与、人事・法務・財務・事業部門等との連携、社員のモニタリング等）
・情報共有組織への参加（Information Sharing and Analysis Center（ISAC、アイザック）等への参加）
が重要視されています。また、一部のサイバーレンジでは、報道機関への対応、規制当局への報告等も含めたサイバー被害対応のシミュレーションが実施され、企業の幹部が限られた情報に基づき早期に判断を下す訓練が提供されている。

McAfee社により、2018年に向けて以下の5つの警告がなされています（併せて、2018年5月に施行が予定されているEUのGDPR（General Data Protection Regulation）は、消費者のデータやユーザーが作り出すコンテンツの扱いについての基本的なルールを形成し得るとしている。）。
・サイバー攻撃の攻撃側と防御側の間で敵対的機械学習による「兵器競争」が進む
・ランサムウェア攻撃がPC乗っ取りからIoT、裕福層、企業破壊に広がる
・サーバーレスアプリケーションによりアプリ依存、データ転送等を狙った攻撃機会が増える
・コネクテッド家電により家庭が企業の店先となり消費者プライバシーがさらされる
・子供たちが作り出すデジタル・コンテンツを収集する企業は長期的に風評リスクを負う

2017年10月に慶應義塾大学で開催されたCyber3 Conference Tokyo 2017では、『日本ではリスクゼロが良いとする文化があるが、サイバーセキュリティにおいては、ゼロリスクということはあり得ない。セキュリティインシデントを防ぐことは当然重要であるが、その後の対策展開、さらにその共有こそがより重要である。』との指摘がなされています。

あらゆる対策を駆使し、世界全体でのサイバーセキュリティ認知度の向上、サイバー攻撃への対応能力（被害防止、リスクマネジメント）の向上、情報共有、人材教育・育成が重要であると考えられます（特に、米国はビジネスセクター－パブリックセクター間の人材流動が強みとの声がある。）。

詳細

• https://www.ipa.go.jp/files/000063229.pdf