万全のサイバーセキュリティはどうやったら達成できるのか~元首相警備体制から考える~

blog

こちらの記事に目を止められた方は、サイバーセキュリティについて態勢は整えたものの、それが機能することに苦心および不安を覚えている方かと思います。今回は、如何なる観点であれ、セキュリティ態勢を維持し機能させるための、ポイントを確認しつつ、前回に続き、犯罪者に屈しない世の中、平和な世界を達成するために、掲題の話題について考察するとともに、リスクへの対応についての再訪および再徹底・再確認の機会としたいと思います。

各コンテンツの記載内容を参考にポイントをまとめつつ、再度、現在のサイバーセキュリティ態勢についての確認を行ってみてはいかがでしょうか。

●想定されるリスクの見積もりとその見積もりに対しての対応レベルは正しいか?

要人警護では、対象者の知名度や言動、主張などからどのくらい狙われるリスクがあるかを事前に検討する「脅威設定」を行います。元首相はその地位を退いた後も活発に政治活動を行っており、引き続き言動や主張などにおいて、警戒レベルを高く設定するべきだったと思いますが、現場に配置された警察官は、現任の首相に比べて少なかったという識者が複数います。

→守るべき重要な情報資産、運営インフラについての脅威設定と、その警戒レベルは適切に設定し、常にその適切性と維持態勢を確認する必要がある。

●通常とは異なる動きがあった場合に応じた対応が取られていたか?

今回の事象の特徴としては、前日夜にスケジュールの変更があったことと、発生場所が地方だった点も考慮せざるを得ないと思います。元首相には生涯、警視庁のSPが身辺警護につき、必ず複数のSPが24時間警備することになっていますが、地方に行く際は、警視庁のSP1人が同行し、あとは地元県警で対応する可能性があるそうです。つまり、脅威レベルに対して、通常よりレベルが落ちたギャップがあるセキュリティ態勢で対応せざるを得なかった場合を、攻撃者から狙われていたと考えられます。

→現行のサイバーセキュリティ態勢の前提となっているシステム環境に変化はないか? 実装されている防御施策は十分に機能しているか?

●対策が機能しているのに、その機能を無駄にしていないか?

今回、攻撃者は一回目の発砲を外し、致命傷につながった2発目まで約3秒間の「空白」があったにもかかわらず、護衛の反応が遅れたという識者がいます。1発目が発砲されたことで、事件の発生が認識されたわけですから、少なくとも守られる側およ守る側に3秒という対応をする時間が与えられたにも関わらず、その時間を無駄にし、結局攻撃を許しています。

→防御策の一環として、時間稼ぎが行われる仕組みを組み込んでいるが、その間に実施するべき対応事項は決まっており、徹底されているか?

●守られる対象と、守る側の意思の疎通はなされているか?

もともと、政治家は有権者との距離を縮めたいという意識が強い一方で、警護・警備上は距離を取ることを求められる。そもそも、守られる側に、自分が危険に晒されている意識は持ちづらいし、その意識を持った途端に支持者はその心情を敏感に汲み取り、応援することをやめてしまうかもしれません。政策的に画期的か、能力が尋常でない限りは、結局、政治家は以下にシンパシーを持ってくれる人を増やすかにかかっているので、潜在的な支援者と握手をせずに目的を達成することは難しいと思います。

企業に当てはめるとすると、リスク対策には当然コストがかかり、いったん、ビジネスの前提となる重要な情報資産や運営インフラがダウンすることによって被る見積もられた損害に応じたコスト(保険ではない)をかけるべきだということになります。特に日本では、リスクという考え方が余り浸透していないように感じられ、なるべくコストをかけず、現状の仕組みをあまり変えないで乗り切ろうとする未然防止より、事後対応を中心に考える危機管理意識が、まだ強いように思います。経営者がどちらの考え方を強く持っているかで、当然、サイバーセキュリティの態勢整備にかける予算も人的リソースも変わってきます。

→経営層はサイバーセキュリティについてどの程度のリスクと考えているか? その認識とサイバーセキュリティ担当者の施策のレベルは合致しているか?

●攻撃を加えてくる側の攻撃レベルを把握しているか?

今回の攻撃者は、3年の間海上自衛官の勤務についており、結果として火器についての周辺知識についてや、攻撃に関しての基本的な考え方は習得していたと考えられ、また、昨今のネット社会においては、比較的簡単に殺傷能力の強い物を作るための情報と材料の入手が可能となっていることから、いったんそのような属性を持つ対象者が、ある種の攻撃意思を持つこととなったら、今回のような事象の潜在発生可能性は格段に高まります。同様に昨今サイバー関係の情報も後半に得られるようになり、技術的にも特殊な知識が必要とは思われないため、今次のよう世間の耳目を集めるような事象まではいかないとしても、小さいものは頻繁に発生する可能性は格段に高くなってきていると思いますので、注意する必要があると思います。

→サイバーセキュリティリスクは、日々格段に高まっていることを認識しているか? 外部情報リソースが提供している最新情報を収集しているか?

●整備した態勢の見直しは行われているか?

事件時の警護・警備体制には、リスクを低く見積もるバイアス(偏見)が影響したことは否めないという意見もあります。「今までこうだったから、今回もこれでいい」「今まで安全だった場所だから大丈夫だ」という発想ですが、攻撃があることを前提に態勢や心の準備をするのか、攻撃がないことを前提に態勢や心の準備をするのかで、発生時の対応スピードや反応は格段に変わってくると思います。上述の項目についてはいつも考慮に加えつつ、心の準備までできるとなかなかリスクが顕在化することはないのではと思います。

→見直し期限を定めて態勢の見直しを実施しているか? 関連する担当者の心の準備をリフレッシュするための仕組みはあるか?

などなど、このブログをきっかけに、サイバーセキュリティ態勢の点検を実施されてはと思いますし、何か問題がございましたら、弊社へご相談いただければと存じます。

https://www.yomiuri.co.jp/commentary/20220714-OYT8T50129/

https://mag.minkabu.jp/mag-sogo/25178547031/?membership=1

https://news.goo.ne.jp/article/dot/politics/dot-2022070800092.html

blog

Posted by Tomozo