• BPnet
  • ビジネス
  • IT
  • テクノロジー
  • 医療
  • 建設・不動産
  • TRENDY
  • WOMAN
  • ショッピング
  • 転職
  • ナショジオ
  • 日経電子版
日経ビジネスONLINE Special 週刊日経ビジネスオンライン SPECIAL日経ビジネスオンライン

日本企業に迫り来るサイバー攻撃の数々

■ サイバーディフェンス研究所
ますます多様化、巧妙化する攻撃手法、
防御能力は相対的に低下している

サイバーディフェンス研究所
専務理事/上級分析官
名和 利男氏

 ITが業務の隅々に浸透し、最近はクラウドを業務利用する企業も増えている。多様なデバイスがネットワークにつながり始め、IoT(モノのインターネット)の世界が本格的な広がりを見せるなど、ビジネスを取り巻く環境は大きく変わりつつある。

 こうした中、サイバー空間のリスクも高まり、政府は様々な形で注意を喚起している。代表的なものが、経済産業省及びIPA(独立行政法人情報処理推進機構)が2015年12月に公開した「サイバーセキュリティ経営ガイドライン」である。この策定に参画したサイバーディフェンス研究所の名和利男氏は次のように語る。

 「ガイドラインは経営者向けに書かれたものですが、残念ながら、経営者にはあまり読まれていないようです。担当者が通読した上で、ポイントを整理して数枚の資料にまとめ、それを経営者に報告するという形が一般的ではないでしょうか」

 これでは、担当者の意見が経営判断に反映され、セキュリティー対策が部分最適化してしまう懸念がある。ガイドラインだけの問題ではない。情報漏えいが事業継続性を揺るがす可能性さえある時代、経営者はセキュリティーを経営課題の1つと認識すべきだろう。

「タダで利用しているのなら、みなさんは“商品”」

 今やセキュリティーリスクはどこにでもある。一例として、名和氏は多くのユーザーが普段利用しているブラウザの問題を挙げた。

 「人気のあるブラウザの1つから悪意のある拡張機能が見つかり、それを使うと、ユーザーが認識しない状態で機微情報が流出してしまう可能性があることがわかりました。いつの間にか、ブラウザに保存されたID、パスワードなどが外部に送信されてしまうのです」

 ブラウザだけでなく、メールなど様々なアプリケーションがタダで手に入る時代だ。それをビジネスで利用している企業も多い。名和氏は「みなさんがお金を払って利用すれば、サービス事業者にとっては“お客様”です。しかしタダで利用しているのであれば、サービス事業者にとってみなさんは“商品”になります」と指摘する。ユーザーから集めた膨大なデータが様々な形でマネタイズされていることに対して、もっと注意を払う必要があると言えそうだ。

調達ルートなどを含めて検討する必要がある

 最近はIoTのリスクも高まっている。IoT機器が大量に乗っ取られた場合には、以前よりも破壊力を増した「DDoS攻撃」(大量のデータを送りつけ、サーバーをダウンさせる攻撃)が実行される危険もある。「バックドア」(ソフトウエアやシステムに仕込まれた侵入可能な「裏口」のこと)が埋め込まれたデバイス、ユーザーが知らないうちに電話をかけるスマートフォンなどが発見されている。悪意の仕掛けが埋め込まれたデバイスが多く見つかるようになったのは、2013年頃からだという。不気味な動きである。

 「デバイスなどの調達に際しては、価格だけを見て購入するのではなく、誰がどこで製造した製品か、その調達ルートなどを含めて検討する必要があるでしょう。特に公共機関、国民の生命、身体、財産に大きな影響を与えるサービスを提供している事業者には、強く訴えたいと思います」(名和氏)

 名和氏は最後に、「彼を知り己を知れば、百戦して危うからず」という孫氏の言葉を引用した。攻撃者や自社の防御態勢について、正しく認識している企業はどの程度あるだろうか。現実には「彼」の攻撃力はアップしており、相対的に「己」の防御力が低下しているケースが多いのではないか。名和氏の危機感は大きい。



■ 日本セキュリティ監査協会
企業に必要な情報セキュリティーマネージメント、
監査によってその有効性を日頃から確認しておくことが必要

 各種セキュリティー機関の報告やメディアの報道で明らかなように、今、サイバー攻撃が世界的に大発生している。日本セキュリティ監査協会の永宮直史氏は、「私なりの定義にはなりますが、サイバーセキュリティーとは『サイバー空間を通じた攻撃から組織や社会の安全性を保つこと』です」と述べた上で、企業の経営者には「顧客」「組織」「社員」の3つを守ることが求められていると指摘する。

悪質なサイバー攻撃が増えている4つの要因

日本セキュリティ監査協会
事務局長
公認情報セキュリティ主席監査人
永宮 直史氏

 サイバー攻撃の手法は多様である。代表的なものだけでも、システム破壊や情報の盗みだしを目的とした標的型攻撃、大量のデータを送りつけてサーバーをダウンさせるDDoS攻撃、SNSを使った風評操作や個人攻撃など。このような悪質な攻撃が増加している要因として、永宮氏は「サイバー社会の匿名性と拡散性」「ネットワークの拡大と社会格差の拡大」「IoT(モノのインターネット)などの技術の進化」「アンダーグラウンドのサイバー社会の存在」の4点を挙げる。

 つまり、サイバー空間で行われた犯行が気付かれにくい上に、安価な攻撃ツールが売買されているので、インターネットの拡大にともなって社会に不満を持つ人が世界中でどんどん攻撃に参加しきていると言うのだ。 また、様々な機器がインターネットにつながれるようになったことによって、IoTマルウエアの危険性も高まっているという。

 また、質も変わりつつある。確証が上がっているわけではないが、一部の国家がサイバー攻撃を実施していることは公然の秘密となっているし、国内外の犯罪組織が連携して全国のATMから総額18億円を不正に引き出す事件も2016年6月に明るみに出た。

サイバー攻撃を完全に防ぐのは無理、説明責任を果たすには監査が重要

 では、このようにやっかいなサイバー攻撃から経営を守るにはどうすればよいか。

 まず求められるのは、サイバー空間に対する徹底した監視である。ただ、侵入の手口が様々であり、標的に合わせた“オーダーメイド型”も珍しくないことを考えると、侵入は100%防ぐことはできない。そこで重要になるのが、侵入されても重要情報の流出やシステム停止には至らない「インシデント」のレベルで留めるという考え方だ。そのためには、検査によって現状を正確に把握し、リスクベースの対応を事前に策定しておかなければならない。

 また、サイバー攻撃から企業を救い出すには、説明責任を果たすための準備として、情報セキュリティーマネージメントを適切に実施し、監査によってそのマネージメントの有効性を確認しておくことが欠かせない。また、「監査が重要であるのは、万が一の場合に、『被害発見の端緒』や『採っていた対策の有効性』などを問う質問に的確に答えられるようにするためでもあるのです」と永宮氏は解説する。 監査の効果を高めるには、専門性が高くて独立した監査人、適切な計画に基づく実施、証拠力のある資料に基づく評価などが求められると説明する。

 さらに、監査の専門家を活用することも大切だ。サイバー攻撃が経営とITの両方に関係していることを考えると、もっとも適するのはITの知識と監査の知識を併せ持つ「公認情報セキュリティ監査人」。永宮氏は「そういう人に依頼して、ぜひきっちりと説明責任を果たしていただきたい」と強調する。



■ JASPAR
高度化する「つながるクルマ」に
進化した情報セキュリティー対策は必須

 自動車メーカーの情報セキュリティー対策というと、以前はもっぱら社内システムをいかに守るかというテーマが語られてきた。しかし、いまやクルマ自体のセキュリティーが問われる時代である。いうまでもなく、背景にあるのはクルマの電子化、ネットワーク化といった潮流だ。ネットワーク接続による新しい価値創造に向け、各メーカーはしのぎを削っている。

クルマの電子化・ネットワーク化で重要な役割を担うJASPAR

JASPAR
運営委員長/情報セキュリティ技術WG主査
橋本 寛氏
(本田技術研究所 四輪R&Dセンター 統合制御開発室 第4ブロック 主任研究員)

 2004年9月、自動車メーカーを中心に設立されたJASPARは、クルマの電子化・ネットワーク化という動きの中で重要な役割を担う。JASPARの運営委員長を務める橋本寛氏はこう説明する。

 「電子制御システムが高度化・複雑化したことで、ソフトウエア開発の工数は増大しました。そこで、業界で標準化・共通利用によりソフトウエア開発の効率化を図りつつ、ソフトウエアやネットワークの高信頼性を確保する目的でJASPARは設立されました」

 JASPARには幅広い産業分野から160社を超える企業が参加する。自動車メーカー12社をはじめ、電装品メーカーやソフトウエアメーカー、半導体・電子部品メーカー、通信会社などが名を連ねる。

 世界的に「つながるクルマ」の研究開発は盛んになっている。完全自動走行の実現は「2020年代後半以降」と見込まれるが、前倒しされるかもしれない。つながるクルマが急速に進化する中、JASPARを含め、日米欧の様々な団体が情報共有や標準化などの取り組みに力を入れているのが現状だ。

多層で防御し、人の安全・安心を守る

 情報セキュリティーに穴があれば、クルマの走行、さらには人の安全・安心にも影響を与えかねない。この問題がクローズアップされたのが2015年だったと橋本氏は振り返る。

 「ハッカーのイベントで起きたことですが、米国メーカーのクルマが低速走行時に遠隔操作によってハッキングされました。私たちは『遠隔からのハッキングのような事態が起こるにしても、かなり先のことだろう』と考えていたので、このニュースを聞いたときは驚きました。これを契機に、情報セキュリティー対策は待ったなしの課題になりました」

 その後も、ハッカーやセキュリティー会社などによって、いくつかの車種でハッキング事例が報告されている。こうした状況に対応すべく、日本においては日本自動車工業会と自動車技術会、JASPARが役割分担しつつ、セキュリティー対策を含めた標準化に取り組んでいる。

 JASPARには「情報セキュリティ推進ワーキンググループ」と「情報セキュリティ技術ワーキンググループ」が設置され、対策や評価技術の設計要件を策定する活動などを推進中。クルマの多層防御アーキテクチャーやプライバシー保護などに関する検討が行われているという。つながるクルマがさらに高度化するためには、世界の自動車業界全体でセキュリティー対策をいっそう進化させていく必要がある。



■ JPCERTコーディネーションセンター
社内外の情報共有や調整を担当するCSIRTを整え、
インシデント対応体制の構築をすべき

 「2015年度は、私たちが受けたインシデントの報告件数は1万5248件ありました」 コンピューターセキュリティーインシデントへの対応や海外諸機関との連携に携わるJPCERTコーディネーションセンターの真鍋敬士氏は、国内のサイバー攻撃の報告から話を始めた。報告されなかったものを含めれば、実数はその数倍以上になることは確実だ。

「インシデントを自組織で発見できたケースは31%」

JPCERTコーディネーションセンター
理事
最高技術責任者
真鍋 敬士氏

 主な手口には、マルウエアを添付した攻撃メール、ランサムウエア(データを暗号化して“人質”に取り、解除と引き換えに“身代金”を要求する)、企業などが公開しているサーバーを使って攻撃を“増幅”させるリフレクション型のDDoS攻撃(大量のデータを送りつけてサーバーをダウンさせる攻撃)などがある。2016年秋には、ネットカメラやルーターなどのIoT機器を踏み台としたボットネットによる大規模DDoS攻撃が発生して話題になったが、これは海外に限った問題ではない。

 しかも、DDoS攻撃を別にすれば、サイバー攻撃を受けていることを企業・団体が自ら発見できる可能性は低い。「あるセキュリティー製品ベンダーが海外で行った調査では、インシデントを自組織で発見できたケースは31%しかありませんでした」と真鍋氏は言う。侵入から発見までの期間は長く、中央値で205日と半年以上、最大値では8年以上にあたる2982日だったという。

 また、インシデントへの対応の仕方は迷うことも少なくない。「初動対応」→「影響範囲の把握」→「収束」という定石通りに進めるとしても、「役員への一報」「警察への相談」「所管官庁への報告」「顧客へのお詫び」などをどの時点で行うかを決めるのは難しい。さらに、「業務システムを止められない」「社内で意見がまとまらない」といった理由で対応が遅れてしまうことも十分に考えられる。

セキュリティーを経営課題と認識し、組織内CSIRTの整備を

 では、このようなサイバー脅威にさらされている企業は何をすればよいのか。

 そのための指針として示されたのが、経済産業省と独立行政法人情報処理推進機構が2015年12月にまとめた「サイバーセキュリティ経営ガイドライン」である。真鍋氏は「このガイドラインには、サイバーセキュリティーが経営課題であると明記されています」と紹介した上で、経営者が認識すべき3原則として「経営者のリーダーシップが重要」「自社以外(ビジネスパートナーなど)にも配慮」「平時からのコミュニケーションと情報共有」を挙げる。

 また、このような取り組みを円滑に進めるには、組織内の連携と外部組織との調整を担う組織内CSIRT(Computer Security Incident Response Team、シーサート)を整備する必要もある。国内には日本シーサート協議会(NCA)、海外にはアジア太平洋地域のCSIRTの集まりであるAPCERT(エーピーサート)や世界各国のCSIRTが集まるFIRST(ファースト)などのコミュニティもある。コミュニティを活用することで、組織内だけではなく社会全体のセキュリティーを高めていくことを考えていただきたい。

 CSIRTの日常の活動に役立つデータとしては、国内外の関係機関が提供している「インディケータ」がある。インディケータとは、攻撃または攻撃の準備活動を選り分けるための判断材料であり、具体的には攻撃に関係する通信先、危険なファイルのハッシュ値、侵入の経路や手口などの最新情報が含まれる。

 「長く継続できる『身の丈に合った』取り組みを目指し、外部のセキュリティーサービスを上手に活用したいものです」と真鍋氏は言う。「セキュリティー確保のために“ITを使わない”という選択肢もありえるが、IT活用を決してあきらめないでほしい」と指摘する