ITpro Special
週間WEEKLY ITpro Special ITpro

身近に迫るサイバーテロの危険をどう防ぐか

マイナンバー制度の開始やIoT(モノのインターネット)の実用化など企業経営とITの結び付きは一段と深まっている。その一方で、サイバー攻撃による被害は一向に減る気配を見せない。今後、どのようなセキュリティ対策を講じなければならないのか。基調講演と特別講演ではサイバーセキュリティの第一人者がそれぞれの立場で最新動向を解説し、IT企業各社はセキュリティ対策に役立つソリューションを紹介した。このほか、日経NETWORKの副編集長、勝村幸博がサイバー攻撃の様々な手口を紹介し、それに対する対抗術などを提案した。

基調講演内閣サイバーセキュリティセンター

わが国にとってサイバー攻撃は最大のリスクに
官民の連携強化に向けた取り組みを積極的に推進

谷脇 康彦 氏
内閣サイバーセキュリティセンター
副センター長 内閣審議官
谷脇 康彦 氏

 「セキュリティリスクは深刻化し、グローバル化しています。サイバー攻撃は日本や米国などでは最大のリスクといわれています」。内閣サイバーセキュリティセンター(NISC)の谷脇康彦氏はこう話す。

 NISCは府省庁の壁を越えて政府全体のサイバー攻撃の動向を24時間体制で監視するとともに、サイバー攻撃などの分析、国内外のセキュリティ関連情報の収集、国際連携などを図る。政府のサイバーセキュリティ政策の基本方針であるサイバーセキュリティ戦略では、情報通信、金融、航空、鉄道、電力、ガス、医療などの13分野を重要インフラとして位置づける。その一環として脅威情報の共有や、実践的な演習を行っている。「世界に先駆けたリアル・サイバー融合社会の実現にIoTは欠かせず、サイバーセキュリティの重要性はさらに高くなります。官民一体の対策を強化していきます」と谷脇氏は話す。

特別講演S&J

CSIRTの設置だけではセキュリティ対策は不十分
人材育成とともに部門間の連携を担うCISOが必要

三輪 信雄 氏
S&J株式会社
代表取締役社長
三輪 信雄 氏

 CSIRT(Computer Security Incident Response Team)を置く企業は増加しているが、必ずしも効果を上げていない。「最大の理由は人材です」とS&Jの三輪信雄氏は話す。CSIRTを軌道に乗せるには、ログ分析できる技術者やシステム部門の管理者の人材育成とともに、セキュリティ対策の計画を立案でき経営者と技術者とコミュニケーションを図れるCISO(Chief Information Security Officer)が欠かせない。三輪氏は「日本ではCISOはIT部門で基幹システムの開発経験が長く、業務や文化を理解し、経営者や各部門の責任者と良好な関係を築いている人材が適任です」と話す。

 セキュリティ対策はCISOを設置すれば解決するものではない。マイナンバーのセキュリティ対策でも、書類などの物理的な管理、取扱規則の制定などが必須で、IT部門、人事部門、総務部門の連携が重要だ。「カギを握るのはトップのリーダーシップです」。三輪氏はこうまとめた。

特別講演横浜国立大学

IoT時代を迎え組み込み機器の安全神話が崩壊
既に感染は広範囲に及び、それを前提とした対策を

吉岡 克成 氏
横浜国立大学
大学院環境情報研究院/先端科学高等研究院
吉岡 克成 氏

 「組み込み機器はマルウエアに強いといわれてきましたが、汎用OSとIPネットワークの普及でその安全神話は崩壊しました」。横浜国立大学の吉岡克成氏は警鐘を鳴らす。

 同大学はサイバー攻撃の手口を調査・研究するため、わざとセキュリティ設定の甘いサーバーやネットワーク機器を設置して攻撃者やワームなどをおびき寄せる「ハニーポット」を運営する。それを狙った攻撃は2015年4~7月だけでも15万IPアドレスから行われ、感染が疑われる機器は361種類に及ぶ。その多くはサイバー攻撃の踏み台にされている。

 吉岡氏はこの問題の背景に通信プロトコルTelnetを挙げる。1983年規定の通信規約で、セキュリティ上の問題から現在はインターネット上での使用は推奨されないが、実際には、数多くのデバイスでTelnetによるリモートログインが可能な状況となっている。「組み込み機器のセキュリティ対策が急務です」(吉岡氏)。

特別講演ラック

FinTechやIoTの実用化で変わるセキュリティ対策
金融業界並みの厳しいIT統制が全ての企業に不可欠

西本 逸郎 氏
株式会社ラック
取締役 最高技術責任者
西本 逸郎 氏

 「FinTechやIoTが現実味を帯び、ありとあらゆるものがつながると、金融業界並みの厳しいIT統制が様々なところで求められるようになります」。こう話すのはラックの西本逸郎氏だ。

 例えば、POSや制御システムに対するサイバー攻撃はそれを象徴する。今後はこのようなシステムを停止させ、それを取引材料にして金銭を得るような手口も懸念される。

 セキュリティ対策に影響を及ぼす環境変化はそれだけではない。TPP(環太平洋経済連携協定)などによる新しい経済圏が成立すると、様々な取引情報や決済情報がリアルタイムに行き交う。サイバー攻撃がグローバル化しており、セキュリティ規格などが必要になる可能性もある。

 また、西本氏は地方で専門家が不足していることも危惧する。「セキュリティの分野でも、地域ごとに需要を把握し、産学連携を元に人材供給と育成を図る地産地消が必要になります」と提言した。

特別講演立命館大学

業務改善でセキュリティリスクは大きく軽減
業務をITに合わせ見直し効率化する姿勢が重要

上原 哲太郎 氏
立命館大学
情報理工学部
情報システム学科
教授
上原 哲太郎 氏

 サイバー攻撃による被害を防ぐため、セキュリティの確保に対する経営陣の要求は年々高くなっている。一方で予算や人員はさほど増えていないのが情報システム部門にとって最大の悩みだ。上原氏は「無理なものは無理で、できなくて当然です。それよりも、企業経営にITが正しく組み込まれていないことを問題視すべきです」。立命館大学の上原哲太郎氏はこう指摘する。

 ITの本質は業務におけるデータフローの最適化だ。それを実行しないため、情報管理ができず、リスクポイントが増え、サイバー攻撃の被害を受けやすくなっている。「まずは業務をITに合わせ見直し効率化することが大切です。そうすればリスクの所在を顕在化させ、効率的な防御につながっていきます。システム化による業務効率化とセキュリティ対策は決して相反しません。業務改善はセキュリティリスクを軽減するという意識を持つ必要があります」と上原氏はアドバイスした。