近年、サイバー攻撃はどのような変化を遂げているのでしょうか。また、攻撃の実態についても教えてください。

佐々木氏大きく4つの傾向があると思います。1つが「被害の大型化」、2つ目が「被害形態の多様化」、3つ目が「攻撃対象の多様化」、4つ目が「攻撃者の目的などの変化」です。

まず被害の大型化では、2018年に国内仮想通貨取引所を運営するコインチェックから約580億円相当の仮想通貨が不正に流出した事件、また2021年にはポリ・ネットワークからも660億円の仮想通貨が流失した事件がありました。ランサムウエアの身代金もどんどんと大きくなっており、数億から数十億の要求が一般化しつつあります。

2つ目の被害形態の多様化では、従来なら個人情報の漏洩が多かったものが、企業や組織の機密情報へと攻撃対象が変わり、ランサムウエアにおいても情報を搾取した上で暗号化し身代金を要求する「二重脅迫型」といった新たな手法が登場しています。これによりデータの機密性、完全性、可用性に対する脅威が同時に発生する状況となっています。

3つ目の攻撃対象の多様化は、従来的なPCへの攻撃に加え、IoT機器への攻撃が増加していることを指します。ネットワークに常時接続されるIoT機器は数が膨大でライフサイクルも長いため、被害の発生確率や影響範囲が大きく、より適切なセキュリティ対策が必要になります。

4つ目の攻撃者の目的などの変化ですが、サイバー攻撃の動機は長年、第一が金銭目的、第二がスパイ目的となっています。しかしその境界は曖昧で、国家支援型攻撃の場合、相手国の知的財産を狙うスパイ目的と金儲けを同時に狙う形態や、フェイクによる情報操作など、他国の政治や社会に混乱をもたらそうとする情報戦も増えています。

こうした4つの傾向を踏まえ、日本企業がサイバー攻撃から自らを守るためにはどのような対策や体制が必要なのでしょうか。

佐々木氏残念ながら、セキュリティ対策には「これ1つでOK」というものはありません。よく聞く言葉に「木桶理論」というものがあります。違った長さの木材で作った木桶に水を張ると、一番低い板のところから漏れてしまう。つまり、いくら強固な取り組みをしていても、1つでも弱い箇所があるとそこから破られてしまうことを意味します。これと同様、セキュリティ対策でも特定、防御、検知、対応、復旧といったように複数の対策を組み合わせる必要があります（図１）。

図1　情報セキュリティの対策フェーズ

NIST（米国立標準技術研究所）のサイバーセキュリティフレームワークは、組織がセキュリティリスク管理を改善するための基準、ガイドライン、ベスト・プラクティスで構成される。そのコアとなるのが「特定」「防御」「検知」「対応」「復旧」の5機能だ

より大きくは、物理的セキュリティに加え、「技術」「組織」「人」といった観点での論理的なセキュリティ対策が必要でしょう。特に近年、重要になっているのが「経営者としての積極関与」「人的組織の充実」「どこまで対策をやるべきかの組織的合意」の3つです。

まず、経営者としての積極関与ですが、トップの経営者・役員自らがしっかりセキュリティに関わらなければなりません。一昔前は係長クラスを責任者とした“係長セキュリティ”でしたが、それではセキュリティ対策が組織になかなか浸透しづらい。そこで私が座長を務めた経済産業省とIPA（独立行政法人 情報処理推進機構）の「サイバーセキュリティ経営ガイドライン」では、セキュリティマネジメントを経営に取り込み、“社長セキュリティ”すなわち、経営者や取締役がリーダーシップをとったセキュリティ対策の推進を行うべき、という提言をまとめました。

人的組織の充実という面では、システム的な対策に加えてCISO（Chief Information Security Officer／最高ITセキュリティ責任者）の任命やCSIRT（Computer Security Incident Response Team／コンピューターセキュリティインシデント対応チーム）の設置といった取り組みが重要になります。

さらに、セキュリティ対策をどこまで組織としてやるべきかの合意という面では、リスクアセスメントやリスクコミュニケーションといったリスクベースのアプローチが重要になってきます。ここで言うリスクアセスメントとは、企業や組織が持つPCやIoT、ネットワーク機器といった情報資産を漏れなく管理し、そこにどのようなリスクがあるかを特定、分析、評価するプロセスを指します。これは情報セキュリティリスクの対応策を決めるために欠かせない基本中の基本です。一方のリスクコミュニケーションは、リスクに関する情報を関係者と共有し、理解を深めるための手法です。リスクコミュニケーションを適切に行うことで、組織全体でのリスク認識の共有や効果的な対策の実施が可能となるため、こちらも積極的に行うことが重要です。

これらの対策は大企業だけではなく中堅・中小企業でも同じように必要です。規模が小さいからといって攻撃者は許してくれません。とはいえ「一人情シス」「兼任情シス」で手が回らない、社内にセキュリティ担当のリソースがないというケースが多いのが実態です。そこは経営者自身がコストと優先順位を勘案して、適切な手段を検討していく努力が求められます。親会社がある場合は、サプライチェーンの核になる子会社を適切に指導したり、契約段階でセキュリティ対策を盛り込むような形にしたりすることが好ましいのですが、どうしても手が及ばないケースや企業グループではない中小企業も多々あります。そういう場合はIPAが「サイバーセキュリティお助け隊サービス」というIT補助金を使った支援策を提供していますので、まずは自社のリスク状況をしっかり把握することから始めてみることが大切だと思います。

リモートワークやハイブリッドワークなどの新しい働き方が普及し、企業や組織が必要に応じて行うようになってきました。これにより従業員が利用するPCやスマートフォンが私物の場合、もしくは会社貸与であってもエンドポイントの管理が難しくなっています。その影響や対策についてはどのようにお考えですか。

佐々木氏対策としてはゼロトラストセキュリティの推進が必要です（図２）。環境的な変化はご指摘のように、オンプレミスからクラウドへのシフト、リモートワークの拡大、攻撃の巧妙化などを背景に、従来の境界防御だけでは防ぎきれない状況になってきました。

図2　環境の変化と防御モデル

クラウド環境の普及やリモートワークの拡大によって、既存の境界防御だけではセキュリティを担保できない時代となった。対策としては、ゼロトラストの考え方に基づいたネットワークセキュリティソリューションをSASEに加え、オンプレミス中心のエンドポイントセキュリティが重要になる

これに対してゼロトラストは、通信相手のPCやサーバーを全て信頼できないものと位置づけ、境界を越えた攻撃に対しても自分の安全を維持しようという技術です。2010年にフォレスター・リサーチ社が提唱した概念といわれています。

ゼロトラストにはいろいろな対策モデルがあります。1つは、組織が持つ全リソースにあらゆるネットワークからのアクセスがあると想定し、会社保有のサーバーやPCだけではなく、個人がリモートワークで使用する端末やスマートフォンも対象とするもの。実行するのは簡単ではありませんが、基本はそこが一番大事で、あらゆるエンドポイントを守るセキュリティが必要だと思います。

2つ目は、ネットワーク境界による静的なアクセスコントロールではなく、アクセスごとに動的なコントロールを行うもの。以前にアクセスしたから大丈夫、ファイアウオールがあるから大丈夫という観点ではなく、大事な通信をする際には、お互い動的に認証しましょうという対策です。

3つ目は、セキュリティ動作に関する情報を常に監視・測定するもの。要するに、何かおかしな挙動があれば早めにキャッチして対策できる仕組みです。大きくこの3つがゼロトラストにとって必要な対策だと思います。

ゼロトラストの実現には、情報資産にアクセスするエンドポイントの防御が欠かせません。そのエンドポイントセキュリティで最近注目されているのがEDR（Endpoint Detection and Response）です。EDRの機能としてはエンドポイントに侵入した脅威を検知し、SOC（Security Operation Center）にアラートを上げ、脅威インシデントの兆候を素早く把握し対応するという流れが一般的です。しかしSOCを自社で持てるのは大企業に限られることから、外部に委託するような場合も少なくありません。そこではリスクアセスメントによるリスクの可視化を行い、コストとリスク、使い勝手のバランスを見ながら境界防御とゼロトラストを組み合わせたり、検知の自動化などを検討したりしていくことが必要です。

新しい働き方と同様に、コロナ禍でSaaSをはじめとしたクラウドの利用が急速に広がりました。これについてはどのようなセキュリティ対策が求められるのでしょうか。

佐々木氏クラウドシフトはセキュリティの観点から見ると、メリットとデメリットが存在します。まずメリットは、事業者側がクラウド上のデータやバックアップについて、ある程度のセキュリティ対策を実施してくれること。一方デメリットとしては、利用者側の設定ミスや運用ミスで影響の大きいセキュリティ事故が多発すること。実際、こうした利用者側のミスに起因した事故は増えています。

現状の対策としては、専門家が行う設定支援や運用支援のツールを入れていくことが最良です。その1つとして注目されるのがSASE（Secure Access Service Edge）です。これはネットワーク機器とゼロトラストのネットワークセキュリティを1つのプラットフォームで提供するもので、セキュリティの強化、働き方改革に対応したネットワーク環境の実現、業務の生産性向上、運用一元化による管理負担の軽減といった様々なメリットがあります。オンプレミスでもクラウドでも提供されるツールなので、まずは自社に合ったSASEを検討することが大切です。

今年になって生成AIが急速に注目を集めるようになりました。生成AIは、サイバーセキュリティにどのように影響を与えるのでしょうか。

佐々木氏AIとセキュリティに言及する際には、まず4つの観点での関係性を明確にする必要があると思います。1つは「Attack using AI（AIを利用した攻撃）」、2つ目は「Attack by AI（AI自身による攻撃）」、3つ目は「Attack to AI（AIへの攻撃）」、最後が「Security Measure using AI（AIを利用したセキュリティ対策）」です（図３）。この4つの観点それぞれで、近年注目を浴びている生成AIがどのような影響を及ぼすようになったのか、お話しましょう。

図3　AIとセキュリティに関する4つの関係

セキュリティ対策ではAIの適用を高度化するとともに、AIとセキュリティの組み合わせにおいてどのような問題があるのかを知る必要がある。生成AIの登場によって今後は攻撃側と守備側に分かれてAI同士が戦う時代となってくる。このため4つの観点から研究を深化させ、新たな防御策を検討していく必要がある

最も影響が大きいのは、Attack using AIとAttack by AIです。Attack using AIは生成AIで誰でもプログラム出力ができるようになったため、フィッシングメールやフェイクニュースの作成が容易になり、著名人を利用した見分けのつかないディープフェイク動画も作れます。ChatGPTのような文書系の生成AIなら、脆弱性データベースなどのインテリジェンス情報を学習して攻撃行動を自動化する可能性もあります。人の行動やシステム内部の脆弱性を予測し、最適な標的型攻撃を実行する、あるいはチャットボットによる詐欺行為、指紋などの認証情報の偽造といったこともできるでしょう。

もう1つのAttack by AIでは、ChatGPTによってAI自体の汎用性が増加し、プログラムを自動生成する機能を持つため、AI機能付きのウイルスのように人間への攻撃リスクが大幅に増大します。

Attack to AIは、誰でも使える生成AIで被攻撃者候補が増える恐れがあるほか、生成AIを対象とした攻撃用ツールが増えると予想されます。

そしてSecurity Measure using AIですが、生成AIを使うことによってセキュリティ対策の適用対象と方法が増えていくと考えられます。プログラム作成機能によって防御するためのツールの効率的な生成が可能になる点も大きなメリットです。ただし守る側としては生成AIの登場で、先に挙げたような新たなリスクの発生を踏まえた対策を考えていかないと追いつかない状況になるでしょう。

こうしたことを踏まえ、現在、私は、AIをはじめとした様々なITリスクにどう対応すべきかを明確化するため、複数のリスクが対立する状況を考慮しながら、多くの対策案の最適な組み合わせを求めていくリスクコミュニケーションの手法を研究しています。今後は本研究を深化させた上で、研究結果を踏まえた政策提言や製品規格への反映などを実施していきたいと思います。