サイバー攻撃の脅威から守るべきものは「コンピュータ」だけではない
2018年、サイバーセキュリティで取り組む課題の優先順位が大きく変わるでしょう。外部環境や内部事情の変化の影響を受けるからです。
コンピュータそのものに加え、各種の機器や装置も守る対象になります。組織内の情報を外部のクラウドに移動した場合、そちらについても保護が必要です。なによりも大事なのは、攻撃に備える防御だけでは限界があり、問題が起きた際に対処する体制が不可欠になることです。
コンピュータだけではなく装置も守る
従来の機器や装置をインターネットに接続し、例えば「スマート家電」などと呼ぶようになりました。家電にとどまらず、防犯機器、自動車、医療用機器、事務機、制御装置など、インターネットに接続される機器の数は年々増加しており、2020年には200億を超える様々な「コンピュータではないモノ」がつながる、IoT(モノのインターネット)の時代になると言われています。
例えば2017年には、アマゾン・ドット・コムやグーグルから「スマートスピーカー」が販売され、インターネットと人間のインターフェースが大きく変化することを予感させました。
インターネットにつながれば、サイバーセキュリティのリスクを背負うことになるのは自明ですから、従前より誰もが「いずれはIoT セキュリティが課題になるだろう」と予想していました。
このリスクが分かりやすい形で顕在化したのが、2016年の「Mirai」と呼ばれる不正プログラムに感染したIoT 機器による大規模なサイバー攻撃でした。これを受けて、独立行政法人の情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」の2017年版に、「IoT 機器の脅威」が初めてランクインしました。
2017年3月、政府・企業・宗教に関する機密情報を匿名公開するウェブサイトWikiLeaksは「Vault 7」というコード名で、米国中央情報局(CIA)の最重要ハッキング技術に関する文書群を公開しました。
これらの文書の真偽は定かではありませんが、スマートTV を盗聴器として利用する技術や、自動車を遠隔操作する技法の試みなどの詳細が記載されており、今後のサイバーセキュリティの方向性を示唆しているものと考えています。
組織の内側だけではなく外側についても対策が必要
我が国では、個人情報保護法(平成十五年法律第五十七号)が一つの契機となってサイバーセキュリティのリスク対応策導入が加速しました。2018年は15年目となります。
この法律が制定された15年前、スマートフォンはありませんでした。米アップルのiPhoneが登場したのは2007年になってからです。もちろん、FaceBook、YouTube、LINEといったソーシャルネットワークサービスもありません。
15年前、個人情報に代表される重要な情報は手元のPC、企業のローカルエリアネットワークなど、「内側」にありました。そのため、インターネットと「内側」の境界にファイアウォールなどの装置を置き、境界防御策を施したのです。「内側」を守るために、様々な技術が開発され、個人も組織もその技術を導入しました。
2017年5月、三菱UFJフィナンシャル・グループが、これまで「内側」にあった業務システムを、境界防御策の「外側」にあるクラウドサービスに移行する意向を表明しました。2018年は重要な情報が加速度的に「外側」へと移行する初年度となるでしょう。
ファイアウォールの「外側」には何があるのでしょう。「外側」のサイバーセキュリティとは一体何なのでしょう。2018年はここに焦点を当てたサービスやソリューション(解決策)が登場する最初の年になると考えられます。
サイバーセキュリティの課題は「防御」から「対処」へ
品質向上や環境保護といった組織の目標達成のために「マネジメントシステム」と呼ばれる仕組みがあることはよく知られています。サイバーセキュリティを含む組織のリスク対応にも、このマネジメントシステムの考え方が適用されています。
最初にやることは、組織の「現状の把握」です。その現状把握に基づき、リスクを「防ぐ」仕組みをつくり、防げなかったものを「見つける」仕組みをつくります。最後に、見つけたインシデントに「対処する」仕組みをつくれば、マネジメントシステム全体が機能します。
これまでのサイバーセキュリティは、「現状把握」「防御」「発見」「対処」の構成要素で比較すると、圧倒的に「防御」の話題が主役でした。外部からのサイバー攻撃や内部のサイバー犯罪に関し、いかに防ぐかを考え、時間とコストをかけてきました。
効果的な「防御」をするためには、攻撃者の目的を理解し、手法や道具の詳細を知り、侵入経路などの最初の接点を特定することが重要であることは、誰でも分かります。
ところが、信念、産業スパイ、テロリストから国家スポンサーまで、目的は多様化し、次々と新しい手法が登場し、複数手法が複合化され、さらに、過去に想定していない経路から侵入される事案を目の当たりにすると、「防御」以外の仕組みづくりに注力せざるをえなくなります。
2018年の重要課題は「防御」から「対処」に変わるでしょう。CSIRT(シーサート)と呼ばれるセキュリティ事案に「対処」するチームを設置する組織が急増しています。
急増度合いの目安として、国内のセキュリティ事案「対処」チームの連携を目指す「日本シーサート協議会」への加盟チーム数を見ると、2017年11月には261チームとなっています。同協議会は2007年に設立されており、100チームが加盟するまでに8年かかっていましたから、ここ2年ほどの急増ぶりが分かります。
とはいえ、東京証券取引所に上場している企業が3500社以上あり、第一部上場企業だけでも2000社を超えていることを考えると、「対処」の仕組みづくりはこれから本格的に始まるものと考えられます。
(本記事は『2018世界はこうなる The World in 2018 (日経BPムック)』に掲載された『サイバーセキュリティの変化:守り方が変わる、防御から対処へ』を編集し、転載したものです)
長谷部 泰幸(はせべやすゆき)氏
ソリトンシステムズ執行役員。1962年岐阜県生まれ。東京工業大学大学院修士課程修了。日本IBM、日本オラクル勤務を経て、ネットセキュリティ専門サービスの上場企業や、不正調査専門サービスの上場企業で取締役を歴任。NISC(現在の内閣サイバーセキュリティセンター)に設置された政府機関のログ管理検討会メンバーも務めた。現在はソリトンシステムズの執行役員として、サイバーセキュリティに関連するアナリティクス技術や人工知能の適用ソリューションの開発に従事すると同時に、民事事件、刑事事件への対応をITの側面で支援する不正調査専門サービスの事業責任者を務める。
英The Economistの別冊「The World in 2018」日本版の独占翻訳権を日経BP社が獲得、「2018 世界はこうなる」として発行。40カ国で毎年発行される「The World in」は信頼性のある世界予測として高い評価を得ている。朝鮮半島や中国などアジア情勢、テクノロジーがビジネスやファイナンスに与える影響、といった記事を収録。
Powered by リゾーム?