毎年「高度化した」「巧妙化した」と言われるサイバー攻撃。攻撃する側の組織化や犯罪としての深刻化も多く報じられるようになり、セキュリティ対策の必要性は高まり続けている。一方で、何が狙われ、どのような被害や損害が生じているのかを把握できていない企業や組織は多く、事件化した際の規模も拡大を続けている。今真っ先に行うべきことは何なのか、現状と今後の動静を踏まえたアドバイスを株式会社ラックの川口氏に伺った。
ビジネスにおけるIT利用の依存度が上がり、重要な機能や情報がITシステム上に集まっていることで、攻撃する側も狙いやすくなっています。標的型攻撃による情報漏えいは依然として多いですね。また、ランサムウェアのように金銭を要求するものや、国や企業の活動を妨害するものもあります。個人が対象だとネットバンキングの不正送金が挙げられるでしょう。攻撃を見つからないようにする手口は洗練されてきて、最近ではDNSの通信を使って非常に発見しづらいものが増えています。ラックでも2016年2月に注意喚起を行っています※1。サイバー攻撃によって事業の基盤や日々の生活を脅かされるリスクは高まっていますが、攻撃する側も、経済性(利益)を求めるプロや組織化(分業化)されたところから、興味本位や目立ちたくてやってしまう人、金銭や経済合理性に関係なく執拗に狙ってくるところまで、さまざまです。
セキュリティ対策をなかなかしない企業は多いんです。何故かと聞くと「投資対効果がわからない」「見返り(利益)が得られない」と言うんですね。かつては、それで被害が生じたら「自己責任だ」と片づけられてきましたが、社会的な影響力が非常に大きくなっている今、それでは困るわけです。2015年に問題となった日本年金機構の事件では、警察がサイバー犯罪の捜査を進めていた過程で、情報が持ち出されていたことがわかりました。サイバー攻撃を受けていることに気付くのが難しいのは確かですが、ログも何も残っておらず、どのような情報が漏えいし、どの程度被害があったのかわからないというケースは多々あります。そうした状況の中で、国が定める重要インフラ13分野※2では、国としてもきちんと監督していく方向に変わってきています。経済産業省が2015年に策定した「サイバーセキュリティ経営ガイドライン」※3では、経営者がもっと積極的に関わることを求めています。組織全体で体制づくりをして、対策していく必要があるということです。
そうですね。トップダウンでやるしかないところまで来ていると思います。2016年は伊勢志摩サミットがありましたが、その成果文書の中にサイバー攻撃に関するものがあるんです※4。サミットの文書としてこのようなものが出てくるのは珍しく、参加国がサイバーセキュリティを安全保障の1つとして前向きに捉えるようになってきたと言えるでしょう。2020年の東京オリンピックを控え、日本としてもしっかりと対策を講じることを意識していると思います。日本は先進国の中で物理的な面でも比較的安全な国なので、危ない危ないと言われつつも現状のまま来ているところはあります。また、何かセンセーショナルな事件が起こると、すぐ極端な方向に振れてしまう傾向も見られます。オリンピックを1つの転換点として、セキュリティ対策の意義や重要性をどのように理解してもらい、進めていくかは関係者が気にしているポイントです。
最近問題だなと思っているのは製造業ですね。経営層はITのことだけでなく、製造現場で何が起きているか、オペレーションテクノロジー(OT)の中身がわかっていないところがあります。ITとOTの連携を促し、見える化する手段の1つとしてIoT(Internet of Things、モノのインターネット)が注目されていますが、これはけっこう気になるキーワードです。
少子高齢化、労働力の確保といった課題がある中で、企業、自治体、国として今後ITの活用を推進していくことは避けて通れませんから、サイバー攻撃に対する意識をもっと醸成していくことは重要な課題です。小中学生などこれから社会に参加していく世代や地域コミュニティからの浸透、そして自治体や企業のトップクラスの人たちへのアプローチの両面で取り組みが欠かせないでしょう。ラックでもリテラシー向上のためのセミナーなどを行っていますが、国や自治体としても仕組み作りは必要です。
これまで何らか被害にあっている企業は、そんなに難しい理由ではなく、すでにある手法や技術でやられています。つまり、今ある製品やソリューションでも十分に守れるところは多いということです。
もっとも、守る側として必要なピースがすべて揃っていることはあまりなくて、どこかに抜けている部分はあります。多くの場合攻撃はそこを突いてくるので、自社の中で何が、どこに、どの程度適用されているかを把握することが大切です。それがわからなければ効果は上がりません。新しいテクノロジーもいろいろ登場していて、過去にはアノマリー検知やファジー検知といったものがありました。最近だと機械学習が注目されています。ただ、こうした機能は得られた結果に対して「どうしてそうなったのか」という根拠をユーザー側で把握、説明するのが難しいので、根拠にこだわる真面目な人にはかえって敬遠されてしまいがちです。せっかく素敵な機能があっても使わないのでは意味がありませんが、効果とコストのバランスやトレードオフでもあるわけで、それを納得できるかどうかがポイントになります。企業の対策としてトータルな視点で見たときに、お金と時間をかけるべきところはどこなのか? という話でもあります。日本人の真面目すぎる気質が無駄な運用コストを生んでいるかもしれないことや、せっかく良い機能があっても活用しきれていないところがあることを自覚するのも、大切だと思います。
何も記録がないほうが都合が良いという経営者もいるかもしれませんが、悪いことをしようとしている人やしている人を見張るため、また悪いことをしていないという潔白を証明して組織を守るための方策として、ログを取ることには大きな意義があります。いくらログがあっても見なければ意味がない、という真面目な方もたくさんいます。もちろん見るのが一番良いですが、すべてのログをリアルタイムに追いかけるのは困難です。何かあった時にすぐ調べられるか、何もわからないのか。この違いは大きいですし、今のご時世に何もしていませんというのは許されないところもあります。
今はどのPCにもウイルス対策ソフトが入っています。ベンダー各社がずっと対応し続けて、宣伝活動もして、これだけの普及率を実現できたことは非常に重要と思います。せっかく入っているものをより活かす上でポイントになるのがフルスキャンです。PCの動作が重くなるという理由で意外と行われていませんが、これはユーザーが何と言おうとも必ず行ってほしいことの1つです。いわゆるリアルタイムスキャンは、軽く、早くするために機能が抑えられているので、見つからないものも多くなります。フルスキャンは、リアルタイムに検知できず、眠っているウイルスなどを見つけるのに役立ちます。毎日ではなくても、1週間に1度くらいは必ずフルスキャンすることで安心を高められます。すでにあるものを使うので、新たな投資もゼロで済みます。
自分の会社にはどのような情報や資産があり、何を守ることが重要なのか。そして、それがビジネスに与える影響を分析している企業は少ないです。ここをしっかり整理、定義すれば優先順位をつけて適切に取り組めるようになります。そのほうが経営層の理解も得やすいでしょう。データのバックアップをはじめ、基本的な対策の実施状況の確認や見直しもお勧めします。
事故が起きたときにどのようなアクションをとるのか?外部の関係者に対してどのようなコミュニケーションを行うか? これは非常に重要です。転ばないようにすることは大事ですが、転び方に失敗すれば被害や損失は大きくなります。IT担当者が技術的な視点で対策をしているだけでは、結果的に会社を守れないということでもあります。技術的には大したことはなくても、経営的には大きな効果のある対策もあるので、「会社を守る」という観点で考えてほしいですね。重要なのは、IT担当者に任せきりではなく、経営者が決めるということです。そこをきちんと伝えて理解してもらうようにしていく取り組みが、今最も求められています。
取材・文 田中一/撮影 三宅英正