登壇者プロフィール
横浜国立大学大学院環境情報研究院/先端科学高等研究院 准教授
吉岡 克成 氏
横浜国立大学大学院環境情報研究院准教授。マルウェア解析やネットワーク攻撃観測・検知等のネットワークセキュリティの研究、国プロに多く参画。総務省 サイバーセキュリティタスクフォース委員など有識者委員多数。2009年文部科学 大臣表彰・科学技術賞(研究部門)、2016年産学官連携功労者表彰総務大臣賞、2017年情報セキュリティ文化賞等受賞。
株式会社日立ソリューションズ
セキュリティマーケティング推進部
部長/Security CoE センタ長 セキュリティエバンジェリスト
早稲田大学グローバルエデュケーションセンター非常勤講師
扇 健一 氏
特定非営利活動法人 日本ネットワークセキュリティ協会などのセキュリティ関連団体において社会貢献活動も行う。20年以上にわたり開発から導入までセキュリティ関連業務に携わっており、セキュリティソリューション全般の拡販業務やソリューション企画に従事し、現在に至る。ダイワボウ情報システム株式会社 PC-Webzineにてコラム記事連載中。
サイバーレジリエンスとはなにか?
横浜国立大学大学院環境情報研究院/先端科学高等研究院 吉岡 克成氏(以下、吉岡):
昨今サイバー攻撃は増加、多様化していて、つい先日も日本政府等に向けたサイバー攻撃が行われたという報道も出ています。また、攻撃が高度化しているとも言われています。以前からこういった攻撃が組織に入り込むのを未然に防ぐ対策はとられているのですが、もはやすべての攻撃を防ぐことは難しくなっているんですね。そのため、侵入されることがあるという前提で事業を考えていかないといけません。
組織に侵入された際はいかに早く気づいて対処するのか、被害が出た際はいかに早く回復し、問題点を発見・改善するのかという頑強性が重要です。その頑強性のことをレジリエンスと言うのです。サイバーの世界の打たれ強さ、やられたあとの強さや対応力という意味を持つ言葉として、サイバーレジリエンスが注目されています。
株式会社日立ソリューションズ 扇 健一 氏(以下、 扇):
サイバーレジリエンスとは、サイバーセキュリティのリスクを把握・管理しておいて、サイバー攻撃を受けた際や侵入された場合に、ダメージを小さくすることですね。被害を局所化し、縮退運転により事業を継続し、短時間で復旧できるようにする。そうすることによって、事業継続性が高まるわけです。
例えば、ランサムウェアに侵入され、社内に被害が拡散すると、PCやサーバーが停止し事業継続が難しくなります。ランサムウェアはデータを暗号化するマルウェアで、知らないうちに拡大してどんどんシステムを利用できなくしていきます。
2021年、2022年も被害は起きていて、2か月間通常業務が停止した病院の例もありました。この例では、電子カルテのシステムが全部暗号化されてしまい、手書きで対応せざるを得なくなってしまったのです。しばらく患者様の受け入れができない状況で、システムをすべて作り直すのに2か月かかりました。まさにサイバーレジリエンスを考えなければならない事案だったと思います。
事前に対策しておけば、ダメージを局所化して縮退運転をしつつ復旧することで、事業の停止時間を縮められますよね。ダメージが小さければ、もちろん回復時間は縮まるわけです。抵抗力と回復力を高めることで、レジリエンスに取り組んでいくといったところです。
先ほど吉岡先生がお話されたように、世界的にサイバー攻撃が激しくなっています。戦争や新型コロナウイルスの発生も関係していると思います。大きな事案が世の中で起きると、それに便乗してサイバー攻撃も一気に増えるわけです。
例えばランサムウェアの攻撃は、2021年度は前年度に対して何倍にも膨れ上がっています。サイバー攻撃激化の影響を受け、G7のデジタル大臣会合が2022年5月に開かれ、サイバーレジリエンスに関する共同宣言が出されました。G7の国々がつながっているインターネットのインフラを守っていこう、という宣言です。
日本ではまだサイバーレジリエンスはあまり知られていませんが、アメリカではサイバーレジリエンスという言葉が注目されています。メキシコ湾からニューヨークまでつながっているコロニアル・パイプラインが、ランサムウェアによって5日間の操業停止に陥ったのも一要因です。
吉岡:
誰がどういう目的でサイバー攻撃をしているのかについて、いろいろと調査が行われているものの、なかなか確定的なことは言えません。ただ明らかに言えるのは、何らかの経済的対価がもっとも大きなモチベーションになっている、ということです。昔のサイバー攻撃は、どちらかというと技術の誇示が目的とされていましたが、近年の攻撃は明らかに対価を目的としています。
なぜサイバーレジリエンスが必要なのか?
吉岡:
ランサムウェアは大きな問題となっていますし、ほかにも非常に大規模なサービス妨害攻撃が行われています。そもそもサイバー攻撃自体が、量的にも質的にも増えてきているという状況だと思います。
加えて、守る側の状況が変化しているという面もあります。例えばDXによっていろいろな業務が電子化していますし、コロナ禍の影響でリモートワークも普及しました。もともと会社で行っていた仕事を自宅やコワーキングスペースで行うなど、働き方が非常に多様化しています。そうすると、今までは社外から来る攻撃を防げばよかったものが、境界があいまいになったわけです。結果として、守ることが難しくなってきたのですね。
守る側にとっては難しく、攻める側はどんどん攻撃してくる状況で、すべての攻撃を未然に防ぐのは困難です。そうすると、やられたあとにどれだけ被害を減らすのか、どうやって事業を継続していくのかという観点が必要なのだろうと思います。
扇:
私も同じような感覚です。世の中の戦争や災害といった出来事を受けてレジリエンスを強化しなければならないという風潮になりつつありますが、その出来事の1つが新型コロナウイルスですよね。
第1波・第2波・第3波ぐらいまでは、コロナウイルスをゼロになるぐらいまで抑え込んでいましたよね。しかし最近は感染力がどんどん高まって、量が増えていることで抑え込めなくなってきています。今サイバー攻撃も、同じ状況にあるといえます。抑え込めなくなってしまい、どうしても企業の中に攻撃が入ってきてしまいます。
あとは、クラウドとIoTを中心としたDXも進んでいますし、テレワークが盛んになりましたよね。社外に業務システムや情報資産が出てしまうため、攻撃対象の領域がどんどん広がってしまったのです。攻撃の数が増えたうえに、攻撃を受けやすい状態になってしまうということで、企業はどう考えても不利です。だから、攻撃が入ってくることを前提に事業継続を考えておかなければ、太刀打ちできない状況になってきているかと思います。
吉岡:
大企業も狙われますし、比較的中小の企業であっても攻撃の対象になっていると思います。攻撃の仕方が多様化して、ばらまきのような攻撃も増えてきていますので、いろいろなところに攻撃が届きます。または、中小の企業を狙った攻撃でもそれが最終目的ではなく、ある種の踏み台として利用し、その企業と取引がある大きな企業や重要なシステムを攻撃する場合もあるのです。「小さいから大丈夫」とは言えない状況かと思います。
個人でも、重要な方とのお付き合いがあれば狙われる可能性があります。その個人に成りすまし、さらに攻撃を進めるわけです。私自身も攻撃を受けることがあります。扇さんもたくさん受けているのではないかと思いますが。
扇:
いや、私は攻撃が入ってこないように、家では危険性のあることはあまりしません。インターネット家電も、怖いので外にはつながない。インターネットやIoTの攻撃を研究されている吉岡先生から、どれだけ攻撃を受けているのかをしょっちゅう聞いているので。
吉岡:
結構身近な家庭の機器も攻撃対象になっていて、特にインターネットに接続するためのルーターや見守りカメラなどがコンピューターウイルスに侵入されて、感染してしまっていることも研究で分かってきています。
サイバーレジリエンスの被害の事例を解説
吉岡:
今、サイバー攻撃の対象になっているものの1つに、IoT機器があります。一見インターネットにつながっているのか分からないものがじつは繋がっていて、情報がやり取りされることがあるのです。そういった機器がサイバー攻撃の対象にもなっていて、しかも見過ごされやすいという特徴もあります。
私は大学のセキュリティ責任者をしておりまして、いろいろなところで講演をさせていただいて「ここは危ない、ここは危ない」とえらそうに言っているのですが、自分の組織はどうなんだろうと思って改めて調べてみました。すると、まさに大量のIoT機器が、そのままでは侵入されてしまう状態で発見されたという事例が実際にあって、冷や汗をかきました。幸いそのときには、被害が生じる前に対応できてよかったのですが、一歩間違えれば学内でマルウェア大感染が起きてもおかしくない状況でもありました。
組織には比較的監視されている中央のシステムやネットワークだけでなく、サテライト的なところもあります。例えば、支社や支店、海外のブランチがあり、そういったところには管理が行き届いていないこともあります。大学の場合も、付属の学校などの周辺も含めると、セキュリティ対策をしっかりすべきところが見えてくるという事例がありました。
サイバーレジリエンスの観点では、状況をまずしっかり把握しましょうという、一番初めのステップに対応するところかと思います。
扇:
2021年~2022年の大きなセキュリティ事故を調べてみると、おおよそランサムウェアによる被害ですよね。さらに原因などを見ていくと、やはり共通点がありました。まず、襲われているのがインターネットの接続部分ということです。特に、VPNというリモートアクセスを行うための機器の脆弱性が突かれています。クラウド上の仮想ファイアウォールなど入り口の設定ミスを突かれて侵入される例も目立ちますね。
また、一度入られてしまうと広がりやすいという性質があります。システムが区切られていないことに加えて、認証が弱い、パスワードが弱いということですよね。入られたら、すぐ破られてしまうというのもあります。
あと共通点として、やはり小規模な企業が狙われていますね。いきなり大企業を攻めるのではなく、セキュリティ対策が弱い企業から入ってきて、ネットワークでつながっている親会社に影響が及んでいます。バックアップしているのに、バックアップも暗号化されたせいで復元できなくなった例も何件か散見されました。
実際、私もサイバー攻撃対応をした経験があります。Administratorというサーバーの認証設定が弱いせいで、突破されてしまいました。そのため、最初に対策したのはパスワードの隠蔽です。重要なシステムのパスワードを暗号化して、毎回パスワードを変えるというような仕組みを設けました。
おわりに
吉岡:
サイバーレジリエンスというキーワードでお話をしてきましたけれども、考えてみると、人間の体でも病気になることを完全には防げませんよね。一生の中で一度も病気にかからないことはあり得ないことです。サイバーの世界も同じようになっています。
そうすると、病気になったときにいかに回復を早くするかが重要です。日頃の健康チェックをして、弱いところがないか、メンテナンスがちゃんとできているかを見ていくことが、体の健康でも大事なわけです。これがレジリエンスですよね。サイバーの世界も、広く見ると同じようなことが言えるかと。自身や自社、自組織の健康チェックだと思って、レジリエンスを進めていただくのがよいかと思っております。
扇:
レジリエンスとほぼイコールなのが、事業継続という言葉かと思います。事業を継続するためのセキュリティの仕組みができているかを見直そう、という気持ちになっていただきたいですね。まずは、現状のセキュリティの点検が必要になると思います。いろいろなセキュリティソリューションがあり、その中には点検や現状分析を行うサービスがありますが、「何百万でできます」と申し上げると高いと思われるかもしれません。しかし、新たにシステムを大規模に導入するよりは安く済みますので、まずは事業継続に向けてセキュリティを見直し、セキュリティの穴がないか確認してみてください。
ITトレンドEXPO次回もお楽しみに!
ITトレンドEXPO当日のセッションでは、視聴者の皆さんからの質問に登壇者がリアルタイムで答えてくれます。ご興味をお持ちいただいた方はぜひ次回のITトレンドEXPOをチェックしてみてください。(参加無料)
▽ITトレンドEXPOの開催情報はこちら
