パーソルグループとSky株式会社は、sightを通してエンジニアの自分らしいキャリアを応援しています

虎の巻!セキュリティ論 #16/企業経営にとって 大きなダメージを与える サイバー攻撃の脅威とは ~ その現実的対策と心構えについて ~(後篇)

f:id:sky-pca:20191020115647p:plain


 

f:id:sky-pca:20191104122458p:plain

独立行政法人情報処理推進機構(IPA)では従業員300人以下の中小企業を対象にした情報セキュリティに関する調査報告を行っている。セキュリティ対策や意識等、多岐にわたるアンケート調査であり、中小企業に対するサイバー攻撃の現状としては興味深い結果を表している図2

f:id:sky-pca:20191104122513p:plain

その要点として、中小企業ではその規模にほとんど関わらず、サイバー攻撃の被害に遭っていない、正確には1%前後の企業しかサイバー攻撃の被害に遭っていないと答えている。しかし、被害はともかく、サイバー攻撃を受けたと答えている企業においては、101人以上300人以下の規模であれば19.0%であるのに対して、100人以下の企業では7.0%であり、規模の小さい企業ほどサイバー攻撃を受けていないと答えている。また、規模が同じであれば、情報通信関連の企業ほどその割合は多い。大企業であれば、昨今のほとんどの調査で、少なくとも70%以上の会社が何がしかのサイバー攻撃を受けたと回答している。すなわち、規模が小さい企業ほどサイバー攻撃を受けていないのではなく、規模に関わらずサイバー攻撃を受けているものの、気づいていないと考えるほうが妥当である。

さらに興味深い調査結果が大阪商工会議所から報告されている図3。大阪商工会議所の調査では、中小企業の中でも従業員数50人以下の規模で、建設、製造、卸売り、そしてサービス業を中心に対象が各種業種に及んでいる。その中で、図3のグラフのように30%近くが被害に遭っている。大阪商工会議所の調査では、設問は15問以下、回答は選択制で実施、回答が容易で、かつ事実を述べやすいように工夫している。その中で実数として315社中97社がサイバー攻撃の被害を受けており、特にランサムウェアに感染したと述べている企業が22社(6.8%)もあることが注目に値する。

f:id:sky-pca:20191104122442p:plain

ランサムウェアとは身代金ウイルスとも呼ばれ、感染するとパソコンのハードディスク上のデータが暗号化され、指定された口座に現金、もしくは仮想通貨を振り込まなければ、その暗号化鍵を取得できず、永久に使用不能となる。以前からこのランサムウェアの被害が深刻であると言われていたものの、実際の被害については明確になっていなかった。今回の調査では具体的に22社も感染していたことが明らかになるとともに、公開はしていないものの、その約半数である10社近くが、実際に仮想通貨を振り込んでいるのである。

大阪商工会議所の調査では、約80%の企業がサイバーセキュリティのリスクを認識しているものの、アンチウイルスソフトの導入だけで対策を済ませている企業が、全体の30%に達している。つまりリスクを認識している企業ですら、アンチウイルスソフトの導入程度の対策しか取られていないのである。

IPAの調査と大阪商工会議所の調査を合わせて考察するに、規模の小さな中小企業ほどサイバー攻撃に対するリスクは認識しているものの、実際にサイバー攻撃を受けていても、それを認識できず、さらに少なくない割合でそのサイバー攻撃が成功していると考えられる。

f:id:sky-pca:20191104122501p:plain

f:id:sky-pca:20191115115416p:plain

以前はパスワードを定期的に変更すること、例えば三か月ごとに、以前と異なった新しいパスワードに変更することが推奨されていた。特にネットバンクや株取引のネットトレーディング等、そのセキュリティ強化が問われるサービスにおいては、パスワードの定期変更を執拗に要求される場合が多い。パスワードの定期変更が推奨されるもっとも大きな理由は、かつて米国立標準技術研究所(NIST)がパスワードの定期変更を推奨していたためである。NISTとは米国の技術、産業の規格や利用について、その要件等を定める機関であり、そこで決められたことは米国での利用基準となっている。日本政府でも、それに準じて、例えば総務省ではパスワードの利用に関し「パスワードの定期変更」を推奨していたのである。もちろん、それだけではなく、第一にパスワードへの関心を高めるため、第二にはもしそのパスワードが漏れていた、あるいは推測されていたとしても、利用期間における制限から限定的な被害に収まるだろうという期待からである。

NISTでは最近になって、パスワードの定期変更を推奨することはなくなり、それどころか、昨年の6月には「一般には、パスワードの定期変更を求めてはいけない」という、今までと真逆の推奨が提示された。それに伴って今年の3月には、総務省が「パスワードの定期変更は不要」との発表を行った。なぜパスワードの定期変更が勧められないのか。パスワードにとって一番大事なことは他人に漏れないことである。パスワードの定期変更はその一つの現実的な実現方法のはずであった。しかし、実際はそうでなく、大多数の人にとって、パスワードの定期変更が他人に漏れない、推定されない複雑なパスワードにならないことが判明したのである。

今では、スマホの普及によって、ほとんどの人が数多くのネットサービスを利用しており、それぞれに対してやはり数多くのパスワードを使うことになり、その数多くのパスワードを管理できなくなっている。そこで定期変更を強いることは、小数のパスワードを使いまわしたり、変更する際に、変更前のパスワードを一部だけ変えたり、数字の部分に1を足していくなどして、本来一番大事な他人に漏れないような複雑なパスワードにならないどころか、さらに簡単で規則的なパスワードをつけてしまうことになる。

サイバーセキュリティの基本は想定される脅威から守ることである。オールマイティーのセキュリティ対策はあり得ない。パスワードの定期変更はパスワードの漏えいに対して一定の効果が期待された。それはスマホ登場以前で、利用するネットサービスも少なく、管理するパスワードの数が少ない場合であった。しかもパソコンを使うという一定の知識、特にネットリテラシーと呼ばれるネットの使い方、パスワードの使い方にほんの少しでも注意を向けられる人が大半だったのである。現在では、以前と比べて数多くのネットサービスを利用し、しかも誰もがパスワードを使っている。サイバーセキュリティの根本的な常識が変わったのではなく、パスワードを取り巻く状況が変化したのである。

標的型メール攻撃についてもマルウェアを感染させる有効な手段として大きな脅威と捉えられている。送られる相手の状況を十分調査した上で信頼できるメールを装って、あるいは誰もが信じ込むようなメールの内容、例えば銀行口座の確認やソフトウェアのアップデート通知、宅配便等の配送確認を装って、添付ファイルやダウンロードサイト(URL)にアクセスすることでマルウェアを感染させる攻撃方法である。この脅威の深刻さゆえに、多くの組織では、標的型メール攻撃に対する訓練を行っている。これは疑似的に標的型メールを送り、それにだまされて添付ファイルを開いたり、記載されているURLにアクセスした人に注意喚起することが一般的であり、その数を減らすことに注意が捉えられがちである。しかし、100人が10人に、10人が1人に減ったとしても、組織内でたった1人でもマルウェアに感染すれば、組織に対する攻撃は成功してしまうのである。この訓練の本質は「だまされる人の数を減らすことではなく、万が一、だまされてしまった場合に、どのような対策を取り行動するか」という訓練なのである。

セキュリティ対策の本質は、極論すれば、マルウェアに感染しないことでも、不正アクセスを受けないことでもなく、被害をなくすこと、あるいは被害を極小化することである。特に具体的な対策を取るためには、一つひとつの攻撃を想定するのではなく、被害を想定することが肝要である。最近、「レジリエントセキュリティ」という言葉が聞かれるようになった。レジリエントとは、復元力、回復力と訳され、心理学では困難な状況でも打ち勝つ力、防災の分野では、万が一災害にあったとしても被害を最小にとどめ、復旧を容易にすることである。セキュリティの分野でも想定した被害に対して十分対応できるシステム構築、そして運用が求められている。

f:id:sky-pca:20191104122505p:plain

古代中国の兵法書である孫子の一節、「知彼知己、百戰不殆」は「敵を知り、己を知れば百戦危うからず」と訳され、サイバーセキュリティの分野では、副題となっているテキストすら見受けられる。敵がサイバー攻撃を試みようとする輩であり、その攻撃方法を指す。己とは、当然、守るべきシステムや情報資産、それにそれらを扱う人間を指すのであるが、この後者に重点を置いているサイバーセキュリティの兵法書、特に技術的な指南書は決して多くない。もちろん、数々のセキュリティガイドライン等は己を知ることに通じるが、防御策としての対策であり勝つための対策、要は被害を皆無、もしくは極小化する対策、つまり危機管理としては十分ではないのである。己を知ることは、己の弱点をしっかり把握することでもある。

史記にある「千慮の一失」とは、十分に注意をしていたにも関わらず失敗を犯してしまうことであるが、セキュリティに「確実」あるいは「絶対」という言葉は存在しない。万が一に起こるというリスクを冷静に判断し、起こった場合の被害を最小にするセキュリティ技術や運用方法を考えるべきである。先の「千慮の一失」は原文で、「智者千慮必有一失、愚者千慮必有一得」と表されている。意味は、「賢者でさえ、多くの考えの中では、失敗もあるものだが、逆に愚か者でも、多くの考えの中には、一つぐらい良い考えもあるものだ」となる。人を分け隔てすることなく、耳を傾けることが肝要であると解釈できるが、サイバーセキュリティの分野では、「いくら堅固なシステムを準備したとしても、セキュリティホールは存在し、思わぬ不正アクセスを被る場合もある」と解釈すべきであり、その被害を想定した対策、運用が求められる。

森井昌克

神戸大学大学院 工学研究科:森井 昌克

大阪生まれ。1989年大阪大学大学院工学研究科博士後期課程通信工学専攻修了、工学博士。同年、京都工芸繊維大学工芸学部助手。愛媛大学工学部講師、同助教授、1995年徳島大学工学部教授を経て、現在、神戸大学大学院工学研究科教授。情報セキュリティ大学院大学客員教授。専門は情報通信工学、特にサイバーセキュリティ、インターネット、暗号理論、情報理論等を研究している。また企業等とIT関連、セキュリティ関連製品の開発を担当している。加えて、インターネットの文化的社会的側面、それを基盤としたサイバー(IT)社会、およびビジネス、ベンチャー企業についてテレビ出演、講演会、新聞・雑誌記事等を通して啓蒙、教育活動を行っている。


虎の巻!セキュリティ論 #17/AIとセキュリティ