コロナ禍やウクライナ侵攻を背景に混迷深めるサイバー情勢、経営層に必要なのは「現場丸投げ」からの脱却――サイバーディフェンス研究所 名和利男氏：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

[高橋睦美，ITmedia]

　まず、ロシア軍の優位性を高めるために、データ破壊攻撃（ワイパー攻撃）とWebサイトの改ざんを連携するような形で展開し、ウクライナの住民に恐怖を与えようとする動きが観測された。改ざんされたWebサイトに示された「あなたたちのデータは全て破壊される」といったメッセージとほぼ同時にワイパー攻撃やランサムウェア攻撃を展開することで、ウクライナのネットユーザーに強い恐怖を与えようとしたものと見られる。さらに、ウクライナという国にとって汚点といえる歴史を想起させるキーワードも表示することで国内の意見分裂を誘おうとするなど、さまざまな形で影響工作が行われている。

　さらに、情報伝達を遅らせ、ウクライナ側の反撃を遅延させることを狙った情報通信能力の破壊攻撃と、ウクライナ国内の重要施設内のITシステムに対する侵害攻撃も行われている。前者の破壊攻撃では、欧州の通信衛星ネットワーク事業者、Viasatのネットワーク「KA-SAT」が影響を受けた。

　「原因は、設定ミスが残っていたVPNアプライアンスを悪用した攻撃で、日本の企業でも同様の原因による被害が発生しています。背景には、企業買収・統合をへたKA-SAT社のネットワークの管理を巡る混迷した構造があります」と名和氏は述べ、新たな企業統合を検討している場合、経営者はこうしたリスクにも留意すべきだとした。

日本企業に求められる、現場丸投げセキュリティからの脱却

　名和氏が説明したこのような情勢は、クローズドな情報でしか得られないものばかりではない。米FBIをはじめとする当局や投資情報などから得られる公開情報も含まれているが、「残念ながら日本では、こうした事例情報が流通しにくい状況です」と名和氏は述べた。

　他国の中には、サイバー攻撃によって被害を受けた場合に国家機関に報告する義務を課している国もある。しかし日本にはそうした体制も組織も整っていない。「サイバー事象に関しては、公表なし、報告なし、決定なし、認知なしという状況です。海外の機関が知ることのできるサイバー事案を、不幸にも日本の組織や企業は知ることができず、現場の努力で見つけては駆除していますが限界を迎えつつあります」（名和氏）。公表される事例もゼロではないが、「ごく一部の上澄み」にすぎない状況だ。

　加えて名和氏は、組織内の対応体制にも課題が残ると指摘した。CISOを任命し、CSIRTを設置してあとは担当者に丸投げで安心している組織や企業が少なくない。また、「誰が何をするか」を取り決め、何百ページにもわたる文書にまとめるのはいいが、時勢に合わせたアップデートはなされず、参照されることもない。かといって、急速に変化するサイバー脅威を自分の目で見て判断することもない。

　このような事態を改善するには、まず経営層が、技術の詳細までは分からなくても「リスク」を正しく見積もり、予算や人手といったリソースを確保する判断基準を設けることが重要だ。また、いわゆる「情報資産のセキュリティ」だけでなく、外部からの侵入に備えた対策を検討し、組織本体だけでなく、関係するグループ企業や海外拠点、サプライチェーンを構成するパートナーとともに取り組むことも必要だという。

　「今や安全神話は消失してしまいました。『侵入させない』などという自社にとっても不可能なことを、より規模の小さなグループ会社やパートナーに求めるのは理不尽です。重要なのは、侵入された事実をいち早く見つけ、それに共同で対処することだと捉えています」（名和氏）。そして、インシデント発生時には、平常時のようにのんきに稟議を回したりする余裕がないことを踏まえ、緊急時には現場に権限を委譲するといったプロセスを用意しておくべきだとした。

　名和氏によると、今現在も、内部関係者による犯行や認知戦、国家による脆弱性情報の管理といった、留意すべき動きが進行中で、日本もまた影響を免れ得ない。そんな中で、疲弊し、ともすれば発生した事実の隠蔽（いんぺい）に走りかねない現場のセキュリティ担当者に十分なリソースを配分し、強固なセキュリティコントロールを実施できるだけのコスト配分、リソース配分を、特に重要インフラに関わる企業の経営層は真剣に検討すべきだとした。