まず敵を知ること――事象から考えるサイバーセキュリティ対策のあり方:ITmedia エグゼクティブセミナーリポート(1/2 ページ)
サイバーセキュリティ対策の大原則は、まず敵を知ること。攻撃がどのタイプなのか、相手の最終目標を把握しなければ有効な対策を施すことはできない。
アイティメディアが9月11日に、都内で開催した「第27回 ITmedia エグゼクティブセミナー」の基調講演に、ラックの取締役 CTO サイバー救急センター 調査員である西本逸郎氏が登場。「なぜわが社が? IT経営時代のサイバーセキュリティ対策」をテーマに、実際のセキュリティ事象を紹介しながら、セキュリティ対策のあり方について講演した。
大原則はまず敵を知ること
「サイバーセキュリティ対策の大原則は、まず敵を知ることである」と西本氏は語る。ラックでは、サイバー攻撃の目的を、愉快犯、市場支配、主義主張、金銭、権益拡大、ストーカーの6つのタイプに分類している。西本氏は、「攻撃がどのタイプなのか、相手の最終目標を把握しなければ、有効な対策を施すことはできない」と言う。
「攻撃を6つのタイプに分類したのは、日本の大手電機メーカーの海外子会社から約7700万人分の個人情報が流出した事件がきっかけだった。当時、日本のメディアの報道は、個人情報の流出で損害が出たらどうするのか、賠償はどうするのかというものだった。しかしそのような事態にはならないと思っていた。なぜなら犯人の目的が違うからだ」(西本氏)。
愉快犯は、世間から騒がれることを目的としておりあからさまに判明するため、実はダメージが非常に大きい。主義主張が目的の場合は、最もインパクトが大きい攻撃である。西本氏は、「この会社をやっつけたい、この役員を退陣させたい、この経営方針を決壊させたいなどが目的のため、やっかいである。内部告発もこれにあたる」と語る。
一方、金銭は、目的が金銭なので組織へのダメージという意味では大きくない。権益拡大は、標的型攻撃で有名な国家スパイたちは攻撃で、特定の企業情報を持ち去るので重大そうに思えるが、まず発覚しないので直ちにインパクトが出るわけではない。西本氏は、「ライバル企業が同じ商品を発表しても情報流出が原因とは判断できない。また致命傷になるかどうかも別の問題」と言う。
「"侵入されたら終わり"というがそうではない。咳をしたからもう終わりというわけでも、カゼをひいたから終わりというわけではないのと同じ。人にうつしたり、命を失ったり、長期間休んだりしたら大事といえる、咳が出たらダメというのが現在のセキュリティ対策である。最近は出口対策が重要で侵入を想定した対策が必要と言われているが、まだまだ入口対策だけに頼ったりしているのが現状だ」(西本氏)
主義主張:もそのひとつ
主義主張のサイバー攻撃の1つに「918」と呼ばれている事象がある。1931年9月18日の満州事変にあわせて、2010年〜2012年の3年間、毎年9月に定例化しているサイバー攻撃である。2010年9月7日の尖閣諸島中国漁船衝突事件を機に、その後3年間ネットでサイバー攻撃が呼びかけられている。また2012年9月11日に尖閣諸島を国有化したことで、さらに攻撃が激化した。
西本氏は、「ラックのセキュリティ監視センターであるJSOC(Japan Security Operation Center)の観測によると、昨年9月11日から攻撃が増えた。今年も同様の攻撃が心配されている。有名ウェブサイトの改ざんはニュースになるが、ニュースにならないウェブサイトの改ざんが実は非常に多い。特にワードプレスなど、CMSやアプリケーションサーバを利用したウェブサイトで被害が多い」と話す。
同じ主義主張でも、2013年3月20日に韓国で起きたサイバーテロでは、韓国のテレビ局や銀行などのシステムが一斉にダウンした。同様のサイバーテロは、6月25日にも発生している。被害としては、企業のPCがブルースクリーンでいっせいに落ちてしまったというもの。これにより銀行間取引やATMが結果的に被害を受けた。韓国政府は北朝鮮のサイバーテロだと報道しているが、北朝鮮が認めたわけではない。
西本氏は、「被害を受けたテレビ局や銀行などは、30分後には株価の下落という現象も起きている。韓国では、これまでにも何度か同様の被害を被っているが、こうした破壊系の事件は韓国以外では見たことがない。もし韓国政府が言うように北朝鮮の仕業であれば、核やミサイル実験の代替え策とも考えることができる。情報を盗むのが目的ではなく、事件を起こして主義主張をすることが最大の目的ではないだろうか。」と話している。
権益拡大:暗躍するスパイたち
権益拡大のためのサーバー攻撃では、暗躍するスパイたちの話が以前から指摘されている。ラックの緊急対応事案でも、かなりの数が報告されているという。権益拡大のための攻撃は、以前は何年も気がつかないものが多かったが、最近は早めに攻撃に気がつくことも特長の1つ。ネットワーク監視システムの性能が向上したことも、早めに攻撃に気がつくようになった大きな理由といえる。
西本氏は、「2013年3月に、米国のセキュリティ会社から中国は組織ぐるみでサイバー攻撃をしているという報告がなされた。中国からのサイバー攻撃は、同盟国である日本にも行われているという報道もある。さらに、米中のトップレベルの会合がもたれる事態になっている。スパイ行為は悪事のためだけでなく、平和維持のためにも行われるということも想定する必要がある。」と話す。
権益拡大の攻撃は、まずインターネットを介してウェブサイトから侵入し、システムの管理者を牛耳ってしまう。システムの運用管理は一本化されていることが多く、インターネットに直接つながっていない研究開発部門や工場などのシステムにも関係者経由で侵入されてしまう。こうした事態にならないためには、管理者の行動を見える化し、監査できるようにしておくことが重要になる。
Copyright © ITmedia, Inc. All Rights Reserved.