まず敵を知ること――事象から考えるサイバーセキュリティ対策のあり方：ITmedia エグゼクティブセミナーリポート（2/2 ページ）

サイバーセキュリティ対策の大原則は、まず敵を知ること。攻撃がどのタイプなのか、相手の最終目標を把握しなければ有効な対策を施すことはできない。

[山下竜大，ITmedia]

　また現在、ウェブサイトの改ざん事件が非常に多く起きている。7月にStruts 2と呼ばれるJavaフレームワークを狙った攻撃が増えていると、いう注意勧告が出ている。ちなみに、ウェブサイトを改ざんする目的がよく分からない場合もあるが、ひとつはオンラインバンキングを見張るウイルスを埋め込むことが狙いだといわれている。

　2009年にGumblar（ガンブラー）というウイルスが流行ったが、このときには管理者のアカウントが盗まれていた。最近ではCMS（コンテンツ管理システム）やアプリケーションサーバの脆弱性や設定の不備が狙われている。ウェブサイト改ざんの対策は、実はそれほど難しくないが、運用していくのはかなり大変である。

　その理由を西本氏は次のように語る。「7年前はウェブサイトの運用はプロが行っていた。しかし現在では、誰でも簡単にウェブサイトを管理できる。要は"野良"問題である。無線LANやオープンリゾルバ、管理されていないPCやアプリケーションサーバなど、無責任な運用または利用が拡大していることが、セキュリティ対策の運用を困難にしている」

　また、安価なレンタルサービスの利用者が保守をしなければならないことを知らない。サービス内容を知らずに利用を拡大するなど、システムを自社で保有・管理することから利用への促進など、情報システムの変化が顕在化していることも要因のひとつといえる。西本氏は「Struts 2に対する攻撃は、簡単で、誰にでもできてしまうことも問題である。最近はテクニックを駆使した高度な攻撃よりも、こうした簡単な攻撃が圧倒的に増えているのも、ひとつの変化である。逆にいえば、そのレベルの攻撃で成功してしまう。」と話している。

金銭目的：崩壊した日本語の壁

　2013年2月に日本を含む20カ国で40億円が不正に引き出されるという事件があった。日本の金融機関のATMからも、約9億円が引き出されたという。この事件は、銀行のカード情報を処理する会社のシステムに不正に侵入し、上限金額を操作され、偽造カードを使って各国の金融機関から現金を不正に引き出すというもの。

　「スマートフォンや、スマートオフィスなど、"スマート"という言葉が使われると先進的なイメージがあり、実態がつかみにくい。スマートとは、インターネットとの融合と考えてほしい。犯罪もスマート化しており、時代を先取りするのは犯罪からといっても過言ではない。こうした犯罪にも対抗していかなければならない」（西本氏）。

　これまでのセキュリティ対策は、基幹システムを守ればよいという考え方だった。しかし2003年8月に、MS-Blast（MSブラスター）と呼ばれるコンピュータウイルスの蔓延により、多くのオフィス端末が使えなくなり、業務がストップしてしまうという事件が発生した。これにより、基幹システムだけでなく、オフィスの端末も守ることが必要になった。

　従来はウェブサイトが改ざんされても、バックアップから修復すればよかった。しかし、2009年のGumblarの登場により、ウェブサイトの改ざんが多発し修正してもすぐに改ざんされるため、業務が止まってしまうという事件が増えた。さらに、自社の業務継続だけでなく、相互に依存している事業の継続への考慮が重要となっている。西本氏は、「事件により守るものも時代とともに変化している」と話している。

常に変化が必要な対策の考え方

　セキュリティ対策の基本は、抑止策、予防策、防御策の大きく3つである。抑止策は、非常に効率的で、抑止することで犯罪が起きないが、できることが限定的なのが実情である。そこで効率的なのが防御策である。防御策とは、ファイアウォールの設置やウイルス対策ソフトの導入などである。これまでの防御策は、侵入を防ぐ入口対策だったが、これから重要になるのは侵入されても、そのことを早期発見する、あるいは外に出さない出口対策である。

　また、王道としての対策は予防策であり、従来から実施されているセキュリティ対策である。さらに関係者の事業継続や侵入者の目的の封じ込めなどの対策も重要になる。こうした対策が自社の事業継続につながる。そのほか情報システムの変化についても状況を整理しておくことが必要になる。

　例えばこれまでのサイバー事件は、ホームページなどのマーケティングツールやメール、ファイル交換ソフトなどの個人ツールで発生した。次に、最近の標的型攻撃は、日常業務を行っているオフィスシステムへが対象になっている。さらに今後は、生産システムや制御システム、コマースサイトなどの事業システムが標的になることが予測されている。

　情報システムには2つの基本要素がある。ひとつは「機能」であり、もうひとつは「データ」である。機能は基本的に専門家から提供されるもので、代替策がありまたどんどん進化していく。一方データは基本的に利用者がオーナーであり、代替え策がなく基本的には変化しない。情報システム部門は、基本的に機能を運用しており、データのオーナーではない。その認識があれば何年も情報をとられ続けるということはあり得ない。利用者はデータのオーナーであるという自覚を持つことが重要になる。

　講演の最後に西本氏は「セキュリティ対策が遅れているのではなく、情報通信技術への理解と活用が遅れている。また情報通信技術の利用技術（リテラシー）は、セキュリティそのものであり、利用者が感性を磨いていくことが重要になる。サイバーセキュリティ対策は情報システム部門の仕事といった悠長な考えではなく、経営レベルで時代の変化に対応していくことが必須である。」と話し講演を終えた。