アサヒHDのサイバー被害 「完全防御には限界。被害前提で対策を」近畿大・柏崎准教授

[産経新聞]

　アサヒグループホールディングス（HD）は27日、サイバー攻撃で191万件の個人情報が流出した可能性があると発表した。サイバー攻撃による被害は相次いでおり、企業や公的機関は対応を迫られている。情報セキュリティーが専門の近畿大・柏崎礼生（ひろき）准教授は、「完全防御」には限界があるとし、被害を受けることを前提に対策を取るべきだとし、以下のように訴える。

記者会見の冒頭で頭を下げるアサヒグループホールディングスの勝木敦志社長（中央）ら＝27日午前、東京都千代田区（相川直輝撮影）

　サイバー攻撃が拡大したのは、手段そのものが劇的に変化したわけではなく、第三者が攻撃を手助けして収益を得る「ビジネスモデル」が構築されたことが大きい。攻撃ノウハウなどを提供する「ランサムウエア・アズ・ア・サービス（RaaS）」やハッキング商材の普及で、技術の低い攻撃者でも参入しやすくなった。

近畿大情報学部・柏崎礼生准教授（本人提供）

　ビットコインに代表される暗号資産（仮想通貨）などの足のつきにくい決済手段の登場が、ハッキングを腕試しから金もうけのビジネスへと変質させた。世界中の脆弱な企業を機械的に洗い出し、攻めやすい相手を選ぶのが一般的な手口だ。

　だが、企業側がネットワークを活用した業務の利便性とセキュリティー対策を両立させようとすると莫大（ばくだい）なコストがかかる。完全防御を求める「ゼロリスク信仰」は現実的ではない。

　地震などの自然災害と同様にサイバー攻撃の対策と訓練を定期的に行う必要がある。被害を受けることを前提に、事業継続計画（BCP）とデータのバックアップを用意し、復旧訓練を実施するべきだ。（聞き手　桑島浩任）