サイバーセキュリティの基本方針一考(2015年時点)+追記
日本年金機構に対する標的型攻撃で大きな注目を浴びたサイバー攻撃だが、日本全般における認識の低さは相も変わらずと思われる。
サイバー攻撃が現代社会に与える損害の大きさは、米国をしてサイバー空間を戦場と認定させたほどである。 先の事実を鑑みても
サイバー・セキュリティの重要性は強調しても、過剰とはならないだろう。
ちなみに、先にあげた年金機構でも使われた標的型メール攻撃に対する対策=演習として、「訓練サービス」なるものが存在する。
社内のIT関連部署と事前に打ち合わせを行った業者が、偽りのメール攻撃を行い、ウィルスが仕込まれた添付ファイル付きメールの
添付ファイルを、対象企業において何割の社員が開くか?を計測(し、警告及び啓蒙)するというサービスである。
大まかに言って、20%程度の社員(誰もが知っているような大企業=狙われやすい企業)が添付ファイルを開く。
その結果を社内にアナウンスして、暫くして、再度(2週間後程度が多い)、同じような疑似攻撃を行う。すると驚くことに、 およそ
10%程度の社員が(凝りもせずと言うか、相変わらず)、添付ファイルを開いてしまう。
つまり社員の10%は、(悪意のある)ハッカー=クラッカーにとって、カモということになる。もっと言えば、10社を標的にすれば、
必ず1社は不正プログラムに 感染させることができる。これは、相当恐ろしい状況である。
なぜそんなことになるかというと・・・少なくとも理由の一つは、送信者(演習では、業者。実戦ではクラッカー)が世間的にはマイナー
だが、その会社にとっては昔から付き合いのある 小さな会社だったりするからである。受信者は、送信者が、そんなマイナーな小さ
な会社を装わないと考える。もちろん、送信者は 敢えてそういう会社を選んでいる。
サイバー攻撃者は、相当知恵を使っているのである。
サイバー・セキュリティでは、入口及び出口対策という表現が使われる。端的に言うと、入口対策とは、(日本では、不正プログラム
という表現が多く使われている)ウィルス・マルウェア感染を防ぐ施策であり、出口対策とは(機密)情報の漏えいを防止する施策。周知
の通り、(サイバー・)セキュリティの世界に必殺技は存在しない。 従って、「合わせ技」で一本を取るしかない。
入口でも出口でも、アタッカーを凌ぐ斬新なアプローチで、最大限の防御を目指すべきである。
Ⅰ 入口対策
入口におけるイノベーティブなアプローチとしては、産業界の大きなトレンドでもある、「予防、事前対策」が考えられる。 サイバー
攻撃の怖さの一つは、知らない間に攻撃されていることであろう。事前に攻撃を察知することができれば、その恐怖は軽減されると
考えられる。
予防、事前対策のアプローチとして、ビッグデータ分析アプローチと"ビジネス"アプローチがあげられよう。
事前対策などできるのか?・・・という疑問はもっともであるが、近年のサイバー攻撃は、プロの手による攻撃が大部分を占めている。
プロは、愉快犯や素人と違って、無駄打ちはしない。確実性を求め、適切なタイミングで攻撃を仕掛ける。その性質を逆手に取ることが
できれば、事前対策は(理屈上は)可能となる。 具体的には-これもまた産業界の大きなトレンドでもある-ビッグデータの活用が
考えられる。
全てに正負両面があるが、ネットワークも例外ではない。繋がることの、(最大の)負の側面は、サイバー攻撃。代表的な正の側面は、
ビッグデータ分析であろう。ビッグデータの活用は、世間を騒がせている-故に実は、それほど深刻でもない-標的型攻撃やアタッカー
都合による攻撃、において特に有効なアプローチと考えられる。
後者のアタッカー都合による攻撃とは、例えばアタッカーと噂される中国や北朝鮮あるいはロシアといった国で発生したイベント
あるいは内部事情により発生する攻撃、という意味である。ソニー・ピクチャーズエンタテインメントに対する北朝鮮から(と推定される
ところ)の攻撃がもっとも解かりやすい例である。 大きなお世話ではあるが、ソニーは新事業として、不動産業も良いが、サイバー・
セキュリティ分野をもっと真剣に考えるべきである。
完全な造語である"ビジネス"アプローチとは、例えば、企業の決算発表やM&Aのアナウンスあるいは、新製品のプレス・リリースといった
ビジネス上のイベントに合わせて発生が予想される攻撃に対して、事前対策を施すというアプローチ、という意味である。
当該アプローチでは、攻撃を受けた対象企業等がセキュリティ・レベルをあげたとき、ビジネスに与える影響を事前に 評価しておく
ことが必須である。
セキュリティ・レベルを上げると、正常な通信も阻害・遮断されるために、ビジネスに悪影響を与えると言われている。 いわゆる両刃の
剣である。ただ、顧客等の通信相手も、何時(どのタイミングで)どの位の期間、通信障害が発生するかについて通知されていれば、混乱
は最小限に抑えられる。 また、攻撃対象企業に損害が及ぶとしても、事前に評価しておけば、サイバー攻撃による損害との比較ができる。
また、事前にインシデントの発生及び損害額が予測できれば、損害保険というヘッジ手段も考え得る -もっとも、損害保険会社が当該
商品を開発してくれればの話であるが[補1]。
ただし、ゼロデイ脆弱性+水飲み場型攻撃では、事前対策・事前察知は難しい。今後は、この攻撃に対する防御が最重要となるだろう。
そうであれば、出口対策が肝になる。
仮にベンチャー投資家の立場で考えても、事前対策アプローチに資する技術を持ったベンチャーよりも、革新的な検知技術を持った
ベンチャーに魅力を感じる。
Ⅱ 出口対策 [補2]
出口対策とは、不正プログラム(ウィルス・マルウェア)に感染した後、狙われた(機密)情報を外部に持ち出させない対策のことである。
ウィルス・マルウェアは、感染させたコンピュータ(が接続されているネットワークに繋がっている任意のコンピュータ)から外部に通信
を行う。 その通信を特定し、遮断することができれば、ネットワークの外部に情報が漏れることはない。
ウィルス・マルウェアは、特有の振る舞いをする。がん細胞も、正常細胞に比べてブドウ糖を大量に消費したり、 正常な体調では通常は
起こらない血管新生を起こしたり、といった特有の振る舞いをする。
こういった振る舞いを検知することで、がんを正常細胞と峻別し、治療に結びつける取り組みが行われている。 ただし、ブドウ糖を大量
に消費しないがんも存在するし、血管新生が発生する疾患もがんだけではない。斯様に、単独の振る舞いで悪性腫瘍を検知することは難しい。
複数の振る舞いを総合的に分析し、 ウィルス・マルウェアによる通信であると判断する、というアプローチになるだろう。
いずれにしても検知方法に、(日立製作所で実用化を前提に行われている)人の行動で幸福度を測るような、 革新的な発想が求められてる
ことは間違いない。
Ⅲ 啓蒙活動
全く異なったアプローチとして、啓蒙活動が考えられる。サイバー攻撃が大きな経済的損害をもたらしている(し、今後も拡大していく)
こと。 サイバー・セキュリティが、社会システムの安定に資する社会正義にとって必要であること。こういったことを国民に広く認知させる
活動は欠かせないと思われる。例えば、映画・動画による啓蒙活動を考えても良いと思われる。
またITリテラシーに欠ける企業経営者あるいは組織トップが、サイバーセキュリティの障害になっていることは、 広く知られている。
その解消にも実のところ、映画・動画による啓蒙活動は、ボトムアップアプローチとして、効果を発揮すると考えられる。
具体的には、サイバー・セキュリティの周辺をビジネス機会と捉えている企業(群)が出資して映画を作る(そして、ソニー・ピクチャーズ
エンタテインメントが製作・配給する?)。経営者の輪を通じて、サイバー・セキュリティの肝・ポイントについて、認知を深めてもらう。
人間誰でも、仲間の話には耳を傾けるものである。
企業経営者は忙しい。一つのテーマに長い時間を費やす余裕はない。しかし、肝を押さえる能力には長けている。まずきっかけを与え、
その後ポイントを絞って、本質を伝えることができれば、サイバー・セキュリティの重要性を理解してくれるはずである。
実際、サイバー・セキュリティに緩い組織は、リアルの通常オペレーションも緩い傾向がある。無駄が多く、ミスの発生する可能性が高い
オペレーションを行っているケースがほとんどである。日本では神話的に、その存在は絶滅したと思われているが未だに、「思い込みやうっかり」
が起きるオペレーションを平気で行っている組織・企業は存在する。 筋肉質でリーンなオペレーションをレビューする過程で合わせて、
サイバー・セキュリティを再考・強化する。そういったストーリーを経営者に提案するシナリオ(脚本)。
企業等には一考を促したい。
[補1] 日本のサイバーセキュリティ保険
実際のところ、サイバーセキュリティ保険は、2015年時点の日本に存在していた。中沢潔(JETRO/IPA NY)、米国によるサイバー保険の現状、
ニューヨークだより、2017年11月(https://www.jetro.go.jp/ext_images/_Reports/02/2017/92c65a1f1a9f3ddc/ny11201711.pdf)によれば、
日本で最初のサイバーセキュリティ保険は、米AIG社傘下のAIU保険会社が2012年12月に販売した(商品名はCyberEdge)が、ほとんど普及しなかった
ようである。
3年後、日本の保険会社も販売を開始した:東京海上日動「サイバーリスク保険」(2015年2月)、三井住友海上「サイバーセキュリティ
総合補償プラン」(2015年9月)、あいおいニッセイ同和損保「サイバーセキュリティ保険」(2015年9月)、損保ジャパン日本興亜「サイバー保険」(2015年10月)
ただ実務家は、次のように語っている:『(サイバーセキュリティ保険の)日本市場における認知度はまだまだ低いといわざるを得ません。損害保険協会
のアンケート(注1)では、12%の企業が本保険に加入しているというデータがありますが、保険会社としてそこまで加入率が高いという実感がないというのが
正直なところです。』
(サイバー保険開発者が語る日本企業のセキュリティ裏事情、https://tokiocyberport.tokiomarine-nichido.co.jp/cybersecurity/s/column-detail15)
注1:「サイバー保険に関する調査 2018」一般社団法人 日本損害保険協会
https://www.sonpo.or.jp/cyber-hoken/data/2018-01/pdf/cyber_report2018.pdf
[補2]
本稿を書いた後にサイバーセキュリティにおいてバズワードとなったのが「サイバーレジリエンス」である。これは、システムへの侵入を完全に防ぐことは
できないと現実認識し、侵入されても被害を最小限に抑えるという思想及びその思想に基づいた対策である。
サイバーレジリエンスでは、検知及びそれに続く監視が重要である。また2019年から「検知と対応」に重点を置いたEDR(エンドポイント検知・対応、Endpoint
Detection and Response)製品が注目を浴びている。
ここで述べた出口戦略が、如何にインサイトフルであったかをご理解頂けると思う。