「専務のツブヤキ」
~IoT時代のサイバーセキュリティ、その究極の対策とは?~
2017年6月15日
CSAJ 専務理事 笹岡 賢二郎
CSAJ専務に着任して1年経ちました。今回は、セキュリティ委員会の委員長として、IoT時代を迎える昨今の状況や古巣のIPAに今年四月から産業サイバーセキュリティセンターが設立されたことなどを踏まえ、サイバーセキュリティ対策について日頃から考えていることを主に経営者目線からツブヤキたいと思います。
まず、皆さんもご承知の通り、IoT時代を迎え、あらゆるモノがインターネット、つまりネットワークで繋がるようになりました。これは、それだけ攻撃者の付け入る隙は増えていることを意味します。そこで、まず我々はサイバー攻撃を「
完璧に防げると思うな!
」との基本認識を持つ必要があると思います。というのは、
攻撃の時期と場所を選ぶのは攻撃者
ですからもともと
主導権は常に攻撃者にあり、その意味で優位
にあります。一方、完璧に防御するためには全ての時間・場所であらゆる可能性に備えることが必要ですが、それは無限のリソースがない限り無理です。また、サイバー攻撃は、基本的に「
イタチごっこ
」、その意味で「振り込め詐欺」と同じです。ですが、
サイバー攻撃のコストは振り込め詐欺よりもはるかに安い
ですし、振り込め詐欺と同様
サイバー攻撃も日々進化
しています。たまたま、サイバー攻撃のニュースを聞いて自分は無事だったことで安心することがあるかもしれませんが、それは単に運が良かっただけのことであり、むしろ次は自分かもしれないと心得て、経営者としては「
勝って兜の緒を締める
」ことこそが肝要です。以上が経営者の持つべきサイバーセキュリティに関する基本認識だと思います。それではどのような対策が有効でしょうか?予防策と事後策に分けて考えます。
予防策としては、(1)不特定多数への攻撃、愉快犯の場合と(2)標的型攻撃など一定の目的・意図がある場合で異なります。前者(1)の場合の対策の基本は、「
多重防護
」と思います。
重要な情報があるところは、一つの対策だけではなく、複数の対策を織り交ぜる
、例えば、入口対策だけでなく出口対策、パターンファイル検知だけでなく異常な振る舞いの検知など複数の対策で多重に防護することにより、他との相対的な優位性を確保することが肝となります。但し、一般的には日頃からの地道な対策(
パスワード管理、セキュリティソフトのアップデートやOS等の脆弱性解消
など)が最も重要です。平たく言えば、最低限
世間並みのことはやっておくということで普通は十分
だと思います。愉快犯的な攻撃者はそれさえもやっていない相対的にセキュリティの甘いところをまず狙います。空き巣が鍵のかかっていない家をまず探すのと同じ理屈でしょう。
次に後者(2)の場合ですが、しつこい場合は数年にわたり継続して攻撃を受けることもあるようですのでまず狙われたら防ぎきることは極めて難しい(狙われていることに気づかなければなおさら)と考えられます。私の考える最も有効な対策は「
情報共有
」です。これは自然の知恵というか、
シマウマの群れの論理と同じ
です。ライオンは群れの中で一番弱い者、怪我や病気をして弱っている者(セキュリティホール)などを狙って襲い掛かりますが、群れをつくることにより襲われたという情報は一瞬にして全体に伝わり、被害を最小限にしています。この発想で作られたのがIPAのJ-CSIPという情報共有スキームです。契機は日本の防衛産業を担うM社が標的型攻撃を受けたことでした。現在では日本の主要防衛産業の誰かがサイバー攻撃を受ければIPAに連絡があり、関係企業にその攻撃情報を伝える情報共有体制が出来上がっています。分野も防衛だけでなく重要インフラ事業者を中心に順次拡大しています。
CSAJもこの発想でセキュリティ委員会の下で新たな情報共有スキームの構築を検討
しています。
次は不幸にして攻撃を受けてしまった後の対策です。まず、
如何に早期にサイバー攻撃を検知できるか
という点が大事です。これには、日頃からの地道な社員の教育訓練(特に“気づき”)が肝要です。それから現状把握(被害状況、攻撃の手口など)になります。何が起ったかを知ることで初めてその後の対策が立てられます。ここで覚悟する必要があるのですが、
被害の把握は(ある程度の)時間と労力がかかる
ことです。また、自前で
現状把握
が無理な場合は、専門会社に頼むことになりますが、大企業であれば○千万円のオーダーの出費は覚悟する必要があるかもしれません。というのも、時間が勝負だからです。現状把握に時間がかかればかかるほど被害がその間に拡大するリスクを負うことになるからです。
最も避けるべき愚策は資金の逐次投入で結局費用と被害を拡大させる
ことです。ですから、
事後対策で費用をケチることはあまり考え過ぎない方が良い
と思います。また、
守るべき情報資産に優先順位を付けておく
日頃のリスクマネジメントも重要です。これにより費用対効果に基づく合理的な事後対策が可能となるからです。
そして望むらくは、サイバー攻撃による
障害発生時の演習・訓練
を日頃から行っておくこと、特に
最悪の事態を想定し、想定外を無くしておく
ことかと思います。誰でも想定外のことが起こるとお手上げですので、サイバー攻撃による
被害を最小限にするためには最悪の事態をどこまで想定できるか
にかかっています。そうなると、どのような場合に自らの判断でサービスやシステムの停止を行うか、その場合にどのような優先順位、手順で行うか、復旧する場合にも優先順位や手順を予め定めておくなどが必要と考えます。
最後になりますが、サイバー攻撃は、常に攻撃側が優位にあり、それを防ぎきることは極めて困難ですから、その対策は
究極的には被害を如何に最小限に抑えるか
ということに尽きると思います。従って、(1)予防策としては、
「多重防護」と「情報共有」
、(2)事後対策としては、サイバー攻撃の
「早期検知」
と速やかな被害の
「現状把握」
、望むらくは、
「想定外を無くす」(どこまで最悪の事態を想定できるか)
ということではないかと思っています。
以上、私の持論のツブヤキでした。
筆者略歴
笹岡 賢二郎(ささおか けんじろう)
1961年生まれ、1983年に通商産業省(現経済産業省)入省、機械情報産業局電気機器課、科学技術庁、資源エネルギー庁、立地公害局、防衛庁、工業技術院、基盤技術研究促進センター、JETROクアラルンプールセンター、文部科学省、四国経済産業局などの勤務を経て、2005年7月より新エネルギー・産業技術総合開発機構(NEDO)、2007年7月より九州経済産業局地域経済部長、2009年7月より中小企業基盤整備機構の業務統括役兼総務部長、2011年7月独立行政法人情報処理推進機構の参与兼セキュリティセンター長などを経て、2013年7月から東京工科大学にてコンピュータサイエンス学部 コンピュータサイエンス学科教授、片柳研究所所長、工学部 電気電子工学科 教授兼コーオプセンター長。2016年6月に一般社団法人コンピュータソフトウェア協会専務理事に就任。