セキュリティ対策を技術問題に押し込めてはいけない

東海大学情報通信学部長・教授 三角育生氏

 
東海大学情報通信学部長・教授
三角育生氏 みすみ・いくお
1987年通商産業省入省、サイバーセキュリティ政策や安全保障貿易審査等に携わる。内閣官房内閣サイバーセキュリティセンター副センター長、経済産業省サイバーセキュリティ・情報化審議官なども務め、サイバーセキュリティ基本法の制定・改正や同法にもとづくセキュリティ戦略の立案、各種セキュリティ関連の基準等の見直し、重大事象への対応などに従事した。2022年4月から現職。博士(工学)。

デジタル化の進展により企業のビジネス基盤が変化し、サイバーリスクが増大している。セキュリティ対策はいまや、情報資産や顧客・従業員を守るだけでなく、DXを加速させていくうえでも必須の取り組みだ。これからの時代に求められるセキュリティマネジメントのあり方とは、それを組織にどう実装させるのか。東海大学情報通信学部教授で学部長の三角育生氏に聞いた。

――企業のサイバーセキュリティを取り巻く環境はどのような状況にあるのでしょうか?
攻撃側の状況からお話すると、サイバー攻撃者の多くは経済的利得を求めて犯罪を行うわけですが、そのビジネス化が急速に進んでいます。技術的なハードルが下がり、サイバー空間の儲かりそうなところをねらって犯罪者がどんどん入り込んできています。

例えばクラウドのSaaS(ソフトウェア・アズ・ア・サービス)と同じように、犯罪者も「ランサムウェア・アズ・ア・サービス」のようなビジネスで攻撃手段を提供している。DDoS攻撃なども以前からビジネス化しています。

また、彼らは不正アクセスで盗んだIDやパスワードをダークウェブで販売します。すると不正アクセスによる侵入が連鎖していく。犯罪を直接行う者と犯罪のツールを提供する者が共鳴し、違法なビジネスが膨れ上がっている状況です。

加えて、暗号資産によって匿名性が高まっています。よくドラマで身代金の受け渡しの瞬間を刑事が押さえるシーンがありますが、サイバー犯罪ではそのような捜査環境が十分整っていない。総じて、悪事を働く側に有利な環境にあります。

何を守るかを特定しないと対応は不可能

――一方で、防御側はどのような状況にあるのでしょうか?
攻撃の複雑化にともない、被害も複雑化しています。知財を盗まれる、業務を妨害される、身代金を要求される。身代金は、支払うか否かの問題も絡みます。脅し方も多様で、システム内のデータの暗号化だけでなく、盗んだ情報を晒すといった手段をとってきます。

いろいろな手口でしかけてくる攻撃者に対し、すべてを守り切ろうとするのは現実的ではありません。そのため防御側は、自分たちが守るべき価値のある資産は何かを考えざるを得なくなっています。

自社の価値ある資産は有形無形いろいろありますから、それらのどこを攻撃者が狙ってくるか、どのような手段があるのかを想定した取り組みが必要です。ただ、デジタル化が進むとともに攻撃の適用範囲となる環境も拡大し、管理不十分な部分や取り組み不足の部分があればまず狙われる。DXの進展にともなってリスクも増大することになります。

企業は何を守るか、どう守るかを特定しないと対応できない環境にある(イメージ:写真AC)

――攻撃パターンの複雑化にともない被害も複雑化、しかも、攻撃の適用範囲が拡大している、と。
もう一つ、ビジネスだけでなく国レベルの課題もあります。国の機関のみならず電力や通信、金融といったいわゆる重要インフラなどは国が支援する攻撃を警戒しないといけない。国家や諜報機関がサイバー攻撃を支援してしかけてくることへの対応です。

最近は安全保障上の懸念が広がり、経済分野の活動でも国家・国民を守るために取り組まねばならないことが増えています。一企業の任意の判断で対応を求められても、とてもビジネスに乗りません。そこで、国の経済安全保障の制度、すなわち基幹インフラ役務に関する事前審査制度やセキュリティクリアランス制度などが整備されてきました。

ですから、自社のどこがどのような攻撃者に狙われるのか、自社の事業目的・目標を達成するにあたって、あるいは法令上の義務を遂行するにあたって、クリティカルな部分がどこにあるのかを、なおさら特定しないとならなくなってきているわけです。