2011/09/25
誌面情報 vol27
今や事業中断の最大のリスク!?
株式会社サイバーディフェンス研究所 上級分析官 名和利男氏
2001 年の米国同時多発テロ以降、先進国を脅かす新たな脅威として急浮上してきたのがサイバーテロリズムだ。それまで“サイバーテロ”という言葉自体、あまり聞き慣れないものだったが、9.11 では、実際の被害こそなかったものの、一般市民も含めてその脅威を初めて認識した。災害に負けない組織を目指すには、今やサイバーテロ対策は避けて通れない。
米国では今年5月に大統領府が「サイバー空間における国際戦略(International Strategy for Cyberspace)」を発表し、これを受け、7月には米国防総省(DoD)が「サイバー空間における活動に関する国防総省戦略(Department of Defense Strategy for Operating in Cyberspace)」を公表した。その中では、米国はサイバー空間で敵対行為を受けた場合は、攻撃国に対して武力行使することができるということが定められており、米国がサイバーテロの動向にかなり敏感になっていることが読み取れる。
実は、米国のサイバーテロ対策は、9.11 より以前から始まっている。
サイバー空間におけるセキュリティサービスを提供するサイバーディフェンス研究所上席分析官の名和利男氏によると、米国では1997 年6月に、DoDがエリジブル・レシーバー(Eligible Receiver)と呼ばれるサイバー戦争を想定した軍事演習を実施している。この演習では、国家安全保障局(NSA)のコンピューター専門家らが実際にハッカーチームをつくって、電力や通信インフラシステムを介して軍事ネットワークへアクセスするという試みが行われた。
「当時、米国では特に中国や旧ソビエト連邦などからのサイバー攻撃に警戒心を強めていた。中国では1989 年の天安門事件以降、中国当局より積極的に推進された、児童生徒に対する資質教育(原語:素質教育)の主要構成である徳育において、愛国主義や集団主義の習得の強化、知育において科学的精神の醸成として情報通信技術(IT)の積極的な利活用等が図られた。その他体育、情操教育、労働技術教育においても、愛国主義の定着や情報通信の利活用が顕著に見られた。その結果、必然的に現れたのが、紅客(ホンカー)と呼ばれる愛国心に燃えたハッカーおよびその集団だった」(名和氏)。
彼らの特徴は、何かしらの強いモチベーションによって、中国にとって国益となるような活動をサイバー空間で行うこと。時に、日本や欧米への攻撃をすることもその活動に含まれるとする。
2001 年には米中間の関係に一気に緊張が高まった。米軍の偵察機が中国軍の戦闘機と空中衝突し南シナ海の海南(ハイナン)島に不時着する事件が発生し中国人パイロットが行方不明に。その報復と見られるサイバーテロ攻撃「コードレッド」(レッドは中国を意味する)により、世界中にある相当数の特定コンピュータシステムがウイルスに感染した。そのプログラムは一斉にホワイトハウスの公式ウェブサイトを攻撃するように仕掛けられていたという。
その直後に発生したのがアルカイダによる9.11同時多発テロだった。
■サイバーセキュリティ国家戦略
米国では、9.11 のような武力攻撃や自然災害への備えと同様に、サイバーテロに対しても一層対策を強化することを国家戦略として決定。ブッシュ政権は2002 年9 月に米国国家安全保障戦略(U.S.National Security Strategy) を発表し、その中核の1つとして「サイバーセキュリティ国家戦略(National Strategy for a Secure Cyberspace)」を位置づけた。
セキュリティ国家戦略は、米国の重要インフラへのサイバー攻撃を防ぐこと、サイバー攻撃に対する国家の脆弱性を改善すること、そして万一、サイバー攻撃が発生した場合に回復にかかる時間を最小限にすることの大きく3つを目的としている。
同戦略では、サイバースペースの安全を確保するための重要な施策について優先順位を定め、①サイバースペースのセキュリティ確保と対応のためのシステム、②脅威や脆弱性を緩和するためのプログラム、③セキュリティ認識と訓練のためのプログラム、④政府サイバースペースの防護、⑤サイバーセキュリティの安全のための国際協力-をそれぞれ重要項目に掲げた。
名和氏は、特に重要な点として、民間セクターもこの当時から、BCP(事業継続計画)を向上させるためにサイバー演習への参画を推奨されていたことを強調する。
2003 年11 月には、官民、関係機関50 組織の参加のもと、エリジブル・レシーバーと同様な、大規模なサイバー演習「Livewire」を実施。実際にサイバーテロを行うチームと、防御を行うチームをそれぞれつくり、攻撃面と防御面の両サイドから50日間にわたり問題点を検証した。その後も、米国では、サイバーストームと呼ばれるサイバーテロ対策訓練を継続的に行っている。
■国家サイバーセキュリティ部門の役割
これらの演習の実施主体となっているのが国土安全保障省(DHS)の核である国家サイバーセキュリティ部門(NCSD)だ。名和氏は、NCSD の役割について「専門的に活動する領域と横断的に活動する領域に分かれ、前者はセキュリティ体制やフレームワークについて、後者は演習など時々の状況に合わせた取り組みを管轄している」と説明する。
具体的には、専門的に活動する領域にはUSCERT(United States Computer Emergency Readiness Team)という連邦政府、州政府、地方自治体、民間の重要インフラ事業者などを横断した調整機関があって、サイバーテロなどが発生した場合、ここに連絡をすれば直ちに適切なレスポンスやハンドリング等を行なう体制が整えられているという。いわばサイバー空間における119 番のようなものだ。
日本にも民間領域ではJPCERT/CC、政府領域ではNISC(GSOC)など、似た機関があるが、名和氏によれば、日本の調整機関は、それぞれの領域ごとに点在しており、全体的に見ると分散化傾向にある点で米国と異なるという。
US-CERT ではまた、現在サイバー脅威のレベルがどのくらいなのかを評価し、各レベルで政府機関が何をしなくてはいけないか、どこに対して情報を伝えるかまでを細かく定めているという。名和氏によると、韓国や中国、オーストラリアにもこうした仕組みがあり、日本でそれが十分であるとは言い難いとする。
このほか、連邦政府から地方政府および重要インフラ事業者まで迅速かつ円滑に情報共有できる仕組みが整いつつあり、サイバー犯罪の共通データベースなども構築されているという。
一方、横断的に活動する部門は、先に紹介したサイバー演習や教育のプログラムを提供。情報月間など意識啓発のイベントなども行う。
■近年の動向
こうした取り組みにより、米国ではサイバーテロによる大規模な被害を防いできたが、名和氏は「2006 年ぐらいから情勢は変化している」と指摘する。ここ数年、これまでとは異質のサイバー攻撃が世界中で頻発しているというのだ。その特徴は、既存のセキュリティ対策が有効に働かない、あるいはサイバー攻撃を受けていること事態に気づきにくくなってきていることだとする。
いくつかの具体事例を名和氏に紹介してもらった。
まず、2008 年に米国防省の軍事機密を扱うコンピューターネットワークが、コンピュータワームに感染し、他国がコントロールするサーバに内部データが転送される状態が作られていたことが発覚した。
09 年には米国の政府主要機関のウェブサイトに対する大規模なDDoS 攻撃が発生。時間の経過とともに、米国の大手企業のウェブサイトも標的になっていった。DDoS 攻撃とは、ボットネットと呼ばれる悪意のある攻撃者によって構築された不特定多数のパソコンから、インターネット経由の遠隔操作によって一斉に特定のサーバにデータを送りつけてパンクさせ、ウェブサイトのサービスを不能にする攻撃のこと。この問題は韓国にも飛び火し多くのウェブサイトが被害にあい、最終的には、攻撃に加担してしまっていた韓国国内の不特定多数のパソコン内のデータが一部破壊されるという被害が報告された。
さらに同年後半には、グーグル等、米国有名IT企業の内部情報の搾取を目的としたサイバー攻撃が発生。2011 年には大手石油、エネルギー、石油化学会社がサイバー攻撃を受け、それぞれ社内の機密情報が搾取された可能性があることが発表されている。
そして、日本もその標的になることを示唆したのが、今年4月に発生した、1億件以上の個人情報が漏えいするという史上最悪の個人情報漏えい事件となったソニーへのサイバー攻撃だ。
名和氏によると、ソニーの問題は、ゲーム機「プレイスステーション3」の不正利用ユーザーとソニーの間に確執が起きたことが原因となった。ソニーは、不正プログラムをウェブサイトで公開した米国人ハッカーを提訴し、さらに不正が判明すればプレイステーションネットワークの接続を停止し、オンラインプレイを不能にし、さらにアカウントが強制削除されるという強硬手段に出た。こうした強硬手段に堪忍袋の緒が切れ、ソニーがハッカーのターゲットになったと見ることができるという。
■ブラックマーケットの成長
サイバー攻撃が高度化している背景にあるのがブラックマーケットの成長だ。ブラックマーケットでは、インターネットの不正利用などにより個人情報を売買したり、マルウェアと呼ばれるコンピューターウイルスやワームなど悪意の持ったプログラムを売買する活動が行われている。その構造は複雑で、例えば単にボットネットを増やすマルウェアを開発することを生業としている者もいれば、それを買い取って不正に利用する者、さらにはそうしたプログラムによって搾取した個人情報を売るなど様々な悪質なビジネスが繰り広げられているという。
中には「サイバー攻撃代行サイト」なるものも登場し、一般のユーザーでも、そこに依頼することで特定のライバル企業にサイバー攻撃を仕掛け、ウェブを麻痺させるなど営業妨害を行うことができるとする。
不正プログラムは、一般のウイルス対策ソフトなどでは検知できないものも多く、そうしたものほどブラックマーケットで高く取り引きされているようだ。それ故、こうした攻撃を防ぐことは、かなり難しいと名和氏は指摘する。
■有効な対策無し
サイバー攻撃を防ぐ対策はないのか。
例えばDDoS 攻撃にあった場合は、平常時にせいぜい数百件ぐらいしかないアクセス数が、一気に何千万単位に跳ね上がり、サーバがすぐにパンク、つまり外部からは見られなくなる。不特定多数のボットに感染しているPC がインターネットを介した遠隔操作により、一斉に特定のサーバにアクセスするためだ。ちなみに、日本だけでも40 ~ 50 万台、3~4台に1台のPC がボットに感染しているという調査結果もある。
対策としては、サーバを数千万件のアクセスに耐えうるものに変えるか、主なアクセス源を見極めて、何か防御を行うぐらいしかないが、いずれにしても莫大な費用がかかる。
個人のPC をマルウェアの感染などから防ぐのも困難だ。攻撃者はメールサーバに入り込み、メールの差出人や宛先の関係まで把握し、あたかも知人を装った形でメールを送りつけてくるため、知らずにメールを開いてしまう。また、USB に感染し、そのUSB を介して他のPC に感染するなどあらゆる方法で感染が広がっていくとする。さらに、東日本大震災など大きな事象が起これば、興味をそそる内
容で、例えば「福島第一原発未公開映像」などのメールを送りつけてくる。
迷惑メールは、不特定多数をねらったものばかりではなく、最近では「標的型攻撃メール」といって、特定の重要な情報を持っている者に対して攻撃をしかける方法が増えているという。フェイスブックやツイッターなど、いわゆるソーシャルネットワークでの書き込みなどら、組織で重要な情報を扱っている人間を特定し、そのPC に対して標的型攻撃メールを送りつけてくるというのだ。
■企業の対策
企業はどう対処すべきか。
名和氏は、まず自組織に影響する可能性があるサイバー脅威の把握と理解に関する意識決定が可能な役員CISO(Chief Information Security Offi cer)を設置することを推奨する。ソニーがサイバー攻撃への対策が遅れたのもCISO が不在だったからとの見方もある。名和氏は「もしCISO がいれば、プレイステーションの改造プログラムが出回った段階で環境の変化に応じた対策が打てたはず」と語る。
2点目として、CISO や経営層が、サイバーテロの脅威がどのような動向になっているのか、IT 担当者に任せるのではなく、自分の目で見て認識することを挙げる。最近では、IT と業務のプロセスが一体になっているので、経営の観点からIT リスクによる業務への影響を認識しない限り、適切な判断・対応はできないとする。
3点目は、なるべく多くの情報を得ること。メディアを通じた情報は限られているため、できればサイバー攻撃に遭っている、あるいは過去に遭ったことのある当事者に直接連絡を取ることを名和氏は勧める。その際、その当事者にとっても参考になるような情報を提供し合える関係を日常的に構築しておくことが大切だとする。実際に、サイバー空間では、すでに国内外で、さまざまな相互援助を行う機関が立ち上がっている。国内でも主要企業を中心にCSIRT(Computer Security Incident Response Team)が急ピッチで作られ、日常的にサイバーテロなどに対する情報交換を行っている。
4点目は、攻撃経路における適切なセキュリティ対策を実装すること。今のサイバー攻撃はサーバをねらって終わるのではなく、サーバを介して重要な情報を持っているPC にたどりつきデータが抜き取られることも多い。名和氏は「重要なことは、どこで気付くか。気付いた時の適切な対処方法をしっかりと決めておかなくては被害は広がり続ける」と警告する。
多くの企業は、情報セキュリティはIT 部門が担当しているか、すべて外注しているか、あるいは誰も担当していないかに分かれる。組織内で共通認識のもと、対応に当たるためにもCISO の存在が不可欠と名和氏は強調する。
最後に名和氏は、サイバー攻撃は、自然災害のように偶発的に起きるものではなく、人間の意思とそれにもとづく行動によって発生するものであることを見逃してはならないとする。一般的にサイバー脅威の発生の予測は難しいとされているが、これまでのさまざまなサイバー脅威に関する観測や分析の結果をみると、事前に攻撃が呼びかけられていたものに限っては、攻撃者にとっての「合理的な理由」が存在することが多いようだ。CISO やCSIRT がその合理的な理由を可能なかぎり事前に察知し、理解することによって、サイバー脅威の発生予測をある程度ではあるが高めることが期待できるという。
誌面情報 vol27の他の記事
直近のセミナー・イベント
おすすめ記事
-
-
入居ビルの耐震性から考える初動対策退避場所への移動を踏まえたマニュアル作成
押入れ産業は、「大地震時の初動マニュアル」を完成させた。リスクの把握からスタートし、現実的かつ実践的な災害対策を模索。ビルの耐震性を踏まえて2つの避難パターンを盛り込んだ。防災備蓄品を整備し、各種訓練を実施。社内説明会を繰り返し開催し、防災意識の向上に取り組むなど着実な進展をみせている。
2025/06/13
-
「保険」の枠を超え災害対応の高度化をけん引
東京海上グループが掲げる「防災・減災ソリューション」を担う事業会社。災害対応のあらゆるフェーズと原因に一気通貫の付加価値を提供するとし、サプライチェーンリスクの可視化など、すでに複数のサービス提供を開始しています。事業スタートの背景、アプローチの特徴や強み、目指すゴールイメージを聞きました。
2025/06/11
-
-
リスク対策.com編集長が斬る!今週のニュース解説
毎週火曜日(平日のみ)朝9時~、リスク対策.com編集長 中澤幸介と兵庫県立大学教授 木村玲欧氏(心理学・危機管理学)が今週注目のニュースを短く、わかりやすく解説します。
2025/06/10
-
その瞬間、あなたは動けますか? 全社を挙げた防災プロジェクトが始動
遠州鉄道株式会社総務部防災担当課長の吉澤弘典は、全社的なAI活用の模索が進む中で、社員の防災意識をより実践的かつ自分ごととして考えさせるための手段として訓練用のAIプロンプトを考案した。その効果は如何に!
2025/06/10
-
-
緊迫のカシミール軍事衝突の背景と核リスク
4月22日にインド北部のカシミール地方で起こったテロ事件を受け、インドは5月7日にパキスタン領内にあるテロリストの施設を攻撃したと発表した。パキスタン軍は報復として、インド軍の複数の軍事施設などを攻撃。双方の軍事行動は拡大した。なぜ、インドとパキスタンは軍事衝突を起こしたのか。核兵器を保有する両国の衝突で懸念されたのは核リスクの高まりだ。両国に詳しい防衛省防衛研究所の主任研究官である栗田真広氏に聞いた。
2025/06/09
-
危険国で事業展開を可能にするリスク管理
世界各国で石油、化学、発電などのプラント建設を手がける東洋エンジニアリング(千葉市美浜区、細井栄治取締役社長)。グローバルに事業を展開する同社では、従業員の安全を最優先に考え、厳格な安全管理体制を整えている。2021年、過去に従業員を失った経験から設置した海外安全対策室を発展的に解消し、危機管理室を設立。ハード、ソフト対策の両面から従業員を守るため、日夜、注力している。
2025/06/06
-
福祉施設の使命を果たすためのBCPを地域ぐるみで展開災害に強い人づくりが社会を変える
栃木県の社会福祉法人パステルは、利用者約430人の安全確保と福祉避難所としての使命、そして災害後も途切れない雇用責任を果たすため、現在BCP改革を本格的に推進している。グループホームや障害者支援施設、障害児通所支援事業所、さらには桑畑・レストラン・工房・農園などといった多機能型事業所を抱え、地域ぐるみで「働く・暮らす・つながる」を支えてきた同法人にとって、BCPは“災害に強い人づくり”を軸にした次の挑戦となっている。
2025/06/06
![2022年下半期リスクマネジメント・BCP事例集[永久保存版]](https://risk.ismcdn.jp/mwimgs/8/2/160wm/img_8265ba4dd7d348cb1445778f13da5c6a149038.png)
※スパム投稿防止のためコメントは編集部の承認制となっておりますが、いただいたコメントは原則、すべて掲載いたします。
※個人情報は入力しないようご注意ください。
» パスワードをお忘れの方