多発するサイバー攻撃の背景

OECDの報告によると、現在の世界の富裕層と貧困層の経済格差が過去最大レベルになった(「世界の富裕層と貧困層の格差、過去最大レベルに」OECD報告/AFP、2015年05月22日 http://www.afpbb.com/articles/-/3049512参照)。

過去の歴史から学べば、人々の社会への不満や不安感から、革命や戦争が起きてもおかしくない状況と言える。しかし現在、その兆候は見られていない。代わりにサイバー空間を利用したテロ活動や、生きるために闇ビジネスを利用した金銭獲得のための犯罪行為が激増しているのである。

一例を挙げると、社会的困窮者によるランサムウェア(身代金要求型不正プログラム)という手法がある。この攻撃は、かつては高度な技術を持たなければできなとされていたが、今ではブラックマーケットにマニュアルやツールが存在している。誰でも簡単にお金儲けができる仕組みができてしまっている。

一方で、防御側の技術レベルは圧倒的に低い。強い意図と目的を持っている攻撃者に対向するには、防御に対する高い目的意識と活動意欲を持ち、かつ技術レベルが同等でなければサイバー攻撃は防げない。

しかし残念ながら“生きるため”に攻撃する者と“業務”として防御をやらされている者とのギャップは開く一方であり、そのギャップがさらに状況を深刻にしている。

サイバー攻撃の被害を防ぐには

サイバー攻撃を完全に防ぐことは難しい。被害を軽減するために必要なことをまとめると、次の通りである。

① 現実を知る
メディアに流れる情報はほんの一部である。他人任せにせず、自ら現場を知る努力をするべきである。

② 積極的な情報収集
CSIRTコミュニティや海外のカンファレンスなどを利用して日頃から情報収集するこで対応に役立てるこができる。また、お互い連携することでいざという時に頼れる存在になる。

③ 適切なセキュリティ対策
最適なセキュリティ対策は組織ごとに異なるはずである。全ての組織に共通するマニュアルはあり得ない。組織の規模や業務慣習、部署の風土なども考慮した対策をするべきである。

④ 対処策の蓄積
最低限のリスクを受容し、実質的な被害を発生させないことが最近のサイバー攻撃におけるベストプラクティス(最善策)であると言える。日頃の訓練も重要である。

これまでの日本企業における情報セキュリティは、物理的防護の概念を踏襲した「情報資産を守る」という観点で管理策の徹底に終始していた。しかし、ネットワーク化された社会における「情報資産」は、異なる複数の組織が(サイバー空間を利用して)共有および処理されるため、管理策が徹底されないところが発生する。そのため、スコープのまったく異なるサイバーセキュリティの対策概念が必要となってきている。しかし、いまだに旧来の情報セキュリティだけでサイバー攻撃対策をしようとしている節が見られる。

組織の上層部は、本当の現実を直接見るべきであり、自らが直接感じるリスクを基にした、適切なサイバー攻撃対策をしなければならない。

[2016年4月8日に開催したIT-BCPセミナー講演より]