1. トップ
  2. Action(活動)
  3. 週刊 経団連タイムス
  4. 2014年11月13日 No.3200
  5. 「日本を取り巻くサイバー攻撃の現状-安心・安全な企業活動のためのヒント」

Action(活動) 週刊 経団連タイムス 2014年11月13日 No.3200 「日本を取り巻くサイバー攻撃の現状-安心・安全な企業活動のためのヒント」 -昼食講演会シリーズ<第25回>/ラック社常務理事・ナショナルセキュリティ研究所長 伊東寛氏

経団連事業サービス(榊原定征会長)は10月17日、東京・大手町の経団連会館で第25回経団連昼食講演会を開催し、ラック社常務理事・ナショナルセキュリティ研究所長の伊東寛氏から「日本を取り巻くサイバー攻撃の現状-安心・安全な企業活動のためのヒント」をテーマに講演を聞いた。講演の概要は次のとおり。

■ サイバー技術の脆弱性と最近の攻撃傾向

コンピューターを動かしているソフトウェアには論理的なミスやうっかりなど、いわゆるバグが常に存在し、これらがサイバー攻撃に対する弱点、脆弱性となる。ソフトウェアは一定の利用期間を経てバグが修正され動作が安定するが、安定するころには新たな(脆弱性をはらんだ)ソフトが発売されるため、脆弱性の問題は永遠になくならない。またインターネットは人の悪意を想定しない仕様で一般化したため、なりすましや通信の秘密への保護が弱い、国をまたがって攻撃が行われるため取り締まる法律が行き届かないなど、想像以上に安全性が低い。

最近のサイバー攻撃の傾向をみると、初期は個人のいたずらであったものが、(1)不特定多数のアドレスへ大量送信するスパムメール(2)密かに侵入し情報を盗み出すスパイウェア(3)外部からの遠隔操作を可能とする遠隔操作ウイルス(4)狙いすました相手だけに届くため発見されにくい標的型メール攻撃など、金銭目的の高度な攻撃手法が次々に出現している。その被害の様相も、(1)パスワードの窃取で預金を引き出す(2)ネットバンキングの送金先を書き換える(3)顧客データベースを搾取する(4)企業情報の事前奪取による株売買や株価操作で利益を得る――など、組織的で悪質な営利目的の犯罪へと変化している。

■ 国家レベルのサイバー攻撃

近年は国家レベルの大規模な攻撃が行われている。エストニアやグルジアでは政府機関等を標的にDDoS攻撃(目標のサーバーが過負荷になるよう複数同時に大量のアクセスを行うもの)を主とする大規模・長期の攻撃が発生。イランでは核施設の制御システムへ攻撃がなされ、クローズしたシステムでも安全ではないと証明することとなった。またサウジアラビアの石油企業や韓国のメディア・金融業など、世界経済や社会システムへの大きな打撃を示唆する事件もすでに発生している。

それでは日本ではどうか。原因不明のシステム事故が多発しているが、これは将来の本格的な攻撃に備えて相手の弱点を探る活動、すなわち予行的に攻撃を仕掛けて反応時間を測定し、訓練レベルや対応範囲を確認するというような「見えない攻撃」にさらされているとも考えられる。

■ 企業におけるセキュリティのヒント

このような状況を踏まえれば、企業には効果的で効率的、費用対効果の高いセキュリティ対策が今すぐにでも求められている。しかし、セキュリティ対策の費用対効果にかかわる指標はなく、絶対の安心は決して得られない。そのようななかでは、まず金銭目的の攻撃に対する基本的なセキュリティ対策をしっかりしておくことが重要である。次にセキュリティ防護は突破されることを前提にし、受けた被害の極限化を図る対策をとることが重要となる。また、セキュリティは最も弱い部分が全体の強さを決めるといえる。技術と運用を統括した一元的なセキュリティ対策をとらねばならない。

技術的にいくら強い防護システムをつくっても用いる側の人間が弱点となっては何にもならない。従業員個々のパスワード管理や標的型メール攻撃への対応など、従業員教育を徹底してほしい。さらに攻撃者が他国政府であれば一企業では対応に限界があるので、政府への働きかけも検討してほしい。

【経団連事業サービス】

昼食講演会 講演録はこちら

「2014年11月13日 No.3200」一覧はこちら