情報セキュリティの脅威は増加の一途をたどっており、これまで取られてきたセキュリティ対策では歯が立たなくなってきました。今、何が起こっているのでしょうか。そして、その理由は何でしょうか。何から始めるべきなのか、順を追って考えてみたいと思います。
1 はじめに
1.1 いっこうに減らない情報セキュリティの脅威
世間を騒がしたセキュリティ事件はじめ、水面下で報告されている事件を含めると、国内におけるサイバー攻撃の件数は増加の一途を辿っています。(平成27年におけるサイバー空間をめぐる脅威の情勢について/警察庁)http://www.nisc.go.jp/about/details.html
特に、一昨年あたりから米国で猛威を振るったランサムウェアウィルス(身代金ウィルス)が予想通り国内でも感染、被害報告が増えている状況となっています。企業規模に限らず、ランサムウェアウィルスがユーザー企業に送り付けられてくるため、止む無く要求金額を支払うという事例もあるようです。国内における相談件数は次のグラフの通りです。(ランサムウェアに関する相談件数の推移/IPA)
1.2 なぜ、セキュリティの脅威は減少しないのか
情報セキュリティの脅威が減少しない理由はいくつか考えられると思いますが、主に以下に集約されるのではないかと考えています。
- Internetが世界的に整備され、情報が手軽に入手、公開、拡散ができるようになった
- 手軽に持ち運びできるスマホ等の電子機器の小型化
- 安価に利用できるクラウドサービスが増えた
これらは代表的なものですが、以降の項で一つ一つ見ていきたいと思います。
1.2.1 Internetの発展が世界にもたらしたもの
国内のネット環境は、世界トップクラスで整備されています。山中から海岸に至るまで、品質の良いネットワーク環境が安定的に提供されるようになりました。インフラ整備に伴い、各々のシーンで利用できるデバイスが開発されることになり、我々の目の前で発生したことをその場で、即座にネットを通じて、情報共有、拡散することができるようになりました。これまでは、ネットを利用することができる環境へ移動しなければいけなかったという制約がなくなった訳です。データ通信の帯域も大容量となり、画像、動画もストレスなくネット上にアップロードすることが出来るようになりました。
ネット上におけるデータ情報のやり取りの自由度が増した一方で、法制度や社会通念上のモラルが守らないものも出てきました。このグレー部分が情報セキュリティ上の問題点として指摘される場合が多いのです。
1.2.2 電子機器の小型化
これまでのデジタルカメラ、デジタル録音等、別々に持ち運んでいたものが、スマートフォンという1つの小さな手のひらサイズに集約されてしまいました。操作も簡単であるため、高機能多種類のスマートフォンは、国内の普及台数は1億台を超え、広く普及し、ています。撮影、録音機能などは場所を選ばないため、何に利用するかは全てヒトに依存するようになっています。無責任な使い方、悪意のある使い方が実施できてしまう環境にあるのです。
1.2.3 安価に利用できるクラウドサービス
一昔前までは、高額なコンピュータシステムを利用したサービスを提供する場合は大規模の投資が必要でした。
しかし、ハードウェア価格の低廉化、CPUの集積化により、ハイスペックなシステムの調達が簡易になりました。ストレージの単価も低下してきたため、企業のITサービスへの参入障壁が下がりました。
その結果、クラウドサービスの出現、仮想化技術等、技術開発の発展が多く出てきて、データ情報を簡易に共有、連携することができるプラットフォーム(facebook、Youtube等)が準備された格好になります。
1.3 改正個人情報保護法施行が目前
企業規模に関係なく個人番号(マイナンバー)等の管理義務が法律によって定められ、その改正個人情報保護法は、2017年5月30日全面施行となります。法律には、個人情報の管理の引き締めが盛り込まれているため、各企業では、情報セキュリティ対策の早急なる対応が必要となっています。
2 これまでの情報セキュリティ対策とその課題
2.1 現状の情報セキュリティ対策の概要
それでは、現在の情報セキュリティ対策は、どのような状況になっているのでしょうか。本項では、この点を整理したいと思います。
2.1.1 政府等の取り組み
今から10年以上前から、主要政府機関はもちろんのこと、中小企業向けに対しても、セキュリティ管理強化に向けた取り組みがなされてきました。政府機関の情報セキュリティ対策のための統一基準群の整備から始まり、近年では、サイバー攻撃対策向けの設計ガイドラインや経営者向けガイドラインも公表されています。対象も国内の中小企業向けのセキュリティ対策のコンテンツも多く提供されています。
- 「『高度標的型攻撃』対策に向けたシステム設計ガイド」(IPA/情報処理推進機構)http://www.ipa.go.jp/files/000046236.pdf
- サイバーセキュリティ経営ガイドライン(経産省)http://www.meti.go.jp/policy/netsecurity/downloadfiles/CSM_Guideline_v1.1.pdf
- 情報セキュリティ対策(IPA/情報処理推進機構)https://www.ipa.go.jp/security/index.html
2.1.2 その他
- サイバーキル・チェーン
米ロッキード・マーチン社のMike Clopper氏が提唱したサイバーキル・チェーンという考え方があります。これは米軍の軍事攻撃の考え方をサイバー攻撃に当てはめた方法論です。
- サイバーセキュリティフレームワークNIST(アメリカ国立標準技術研究所)
- https://www.ipa.go.jp/files/000038957.pdf
2014年にアメリカ国立標準技術研究所(NIST)によって発行されたサイバーセキュリティの効果的・効率的なリスク低減を実現するために開発されサイバーセキュリティフレームワークです。
2.2 現状の情報セキュリティ対策の限界
政府が以上のような取り組みをなしてきたにも関わらず、2011年秋、三菱重工や中央省庁が連続して標的型サイバー攻撃を受けたことをメディアで大々的に報じられ、多くの人々に認知されることとなりました。国内でトップレベルのセキュリティ対策を施していた業界で発生した事件は、関係者に大きな衝撃を与えました。
これを機に、標的型サイバー攻撃への対策製品が開発され出荷されてきました。情報セキュリティリスクが多く存在する中で、特に標的型サイバー攻撃がクローズアップされ、ソリューションありきの情報セキュリティ対策が
情報セキュリティ対策のアドバイスは、保険業法等のように、説明者に資格保持の義務がないため、誰でも自由に提案、アドバイスを行うことができます。これは、簡易なセキュリティ対策を、迅速に広めるためには良いですが、専門家によるアドバイスがないと、有効に実装・運用ができない可能性がある、というデメリットを含んでいます。
多くマーケットに出ており、出荷額も年増しています。が横行しているように感じております。本来、組織内の情報管理のあり方や情報セキュリティについての考え方は、組織毎に異なっているべきものです。セキュリティ対策
話題性の大きな事件を大々的にメディアで取り上げられるため、その個別対策のためのソリューション導入が情報セキュリティ対策であると捉えられている印象があります。
政府においては10年以上前から政府自体も情報セキュリティ強化の取り組みを進めており、政府直営の専門機関の設置、法律やガイドラインの策定等を進めています。これまでと異なり、脅威の出入り口は多様化しており、情報資産を守る側の立場では、対処の方法や考え方を根本的に変えなければいけない時に来ているのです。
2.2.1 ウィルス対策ソフトウェアの限界
本稿では、最初に現状の“情報セキュリティ対策”の考え方についての課題に触れた後、国内において導入率が多い3つの対策、即ち、ウィルス対策ソフトウェア、ファイアウォール機器、不正侵入防御システムを取り上げたいと思います。なお、本来、情報セキュリティ対策とはセキュリティ製品の導入のみではありませんが、本稿では問題点を分かり易く表現するため、あえてそのように記載して話を進めます。
現在、企業におけるパソコンにウィルス対策ソフトは、9割近く導入(総務省「平成25年通信利用動向調査」されている状況です。その一方で、3年前の約4倍となる6億種類のマルウェアが発見されているというデータもあります。
http://www.sankei.com/affairs/news/161112/afr1611120016-n1.html (産経ニュース)
ウィルス対策ソフトウェアメーカーは、日々、発見される“億”というウィルスを分析し、パターンファイル(定義ファイル、ワクチンとも言われている)を開発し、各ウィルス対策ソフトウェアに配布しているのです。
毎日約100万種の亜種が攻撃者によって開発されているとも言われており、旧来のパターンマッチング方式では、ウィルスの検知・駆除は非常に難しい状況となっています。
分析すべき対象のウィルスの数が増大していることに加え、攻撃者の攻撃方法も巧妙になってきているため、
シマンテック社の場合、現在では、15億種類以上のソフトウェア、アプリケーションの情報から、安全か否かを峻別するための情報を蓄積しています。一般的には、危険なマルウェアプログラムに対しては、その情報をもとに、対策用のプログラム、その最新定義ファイルで、
従前のウィルス対策ソフトウェア製品が採用している“パターンマッチング方式”では限界となっているのです。
勘違いの無いように補足しますと、これまでのパターンマッチング方式のウィルス対策ソフトウェアが不要となったのではなく、最低限の対策としては必要なものです。
2.2.2 ファイアウォール機器の限界
ファイアウォールは、通信データの送信元/送信先のIPアドレスやポート番号等で制御をかける製品です。一般的に、企業における社内と社外の境界やシステムセグメント間に設置されます。
これまで、Internet等の社外からの通信を制御するという目的で、その効果を発揮してきました。ウィルス対策ソフトとファイアウォールを導入しておけば、最低限のセキュリティ対策はなされている、という風潮がありました。しかし、標的型サイバー攻撃の場合は、ファイアウォールの盲点を巧みについてくるため、悪意のあるプログラムや通信は簡単にすり抜けられてしまうようになってしまいました。
2.2.3 IPS(不正侵入防御システム/Intrusion Detection System)の限界
IPSは、通信データ全体を、シグネチャ(ウィルス対策ソフトのパターンファイルに該当)で常時監視・解析するものです。悪意ある通信を検出した場合には、当該通信を遮断します。
機能は異なりますが、事前に定義された情報やパターンマッチング方式を採用しているという点では、ウィルス対策ソフトウェアと仕組みは同じです。よって、ウィルス対策ソフトと同様の課題を持っているものと考えます。
3 あるべき情報対応策とは
近年、標的型サイバー攻撃に有効であると考えられたソリューションも、攻撃者に突破されてしまうケースも散見されるようになってきました。攻撃者の攻撃手法は巧妙化し、企業内の就労環境も、時々刻々と変化する中で、組織における情報資産を100%完璧に守り切ることは、極めて困難な時代になっており、組織の管理する側においては、発想を転換して取り組む必要がある、そのような時代圏を迎えています。
3.1 今は事故前提社会に突入したということ
2009年2月に政府発表された「第2次情報セキュリティ基本計画」において、事故前提社会ということが記載されています。前述しましたが、完全に情報資産を守り切ることが困難になってきているため、管理する側の発想の転換が必要となってきています。
突破されても攻略されず、最低限で情報流出を食い止める、直ぐに検知できる仕組みを構築する、というように考え、完璧に防御する、のではなく、必要最低限の対策を実施する、リスクはみてみぬふりをするのではなく、自社に適切な範囲で許容するのです。
3.2 推奨されるアプローチ
情報セキュリティは、ヒト、モノ、カネ等の経営資源に大きく関わり、リスクをどこまで考えるかという、経営方針に直接的に関連するため、経営課題として捉えることが必要であり、それは、サイバーセキュリティ経営ガイドライン(経産省)にも触れられている通りです。
一方で、現在、情報セキュリティ対策製品は、多く販売されていますが、それら全て導入している組織はほとんど無いと思われます。ヒトと費用の面で、限りがあるためです。これは、政府、金融機関においても同じです。情報セキュリティ対策は、直接的な利益を生み出すような類のものではなく、あくまでも手段であるため、投資しにくい側面があります。また、セキュリティ対策を優先するか、業務の利便性を優先とするかは、いつもバランスが問われるところです。
3.3 まず、何からはじめるべきか
自社の情報資産を棚卸し、管理対象を区分するところから始めます。その際に、導入されているセキュリティ対策を、ハード面(物理面)、ソフト面(論理面)で、実態を把握します。次に、リスク分析して、どの情報をどこまで守るかを峻別します。情報セキュリティを完璧に対策することは、大変難しいことを認識し、自社のヒト、モノ、カネから、どこまで行うかを線引きするのです。フォローできない箇所はリスクとして認識し、運用でカバーする等で実施するのです。
3.4 最後に重要なこと
国内における情報漏えいの件数大多数は、内部犯行であることは、以外と盲点です。外部のサイバー攻撃の発生件数は、国内においてはそれほど多くはないのです。この状況を捉え、社内コミュニケーションや教育を充実することも、実は情報セキュリティ対策となることにもなる、ということも重要な観点であると考えます。