サイバーセキュリティとは ~組織とそのミッションを守る~
およそ150年前の米国には、エクスプレスマン(Expressman)と呼ばれる職業がありました。
エクスプレスマンの職務は、現金輸送列車(Express car)に同乗し、積み荷である貨幣・紙幣の安全を確保するというものでした。
19世紀から20世紀初頭にかけて、全土で鉄道の建設と拡張が進み、米国の経済システムを大きく変化させました。しかし、鉄道網の発展に合わせて、現金輸送列車や物資を狙う列車強盗が流行し、経営者たちの頭を悩ませます。
こうした犯罪集団に対応したのが、エクスプレスマンたちです。
エクスプレスマンは自ら列車に乗り込み、運行や貨物輸送に係る様々な業務を担当しました。かれらは皆、列車強盗に対抗するため武装していました。
また、武装強盗を撃退するために、ピンカートン探偵社などの警備員を雇うケースも多かったとのことです。
かつては鉄道が社会インフラとして経済活動を担い、その資産や設備を守るために、武装したエクスプレスマンが配備されていました。
翻って、現代ではインターネットが経済活動や社会活動を担っています。
インターネットを中心とした技術革新は、経済・社会活動を変えると同時に、サイバーセキュリティに起因する脅威、リスクをも増大させました。
資産や情報、取引が電子化するにつれて、価値あるデータを狙う攻撃者・犯罪者も増加を続けています。
それは、鉄道網の発展に伴って跋扈する列車強盗たちの風景と重なります。
サイバーセキュリティは、かつての列車警備と同じく、経済・社会活動を支える基盤を守る重要な取り組みです。
この記事では改めてサイバーセキュリティの定義を考えるとともに、最新動向も踏まえて対策方針について紹介します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
サイバーセキュリティとは
サイバーセキュリティは、コンピュータなどの電子機器、通信機器、ソフトウェア、そしてその中に格納されたデータを、サイバー脅威から防護し、あるいは復旧する取り組みです。
ハードウェアやソフトウェアは通常、相互に接続したネットワーク上で運用されています。そして21世紀の現在、私たちが利用する最大のネットワークはインターネットです。
サイバーセキュリティは、インターネットと強く結びついた概念です。
情報セキュリティは上位概念
類似の言葉である「情報セキュリティ」は、組織や個人の資産である情報を、その形態によらず保護する取り組みです。守るべき対象には、金庫に格納された書類や、職員の持つ知識も含まれ、その対策はセキュリティ設備・警備員なども該当します。
情報セキュリティがカバーする範囲の中でも、電子機器や通信機器、それらをつなぐネットワークに存在するデータを守ることに注目した分類がサイバーセキュリティです。
情報技術の発達は、サイバーセキュリティの比重を急速に高めましたが、情報セキュリティの3要件であるCIAのコンセプトは、サイバーセキュリティにも継承されています。
- 機密性(Confidentiality):情報へのアクセスと開示に対する定められた制限を保持すること。
- 完全性(Integrity):情報の不適切な変更・破壊を防止し、情報の信頼性を確保すること。
- 可用性(Availability):情報への適時適切な、信頼できるアクセスを確保すること。
サイバーセキュリティの範囲は拡大を続ける
企業によるインターネットの活用は、10年前には想定できなかったスピードで拡大しています。
今、業務システムの多くはSaaS(Software as a Service)が担い、業務データや顧客情報、会計はクラウドサービスによって処理・保管され、バックアップされています。サプライチェーンにおいてもシステム同士の連接が進み、生産拠点や産業機械システムについても、遠隔による保守・管理を行うことが一般的になりました。
経済活動がインターネット技術に強く依存すればするほど、そうしたオンライン上の資産を狙うサイバー攻撃も増えていきます。
インターネット上にある我々の資産…ソフトウェア、ハードウェア、そしてデータは、常にリスクを抱えています。こうした資産の価値が毀損したとき、組織の経営活動だけでなく、個人の資産やプライバシーにも大きなダメージが発生します。
サイバー空間をとりまく情勢
サイバーセキュリティの様相や実践に影響を及ぼす要素は様々です。ここでは国家間関係、技術の発達、そして日本の情勢から、サイバーセキュリティの未来を推測します。
国際紛争からの波及
2003年から発生した中国による米国政府・軍へのサイバースパイ活動や、2010年に明らかになった米国・イスラエルによるイラン核処理施設へのサイバー攻撃など、国家間のサイバー戦は今世紀初めから常に生起しています。
国家間の対立や紛争にサイバー兵器が用いられるのは当たり前となりましたが、こうした国際情勢は必ず民間セクターにも影響します。
2015年、2016年にウクライナで発生した大規模な電力グリッド攻撃では、ウクライナ全土で停電が発生し、市民がATMを使えず右往左往し、暖房が機能せず凍える事態に陥りました。
日本を含む世界各国で被害を出した北朝鮮製ランサムウェアWannaCryや、欧米の製薬会社や船舶会社を中心に業務を停止させたNotPetyaマルウェアは、流出した米国家安全保障局(NSA)の攻撃ツールを流用したものです。
現在進行中であるロシアのウクライナ侵攻の影響を受けて、親ウクライナ国家に対するサイバー攻撃が発生しています。9月には日本政府の保有するWebサイトに対して、ハクティビスト集団「Killnet」による攻撃が行われました。政府運営サイトに加えて、著名な国内SNSや地下鉄もDDoS被害を受けています。
インターネットは、通信事業者やICANNなどの非営利団体を中心とした民間資本によって成り立っている社会基盤です。同時に、国家と企業、非営利団体、そして個人が共有・共存する空間でもあります。よって、国家間の対立や摩擦が持つ影響力は非常に大きいと考えられます。
技術の発展と普及
インターネットの普及、すなわちサイバー空間の拡大とグローバル化は、情報通信技術や暗号の発達によって実現しました。現在、地球上には約400本超の海底ケーブルが敷設され、各国をつないでいます。無線通信や衛星通信は、私たちの生活にとって不可欠な基盤です。現代暗号の実用化は、メールや電子商取引、オンラインバンキング、暗号通貨といった活動の基盤となっています。
現在は、クラウドサービスやリモートワーク、スマートフォンの利用が盛んになり、多くの情報がインターネット上からアクセスできるようになりました。これは同時に、攻撃者にとってアタックサーフェス(攻撃可能な表面)が増大したことを意味しています。
先端技術の中には、サイバーセキュリティを大きく変えると予想されるものもあります。
5G
次世代の通信システムである5Gは、高速大容量、低遅延などの特長を有しており、5Gの普及によって、インターネットに接続する通信機器や産業設備、サービスが飛躍的に増大する見込みです。
同時にサイバーセキュリティ上の脅威も新たに生じるため、米サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、脅威ベクターを(1)ポリシーと基準、(2)サプライチェーン、(3)5Gアーキテクチャの3つに分類し対策を検討しています。
量子コンピューティング
量子コンピューティングは、量子力学の原理を応用したコンピュータであり、従来のコンピュータでは達成できなかった計算能力を実現する技術です。実用化に向けて各国が研究に取り組んでいます。
量子コンピュータが保有する高度な計算能力は、特に暗号解読の分野で脅威となる可能性を持っています。現代のIT技術の基礎となっている共通鍵暗号や公開鍵暗号は、複雑な計算問題を解くのに長大な時間がかかるという条件を前提としています。量子コンピュータは、今の技術では数万年かかる解読作業を大幅に短縮するとみられています。
そこで米連邦政府は、各機関に対し量子コンピューティング対策を講じるよう義務付ける法案を審議しています。
AIと機械学習
AIと機械学習(AI/ML(Machine Learning)と略されることが多い)は、既にサイバーセキュリティ分野でも実用化しています。ユーザーやシステムの不審な振る舞いを検知するUEBA(User Entity Behaviour Analysis)や、セキュリティアラートやイベントを統合運用するSIEM(Security Information and Event Management)といった製品には、AIや機械学習の技術が用いられています。
しかし、サイバー攻撃者もこの技術を利用しており、システムやネットワークを侵害し、情報や資産を窃取する手法を洗練化させています。
日本 ~サイバー空間に国境なし
インターネットは世界を1つにつなぐネットワークであり、日本もまた国家によるサイバー攻撃やサイバー犯罪の標的です。
組織に対する最大の脅威であるランサムウェア攻撃は、ほぼ全てが海外の犯罪集団によるものです。警察庁の公表によれば、ランサムウェア被害報告件数は年々増加しています。
日本企業の海外拠点は、度々ランサムウェアの標的になっています。
ソフトウェアやIT環境の相互依存性が高まった現代では、日本語の壁や物理的な障壁は通用しません。脆弱性や設定ミスを狙う攻撃はインターネットを経由して遠隔地からやってきます。
サイバー攻撃の潮流
マルウェアやサイバー攻撃、ハッキング・クラッキングは、電子計算機が発明され、学術機関同士がネットワーク接続を始めた時代から存在し、情報通信技術の進展にあわせて高度化してきました。
そして、脅威アクターや国家機関による活動は現在も変化を続けています。ここでは、組織を狙う脅威の傾向について簡単に紹介します。
サプライチェーン攻撃の普及
サプライチェーン攻撃はかつて国家機関や軍のサイバー部隊が頻繁に用いた戦術でした。一般的に政府・軍のシステムは堅牢なセキュリティを持ち、物理的にインターネットから隔離されているものも多いからです。
敵は、本丸の目標を攻撃するために、脆弱な部分である契約業者などを狙います。これは、スパイ活動の世界でも一般的な方法です。
2010年のイラン各処理施設への攻撃は、シーメンス社の制御システム用に設計されたマルウェアによって実行されました。
2017年には、我が国も運用しているロッキードマーティン社製戦闘機F-35のデータがオーストラリアの下請け企業経由で窃取されています。
国家間のサイバー戦でさかんに用いられていたサプライチェーン攻撃は、いまやサイバー犯罪の世界でも常套手段となりました。
国内で報じられる大企業のランサムウェア被害のほとんどは、海外拠点・関連会社や中小サプライヤーを狙ったものです。
クラウドサービスやソフトウェア相互依存が進んだ結果、SaaSや決済システムを引き金にした連鎖的なサイバー攻撃被害が急増しています。
サプライチェーンや、より包括的な概念であるサードパーティは、攻撃者に必ず狙われるという認識を持つことが必要になったのではないでしょうか。
自動化とAI
サイバー犯罪者は自動化やAIといった技術も活用しています。インターネット上に露出した脆弱なサーバやソフトウェアは、地球上のどこからでも速やかに検知され、攻撃の標的になってしまいます。
進歩の著しいAIも、様々な攻撃に利用されています。パスワードに対する攻撃を機械学習によって高度化させたり、AIを用いたディープフェイク(本物そっくりの動画を生成する技術)によって標的を欺いたりといった手法を、国家サイバー部隊だけでなく犯罪者も利用していることが確認されています。
脆弱な人間を狙う
情報通信技術を扱う「人間」は、セキュリティの中のもっとも脆弱な部位の1つです。フィッシング攻撃や、より高度なスピアフィッシング攻撃、ビジネスメール詐欺(BEC)による不正アクセス被害が日々発生しています。
大手IT企業であるCisco社、Twitter社、Twilio社に対するハッキングでは、いずれも従業員を欺く手法であるソーシャルエンジニアリングが用いられました。
人間が技術を取り扱う主体である限り、攻撃者はこれを脆弱性とみなして攻撃を続けるでしょう。
軍・情報機関と犯罪組織の一体化
国家・軍によるサイバー攻撃と、サイバー犯罪者による攻撃との境界は、徐々にあいまいになっています。
ロシアはサイバー犯罪集団を自国の勢力圏の中で黙認しており、西側諸国を標的にする限りは目をつぶっています。また、サイバー犯罪グループや民間企業の中には、ロシア軍や情報機関と関係のあるものが多数存在します。
イランも同様に、民間企業が政府の指示を受け、米国大統領選に対するサイバー攻撃を行っており、米国司法当局から訴追を受けています。
北朝鮮はLazarusなど悪名高いサイバー部隊を複数保有していますが、近年特に重視しているのが仮想通貨の窃取です。国家による盗賊団といって差し支えないこれらの部隊は、仮想通貨取引所やNFTゲームに対するハッキングを繰り返し、多額の金銭を不正に獲得しています。
国家規模のハッカーとサイバー犯罪集団が一体化した結果、攻撃手法やそのレベルも徐々に見分けがつかなくなっているのが現状です。
なぜサイバーセキュリティが必要か
冒頭のエクスプレスマンに戻って考えてみると、サイバーセキュリティは、組織の資産を防護する警備員の機能に近いものだと考えることができます。
19世紀の鉄道会社が、武装したエクスプレスマンを活用することで自社の資産を守っていたように、いま、サイバーセキュリティはあらゆる組織・企業が取り組まなければならない事項となっており、その必要性は今後さらに高まっていきます。
サイバー攻撃による被害は、組織・企業の目的を妨害し、多大な金銭的損失を発生させます。さらに、個人情報の漏洩やサービスの停止といった事態、あるいは機密情報の流出は、組織の社会的信用や競争力を棄損します。こうした無形の価値は、サイバー保険では賄うことのできないものです。
サイバーセキュリティの世界では、大列車強盗時代のアメリカと同様、実効力を持つ国際法や強力な警察機関が存在しません。
国家や公的機関の果たす役割はあくまで補助的なものです。インターネットは非政府主体の運営する基盤により成り立っており、私たちはその自由を享受しています。
米国においては、サイバー空間における政府の役割について様々な議論はあるものの、法整備やサイバー犯罪者の訴追、外交的な働きかけ、情報共有体制の構築など、「私」の領域だけではカバーできない部分を補うべきとの議論が主流となっています。
よって、情報通信技術を利用するあらゆる組織・企業は、まずは自分たちの管理する領域を自身の力で防護する必要があります。
リスクマネジメントとしてのサイバーセキュリティ
サイバーセキュリティは、組織におけるリスクマネジメント上の課題として、つまり組織が一丸となって取り組まなければならない課題です。
サイバーリスクは、組織の任務や目的を大きく損なう因子であるだけでなく、適切に管理することで、組織をより発展させ、ビジネスやミッションにおける優位を獲得することのできるチャンスでもあります。
サイバーセキュリティを実践し組織に対するリスクを管理するには、一貫した方針をもとに、計画性をもって対策に取り組んでいく必要があります。サイバーセキュリティが、情報システム部門の専権事項ではなく経営課題であるとよくいわれるのはこのためです。
自由で開かれたサイバー空間を享受する
インターネットは自由で開かれた空間であり、私たちの経済活動・社会活動はこの技術を通じて著しい発展を遂げました。ほんの数十年前には考えられなかった状況です。
かつて、通信技術・セキュリティ技術の核をなす暗号は、国家の独占物でした。暗号の研究は国家機関に限定され、また暗号アルゴリズムも機密に指定され、アクセスできないものでした。
民間の研究者やハッカーたちが暗号アルゴリズムを普及させなければ、インターネットは現在のような姿にはなっていなかったでしょう。
従来の陸海空戦力とは異なり、サイバー空間においては国家・軍が防衛の主力となることはありません。国のサイバー部隊が私企業のシステムやネットワークを監視し、通信を検閲するという体制を望む人間はほとんどいません。
大規模な監視・検閲体制を敷く中国や、国内をインターネットから分離する計画を進めているロシアではまた事情が異なりますが、私たちが自由なインターネットを活用し事業を展開する限り、情報資産を守る責務は私たち自身に課せられています。
SOMPO CYBER SECURITYが提供する価値
SOMPO CYBER SECURITYでは、保険およびリスクマネジメントサービスで培った知見を活かし、お客様が自らサイバーセキュリティ戦略を確立し、実践するための支援に取り組んでいます。
サイバーセキュリティ対策の第一歩であるセキュリティ管理体制およびリスクの可視化や、戦略を立案し、脅威に備えるためのインテリジェンスサービスを提供しています。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
