NIKKEI

トップ>企業マネジメント最新トレンド>企業の生命線!情報漏洩の防止に必要なこと

企業の生命線!情報漏洩の防止に必要なこと

情報セキュリティー・コンプライアンス・内部犯罪などのスペシャリスト

第2回標的型メール攻撃などの外部攻撃の検知と防御

数年前に日本がもしサイバー戦争に巻き込まれたらどうなるかを考えたことがあった。元防衛省の幹部の方、そして時期はずれるが米国防総省の関係者と議論したことがきっかけである。元サイバー防御隊の初代隊長の伊東寛氏も2012年に『「第5の戦場」サイバー戦の脅威』を執筆されており、以前よく酒場で話されていた内容が蘇ってきており懐かしい。私がこれから述べる憶測はこれらがすべて詰まったものであるので、ある程度近似はご了承頂きたい。(原作は4年程前にどこかのセミナーで公開しているはずだが年間40前後の講演会を開催しているので全ての講演内容を保存していない)

ある日、いつもの通りスマートフォンのアラームで目が覚めた。だがそれ以前に周辺の救急車の音で相当に眠りが浅くなっていたのも事実であった。電気をつけようとしたが駄目だった。

テレビも、ラジオも・・・窓を開けてただならない状況から直ぐに外に飛び出したが、近所の交差点で車同士の衝突音が聞こえた。SNSは何とか通じていたので友人たちの情報からは信じられない内容が満載となっていた。

信号機が全て青・・・だから車は衝突してしまっている。成田に近い友人は航空機同士が滑走路で衝突している。航空管制システムが乗っ取られている様だ。エレベーターもエスカレーターも信じられない。ドアが開いてもそこにエレベーターがない!

パソコンも言うことを聞いてくれない。

そうやって大混乱をしている最中、既に防衛省の中庭、国会議事堂、皇居内には仮想敵国の武装した攻撃ヘリコプターと垂直離陸戦闘攻撃機が既に着陸し、横須賀基地では既に大きな戦闘行為が米軍との間で発生していることについて国民が知る様になるには数日間を要することになるのであった。

最初から脅かしているつもりはない。実は既に相当なサイバー攻撃(戦争)が実際にされているのだが、日本人の国民性である「目に見えないものはないと同じ」「情報は価値が低い」という極めて大きな誤りがそこにある。現在では物理的にミサイルや原爆で攻撃したのでは、双方にとって良くない結果を生んでしまう。現在の戦争は明らかにサイバーに依存する可能性が極めて高いという事実から目を背けている。国民も、マスコミも・・・

日本年金機構のサイバー攻撃の分析が先日NHKにて放映された。私ども情報セキュリティー専門家としてすべて想定内の事象であったが、

  • 1:このサイバー攻撃は日本年金機構だけではなかった
  • 2:漏洩件数は2万件を超えるがそのほとんどが漏洩自体に気が付いていない

とうことは一般の方々にはショックだったではなかろうか。

特に2については以前米国防関係者の方々とホテルでお会いした際にはっきりこうお話しされている。

  • 1:私どもは統計学的推論や世界のネット監視の実態から日本では少なくとも公表している以外に1000億円以上もの漏洩があること
  • 2:その大部分が漏洩している会社ですら気がついていないこと

数年前に私の講演をお聞きしている方々であればこれが事実であることはお判りだと思う。

また最近では、標的型メール攻撃により日本年金機構の体質が問われることになり、当然その体質が社会保険庁時代とほとんど変化がないということに対することについては私も批判しているが、それより「『怪しいメール』を発見してそれを報告する自信がない」「こういう場合に「職員へのペナルティーに向かうのは誤りである」と忠告している。

またその後、昨年2015年10月26日に総務省が「実践的サイバー攻撃演習(CYDER)」を実施した。昨年までと違い、今回は日本年金機構での事象を参考に架空の「サイダー省」が標的型攻撃メールに襲われたという想定で、不審な通信内容などを解析して対策を講じるというものであったという。これについても、私は演習自体に意味が無いとは言わないが、この演習のトリガーが「怪しいメールを発見」ということに大きな違和感を覚えさせていると断じている。

なぜなら、一般の職員が自分のところに来たメールを自分で解析し「これは怪しいメールである」と報告するところがトリガーとなっているからであり、私がその職員なら自信を持って対応出来ることは無理だと思うからだ。IPAではサンプルを公開し「これが怪しいメールである」と解説している。ではその通りにすればいいのか?

そんな馬鹿なことはあり得ない。先方も様々なウイルスを開発し、裏ネットでは数学科の博士号や修士号を取得した若者を大量採用して犯罪を行っている。だからIPAの公開情報通りの怪しいメールを作成し続けるか? 否、である。確かに一部のメールやアダルト系の怪しいメールではその対策も有効だろう。でも本当に巨額の金銭的価値を持つ情報や国家機密を狙う高度なネット攻撃を仕掛ける一部の犯罪集団によるものはそんな事では対処できない。それをサイバーセキュリティーにおける最前線を「人間系」に委ね、その人間がミスをすれば糾弾されるならせめてメール開封における専門家集団に徹底したサイバースキルを習得させ、専門家として開封業務をさせればいい。それを一般的な職員に委ねるのは責任回避以外なにものでもない。しかもこの辺は相当なシステム化も可能な領域でシステムやツールでガードの硬い障壁を構築することはさほど難しいものではないはずだからだ。(専門家なら掃いて捨てるほどいるはずだ)

また、世の中はそんなレベルではないということも是非知ってほしい。

2013年3月20日、そう3年程前に韓国で大規模なサイバー攻撃が発生し、放送局や銀行ATMなど5万台近い端末が破壊された。その日本版が多分2,3年以内に発生するはずという、私のセミナー通りになったのがこの日本年金機構だったのかもしれない。

ただ、韓国の場合は物理的破壊が主体だったので簡単に表面化したが、今回は「情報の盗難」であるために被害者が被害者として認識出来ないと手は挙がらない。

もっというならセミナーでは被害を受けた会社や集団の中には認識しても手を挙げないということもあり得るということである。

ハードもしかりで、もうネット記事でも3,4年前から問題になっているスマホの大手製造会社であるHuaWeiとZTE、そして昔IBMブランドのレノボなどについて米国はその機器の使用を防衛に関する重要なインフラ部分のサーバーやPCなどについて認めていない。たとえマイクロソフト製でもオバマ大統領の指示で調査をした結果25%程度の工場出荷製品(中国製)からは不正チップが混入されている。

これでは数十億円かけて「情報漏洩防止システム」を構築しても全く意味を持たない。ハードレベルで乗っ取られてしまえるからだ。

オバマ大統領は2014年の2月13日に「サイバーセキュリティーを強化する大統領令に署名、発動させた」のである。同日夕方の演説では「サイバーセキュリティーの脅威が、地域的あるいは全国的に、公共の衛生や安全、経済的安全保障、国家安全保障などに壊滅的な影響を与える結果となる可能性がある基幹インフラに重点を置く」とし演説で、「米国の敵は我が国の送電網や金融機関のネットワーク、航空管制システムを妨害しようとしている。"安全や経済に対する現実の脅威に直面しながら、なぜ何の対策も取らなかったのか"と、何年も経ってから後悔することはできない」と述べた。

なぜ日本はこれほど能天気なのだろうか?情報の漏洩(盗難)とは平たくいうと日本人が過去、何十年ときには100年以上に渡って築いてきた「技術」という財産を根こそぎ奪われ、安価な労働力でその国の産業自体を死滅させられた米国の例もある。日本でも重要な産業がそうならないという保証はどこにもないのである。

あなたの軽率なファイルのバックアップ、クラウド化、脆弱なHP、脆弱な社内システムによって10年後に大きな悲劇を生ませないためにぜひ心得ていきたい。

プロフィール

情報セキュリティ・コンプライアンス・内部犯罪などのスペシャリスト
萩原栄幸
[所属・役職]
日本セキュリティ・マネジメント学会常任理事
「先端技術・情報犯罪とセキュリティ研究会」主査
社団法人コンピュータソフトウェア著作権協会技術顧問
CFE 公認不正検査士
[略歴]
旧通産省の情報処理技術者試験の最難関である「特種」に最年少(当時)で合格。2008年6月まで三菱東京UFJ銀行システム部に在籍、実験室「テクノ巣」の責任者を務める。
組織内部犯罪やネット犯罪、コンプライアンス、情報セキュリティ、クラウド、スマホ、BYODなどをテーマに、講演・執筆・コンサルティングと幅広く活躍するセキュリティの第一人者。
著書に「個人情報はこうして盗まれる」(KKベストセラーズ)や 「よくわかる!情報セキュリティの基本」(PHP研究所)など多数。

[バックナンバー]企業の生命線!情報漏洩の防止に必要なこと

企業マネジメント最新トレンド 一覧へ

日経産業新聞 ビジネス動画 動画で見る、話題の新製品・先端技術 詳しくはこちら

日本大学 通信教育部

月間アクセスランキング

  1. 企業マネジメント最新トレンド
    ISO9001及びISO14001の具体的な改正内容とその対応のスケジュール
  2. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正における具体的な取組み方法
  3. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正を契機としたISOの活用方法
  4. 企業マネジメント最新トレンド
    正しい売上・利益計画の立て方
  5. 企業マネジメント最新トレンド
    ISO9001及びISO14001の2015年改正の背景と意図

日経産業新聞ピックアップ

2017年10月24日付
  • フィットビット、日本で企業向け開拓 まず三菱自健保向け健康管理
  • 星明かりでも高感度撮影 キヤノン、ネット対応カメラ
  • ゴム、輪状化合物で強く 東工大
  • 日本ガイシ、低レベル放射性廃棄物の重さ50分の1に
  • 世界のEV普及、2025年から加速

経営喝!力 ビジネスIT活用index