最近うわさのサイバー攻撃を斬る！：萩原栄幸が斬る！ IT時事刻々（2/3 ページ）

[萩原栄幸，ITmedia]

誤解を恐れずに言えば

　筆者を含め、情報セキュリティ専門家は思考することを避けてきたのではないだろうか。ことは単純である。

　トロイの木馬を仕込まれて加害者の端末から指令を出し、被害者の端末の画面を操り、CDトレイをOPENにする――すると、聴講者の多くが「すごい、こんな行為までできるのか」と喝采する。コンピュータウイルスのデモでよくみられるシーンだ。数年前まで筆者も行っていた。

　しかしその場では警告していたのが、「実際の犯罪者はこういうことは絶対にしない。苦労して、ここまで深く潜入した。だから目立たずこっそりと、まるで深海の底にいるアンコウのように獲物（お金になる情報）が来ると、すぐに気が付かれないようにコピーして、また何ごともなかったかのごとく情報をリリースする。それを何年も何年も地道に繰り返す。そうすることで、企業や政府の全容を掌握し、万が一の際には、何も手出しができないうちに完全にシステムごと掌握してしまうような強権も発動できる。これが行われた時に、初めてその恐怖が目の前に現れるのです」ということだった。

　今回の一連の事件に対する筆者の感想は、ヒンシュクを買うかもしれないが、「運が良かったかもしれない」というものである。仮に詳しく調査して、現状では犯罪者側に渡った情報が軽微、もしくはまだ組織そのものを滅亡に追い込むほどではなかったなら、今からできることは幾らでもある。

　ただし、過去の対策や過去の専門家の意見は全く無視していい。現状を踏まえ、「業務プロセス自体を変更しても構わない」との気概で初心に戻る。多層防御のプロセスによっては、わずか100円しかかからない防御も効果的な対策になり得る。そして費用対効果を考慮し、「包括的防御」に移行すべきだと感じる。

　今回の一連の事件を一つひとつ原因や対策について分析することは大事かもしれない。だが経営側の視点や、政府側の視点でみるなら、ネットのセキュリティ対策、ウイルス対策、クライアント防御、サーバ防御、クラウド対策、スマートフォンやUSBメモリ対策という技術者視点ではなく、結局のところは“情報を守る”という究極的目的について再考すべきである。

　情報レベルの整理――国家機密的なものと個人情報的なものとは情報レベルが違うと考える。そして、レベルに応じた防御システムを多層化する。それはソフトウェア、ハードウェアから始まり、職員のメンタル面や環境などに及ぶ。技術レベルの方策を言う専門家より先に、優秀な「戦略」を策定し、その思考で「戦術」を打てる優秀な指揮官を活用すべきだ。

　だが、その点で政府と民間には実に大きな思考の違いが横たわる。本稿ではあまり関係がないので割愛するが、恐らく民間レベルしか思考できない人がこの作業を担うと、「それは絶対にあり得ない」と思われる事象にぶつかることが多いだろう。霞が関WAN、LGWANをはじめ、各省庁のLANなどは既に“汚染されている”と考えてもおかしくない。早く組織横断の取り組みを立ち上げ、まずは深海のアンコウを海上に浮上させないといけないだろう。この案件は、ひょっとすると最も重要な国家案件なのかもしれない。

　安心材料としては、報道によれば日本周辺国に情報がリークしているという証拠が幾つも見つかったという。これだけの情報ではなんとも判断できないが、筆者が仮に攻撃者なら、そんな粗末なことをするわけがない。踏み台を使って自分を幾重にもガードし、第三国にある操れるサーバを幾つか経由して、自国ではない国のPCから情報をコピーする。そこでは情報を物理的に分断させ、別ルートで自国に送るようにするだろう。だから今回の一連の事件は、単純な「サイバーテロもどき」の工学部の学生が攻撃者だったというケースも当然考えられる。今までの公開情報だけで判断するとすれば、その可能性が高いと思われる。ただし最悪のケースを常に考慮し、行動の中に含ませることが専門家に求められるのだが。

今後の情報セキュリティ対策

　原則論を言わせてもらえれば、今後はそれぞれの防御層において効果的な対策を施す。企業全体として多層防御がきちんと実現できているか、そこには職員や従業員向けの情報セキュリティの啓蒙教育やコンプライアンス教育、そして、職場の体質改善というレベルの取り組みも含まれる。

　「してはいけない」「社則で禁止されている」という思考の押しつけは、心理学的に好ましくない。「なぜ、それを守るべきか」「守らないとどうなるのか」「1万人の中であなただけ守らなければそれは堤防が決壊する穴になってしまう」といった要素で固めることが重要だ。しかもこれらは、あくまで基本である（だからこそ専門家の出番なのだが）。そして応用編をどう自社に組み込んでいくのかを真剣に考える時期にやっと到達したのかもしれない。今回の事件をきっかけにして、読者の環境ではどうすべきかを考えていただければ幸いである。

　情報セキュリティの世界に、「完璧」「100％」はあり得ない。窃盗犯は、社内の状況をきめ細かく観察し、すき間を縫うように侵入してくる。99％の防御は比較的簡単だ。残りはシステムの問題より、心理学上の盲点やたった一人の人間の“抜け落ちた”点を突いてくる。毎月の検査や部門ごとの徹底した調査という地道な対応が重要なのだ。例えば、怪しいメールは開かないこと――これだけみると簡単なようだが、実際に許可を得て筆者が特定の数人にメールを送ると、何割かの人は開いてしまう。添付ファイルも同様に開いてしまう人がまだまだ多い。これが実状である。もっとも脆弱な部分とは「人間」だと筆者は考えている。