サイバーの脅威に打ち勝つ未来――いまのセキュリティに足りないものって何ですか？

いくらセキュリティ対策をやっても脅威は防げない……。実はそんな状況が未来に大きく変わるかもしれない。そのために、いまの企業ができることは何だろうか？　日本ヒューレット・パッカードのエバンジェリストに聞いてみた。

[PR／ITmedia]

PR

　「わが社は大丈夫か？」「また金がかかるのか？」――情報流出などのセキュリティ事故が世間で話題になる度に、企業の経営者はセキュリティ担当者にこんな質問を繰り返す。セキュリティ担当者にとっても、実に困る質問だ。いったい、いつまで、どこまで対策をしないといけないのだろうか……。

　「攻撃者有利」といわれるサイバーセキュリティの世界は、攻撃側が次々に繰り出す手口に、防御側が対応を強いられる“いたちごっこ”の状態が続いてきた。しかし、そんな状態を打開できる可能性がないわけではないようだ。攻撃者に打ち勝つ未来を実現してくために、いま企業に必要な取り組みは何か。日本ヒューレット・パッカードのセキュリティエバンジェリスト 増田博史氏と、サイバーディフェンスエバンジェリストの塩屋通宏氏に聞く。

サイバー攻撃者には永遠に勝てない？

　「国家が仕掛けるサイバーテロのように現在の脅威は、もはや企業単独で対策ができる範囲を優に超えてしまっています。そんな脅威に立ち向かえるのは国防軍のような対策しかありません。しかし、視点を変えて企業ができるセキュリティ対策に取り組めば、この状況を変えられると考えています」

　増田氏がこう指摘するのは、米Hewlett-Packard Enterprise (HPE)の調査・研究機関が取りまとめた、ある数字が根拠になっているという。それは、年間12兆円と試算されるサイバー犯罪のブラックマーケットの規模だ。

　このブラックマーケットの規模に対して、防御側となる世界の情報セキュリティ市場の規模は、多くのリサーチ機関により、年間約8〜9兆円ぐらいになると言われている。調査基準の違いはあるものの、仮にこれを世界中の企業や組織がセキュリティ対策に費やす年間予算の総額とみなせば、攻撃側と防御側との資本力の差は約4兆円となり、「攻撃者有利」といわれる状況が見えてくる。しかし、この差を見て防御側が諦めざるを得ないほど、攻撃側が絶対的に有利だとは言い切れないかもしれない。

日本ヒューレット・パッカード セキュリティエバンジェリスト 増田博史氏

　「この差を企業が単独でひっくり返すことは不可能ですが、防御側の力を結集できれば、決して不可能ではないでしょう。もちろん企業の予算や人材には限りがありますから、セキュリティ対策を無限にできるわけではありません。しかし実は、その理屈がサイバー攻撃者側にもあてはまります」（増田氏）

　増田氏は、サイバーセキュリティの脅威が“人災”であると断言する。天変地異のような地球規模の自然災害は、人間にとって予測不能なものであり、地球の総人口70億人が全滅するような甚大な被害をもたらす可能性も考えられる。しかし、人災であるサイバーの脅威は、70億人全員がハッカーになるようなことはなく、あくまで地球の総人口の社会構造の中で起きている範囲のリスクであるという見解だ。

　「つまり、全人類がサイバー攻撃者になることはあり得ないとすれば、ブラックマーケットが青天井で拡大していくとは考えられません。攻撃側と防御側のパワーバランスに注目してコントロールができるようになれば、サイバーの脅威は縮小させることができるリスクです」（増田氏）

　一人でも、一社でも多く防御側が力を合わせて、防御側を成長させ、かつ、攻撃側のアドバンテージを削ぐことができるようになれば、サイバーの脅威はどんどん縮小して防御側が有利になる――もちろん今後も攻撃側が勢力を強めていくことは十分予想されるが、企業や個人が絶対に太刀打ちできないものではないというのが、増田氏の考えである。

　そんな未来を理想ではなく現実のものとしていくために、企業はどのようなセキュリティに取り組めばよいのだろうか。

攻撃側の“事業構造”とは？

日本ヒューレット・パッカード サイバーディフェンスエバンジェリスト 塩屋通宏氏

　以前に在日米軍施設の情報システム部に所属した経験から、サイバー攻撃者の実態に詳しい塩屋氏は、「いまや私たち企業のビジネスにとって最大の競争相手は攻撃側のブラックマーケットだといえます。攻撃者側もビジネスとして成功するために、企業と同じような事業構造を持っていることを理解することが重要です」と話す。

　企業では利益の獲得あるいは社会への貢献といった目的を達成するために、ビジネスに多くのスペシャリストや部門が関係する。それは攻撃者側も同様であり、サイバーの脅威の中にはテロのような混乱を引き起こすことを目的とするケースもあるが、多くの攻撃者は金銭の獲得をゴールに置いている。その最終目的を達成すべく攻撃者は、企業のようにさまざまな分野のスペシャリストが関わりながら攻撃をビジネスとして実行している。

　下図は、HPEがサイバー攻撃者の事業構造を分析した結果を示したものだ。

出典：“The Business of Hacking”, 2016 Hewlett Packard Enterprise Development LP.

　ご覧になると分かるように、サイバー攻撃組織は、攻撃プロセスに関わるさまざまな機能を各分野のスペシャリスト集団が分担して目的を遂行する体制を構築している。

　例えば、開発者は攻撃に必要なマルウェアや脆弱性を突くためのエクスプロイトキットといったツールの開発や改良が主な任務だ。人事は、攻撃に加担する人間の雇用やその人物の経歴のチェック、育成支援を手掛ける。ファイナンスは、攻撃担当者が入手した機密情報をブラックマーケットで売買する業務を担当する。法務は、組織が標的とする企業の所在国などにおける法執行体制などの状況を研究し、攻撃行動に伴う刑罰などを調査し、リスクを低減させることが役割だ。

企業のセキュリティ対策＝攻撃側のリスクという関係

　「日本はよくサイバーセキュリティの取り組みが米国に比べて遅れているといわれますが、実はIT利用に対する取り組みの違いからもその理由がうかがえます。ITツールに関して日本は、米国のように良いものを既に導入していますが、米国はIT活用を推進する意識が強いのに対し、日本は有効に使いこなすことができていません。セキュリティ対策も同じです」（塩屋氏）

　こうした実態から塩屋氏は、企業のビジネスと攻撃者のビジネスは、世界規模でみれば、同じ経済マーケットに同居しているため、表裏一体の関係にあると解説する。防御側の企業が価値を守り、高めることは、攻撃者にとってはリスクであり、逆に、企業にとってのリスクとは、攻撃者側の価値になるという。

　「例えば、利益を獲得するためにビジネスのスピードを高め、安全な環境を作っていくことが企業の価値だとすれば、攻撃者にとっては攻撃を遂行するために必要な時間を確保できなくなるというリスクになるわけです。つまり、ビジネスにまつわるさまざまな価値をセキュリティ対策によって高めることは、攻撃者に狙われる隙や機会を奪うことにつながります」（塩屋氏）

　次の図は、企業の価値を守り、高めて攻撃者側を不利な状況に追い込んでいくためのセキュリティ対策の考えた方を示したものだ。

出典：“The Business of Hacking”, 2016 Hewlett Packard Enterprise Development LP.

　企業が安全な環境により利益を増やすことは攻撃者の利益を減らすことになるため、ビジネスに関するデータは全て価値あるものとして暗号化する。仮に暗号化したデータが攻撃者に盗まれても、攻撃者にとってそのデータの内容を知るためには、さらに時間と労力を使うことになり、コストパフォーマンスが悪いものとなる。基本的なセキュリティ対策とされる脆弱性の管理、あるいはデフォルトパスワードの使用禁止といった方法も、攻撃者にとっては攻撃の時間短縮というメリットになるため、必ず実施すべきというわけだ。

いまのセキュリティに足りないのは未来に向けた視点の転換

　残念ながら、多くの企業ではこうした基本的な方法を含めてセキュリティ対策への取り組みが徹底されておらず、冒頭に挙げた「攻撃者有利」という非常に好都合な状況を攻撃者側にもたらしている。その背景には、「得体の知れない攻撃者には絶対に勝てない」という防御側の後ろ向きの意識があるのかもしれない。

　しかし増田氏や塩屋氏が指摘しているように、HPEの分析からは攻撃者有利といっても、決して絶対的な差があるわけではないことが分かる。企業が単独で守ることが困難であるなら、防御側が力を合わせて立ち向かえば、その差を埋めていける可能性が開けてくる。

　いまのセキュリティ対策に足りないこととは、そのような後ろ向きの意識を前向きなものにできる視点の転換であり、一社一社の企業あるいは一人ひとりの個人のレベルから視点を変えて、取り組むべきセキュリティ対策を一つ一つ確実に実践していくことが必要だ。そして、防御側の着実な取り組みが大きな力となって攻撃側に不利な状況を生み出せれば、サイバーの脅威がもたらすリスクを小さなものにできるだろう。

　塩屋氏は、「欧州ではプライバシーを守るための規制強化の取り組みが進み、米国では企業が『Hunt Team』と呼ばれるサイバーの脅威を積極的に捉えて対応していくという活動が広がっている」と話す。HPEは、世界中のこうしたセキュリティにまつわる取り組みを長年にわたって支援し続けてきたといい、「日本ではIoTを始めとする新たなビジネスが生まれおり、HPEとしてもその価値を守るために尽力していきます」と語る。

　増田氏は、「安全なITインフラを支えることを通じて、社会全体に貢献していくことがHPEの使命です。企業のビジネスを取り巻く状況を変えていくためにも、ぜひ視点を変えてセキュリティ対策に取り組みながら、一緒に安全な情報社会の未来を作り上げていきたいですね」と話す。

　

　サイバーの脅威は、いまやITやテクノロジーだけの問題ではなく、全世界の人間社会における大きな課題となった。サイバーセキュリティは、社会に貢献する大きな取り組みの1つであり、先の見えないゴールではない。今こそ、攻撃者の存在や攻撃手法を理解し、安心・安全な社会、生活を手に入れるためにも、一人一人の個人が意識を改革して力を結集する時が来ている。