最新レポートにみるサイバー攻撃の実態：Weekly Memo

セキュリティ大手のシマンテックとマカフィーが先頃発表したサイバー攻撃に関するレポートから、興味深い点をピックアップしてみたい。

[松岡功，ITmedia]

大規模企業に限らない標的型攻撃

　「日米首脳会談による共同声明でサイバー攻撃対策に向けた一層の協力を明示」、「日欧の政府機関がサイバー攻撃の実態などの情報を共有する仕組みづくりへ」……ゴールデンウィークの最中にもこんなニュースが新聞紙上を賑わすほど、サイバー攻撃に関する話題はいま事欠かない状態が続いている。

　そんな折り、セキュリティ大手のシマンテックとマカフィーがそれぞれ独自のレポートを発表した。サイバー攻撃の実態やその対策における状況を示したものだが、その中から興味深い点をピックアップしてみたい。

　まず、シマンテックが5月1日に発表した2011年版のインターネットセキュリティ脅威レポートによると、同社が2011年にブロックしたサイバー攻撃は前年比81％増の約55億件に達し、マルウェア（亜種を含む）の発生も同41％増、1日当たりのWebを使った攻撃も同36％増と、まさしく急増が続いているという。

　同レポートの詳細については、すでに報道されているので関連記事等を参照いただくとして、ここではとくにいま最も注目されている標的型攻撃に対する企業の留意事項について紹介しておこう。まず、標的型攻撃と企業規模についてこう警告している。

　「標的型攻撃は大規模企業のみに限定されなくなり、攻撃の50％超が従業員2500人未満の企業を標的とし、18％が従業員250人未満の企業を標的としている。これらの企業は、規模の大きな企業のサプライチェーンやパートナーエコシステムに組み込まれているものの、十分なセキュリティ対策が実施されていないため、標的になっていると考えられる」

　そして、標的となる従業員の職務についても次のように言及している。

　「攻撃の58％が、人事、広報、営業など経営幹部以外の従業員を標的としている。これらの職務に従事する人たちは、情報に直接アクセスする権限がない場合があるが、企業内への直接的なつながりとして価値がある。また、これらの従業員は、攻撃者がインターネット上で特定しやすいため、未知の相手から事前の照会や添付ファイルを受け取ることがよくある」

　標的型攻撃については企業規模を問わず、標的となる職務も思わぬところから、とは最近になって言われ始めているが、同レポートがそれを実証した形となった。

国別のサイバー防衛状況の評価が明らかに

　一方、マカフィーが4月26日に会見を開いて説明したのは、米国で1月に公表したサイバー防衛に関する調査報告書の日本語版の概要である。

　この報告書は、同社とベルギーのシンクタンクであるSDA（Security & Defence Agenda）が共同で作成。日本を含む27カ国の政策立案者やセキュリティ専門家などへのインタビューやアンケート調査の結果をまとめたものだ。

国別のサイバー防衛状況の評価（出典：マカフィー/SDAサイバー防衛報告書）

　アンケート調査では、回答者の63％が「サイバーセキュリティを予算削減の対象にすべきではない」、57％が「サイバー空間で軍拡競争が起きている」、45％が「サイバーセキュリティは国境警備と同様に重要」、36％が「サイバーセキュリティはミサイル防衛よりも重要」などといった結果が得られたという。

　このレポートの詳細についても、すでに報道されているので関連記事等を参照いただくとして、ここでは同報告書の“肝”として記されている国別のサイバー防衛状況の評価について取り上げておこう。

　この評価は、米国の元国防次官補代理（サイバー情報保障担当）であるロバート・レンツ氏が作成したリスク評価モデルをベースに、主要23カ国のサイバー防衛態勢を5段階で表したものである。

　それによると、最上位の「5」を獲得した国はなく、イスラエル、スウェーデン、フィンランドが「4.5」、米国、英国、ドイツなどが「4.0」に位置付けられ、日本はカナダなどと並んで「3.5」との評価だった。このランキング、実際の軍事・防衛力とだいぶ異なっているのも興味深いところだ。

　同社サイバー戦略室兼グローバル・ガバメント・リレイションズ室長の本橋裕次氏は、日本の評価が「3.5」になった理由について「サイバー防衛に対する予算が非常に少ないのが大きな課題。例えば、GDPに対する割合で米国と比べると11倍の開きがある」などと指摘した。

　ちなみに、実際の軍事・防衛力では群を抜く米国については、「国防総省やFBI、CIAといった組織では圧倒的な力を保持しているが、プライバシーの問題がからむ部分などには難点がある。電力関連の拠点が非常に分散しているのもサイバー攻撃に対するリスクとしては高くなる」という。

　また、最上位に評価された3カ国については「地理的条件および歴史的背景から軍事・防衛への意識がもともと高いことがサイバー防衛力にもつながっている」、中国については「広い国土を守るインフラが整っていない」、最下位のメキシコについては「サイバー防衛よりも麻薬の取り締まりのほうが喫緊の課題」といった見方を示した。

　マカフィーによると、こうしたサイバー防衛に関する調査は世界で初めてとのこと。それこそサイバー戦争を抑止する意義があると思われるので、今後ともぜひ継続してもらいたいものだ。なお、今回の報告書の日本語版概要については、マカフィーのサイトからダウンロードして読むこともできるので、興味のある方はご覧いただきたい。

　最後に、サイバー攻撃対策において筆者が期待していることを申し添えておきたい。それは、攻撃者を特定する技術の確立だ。これはセキュリティだけでなく、システムやネットワーク全体に及ぶだけになかなか困難だとみられるが、特定の確率が高まれば、攻撃に対する抑止効果は非常に大きいはずだ。

　もっとも国家レベルのサイバー戦争になれば、それも意味がなくなるかもしれない。だが、そんな状況にだけは絶対にしてはならないと肝に銘じたい。