“凶悪なライオン”から身を守る キアラン・マーティン氏が語るサイバー脅威への反撃方法

サイバーセキュリティ攻撃が巧妙化する中で、組織はどのように対処すべきなのか。「『人間こそが最も弱い鎖』という言葉を禁句に」と話すキアラン・マーティン氏が反撃方法を解説した。

[宮田健，ITmedia]

　国際的な非営利会員団体でCISSPの認定機関である(ISC)²が主催するイベント「(ISC)²Security Congress 2022」（開催期間：2022年10月8〜12日）が米ラスベガスにて開催された。

　2022年10月11日には、National Cyber Security Centre（英国国家ナショナルサイバーセキュリティセンター）の創設者であるキアラン・マーティン氏が「Cybersecurity Insights」と題した基調講演を行い、「デジタルへの世界的な不安を前に、私たちがどのように反撃すべきか」が語られた。

今そこにある課題　どう立ち向かう

　マーティン氏は講演の冒頭で「サイバーセキュリティを考えるのは『私たち自身』『家族の安全』『組織』『働く会社』のためであり、サイバースペースは共有地として守るべき対象だ」と述べた。

　マーティン氏は、これらを実現する上で立ちはだかる問題として「構造的なデジタル環境の不安定さ」「危害の根源にあるもの」「危害が及ぼす影響」の3つを挙げる。

図1：サイバーセキュリティにおける課題について解説するキアラン・マーティン氏（出典：基調講演を筆者撮影）

　マーティン氏は問題提起に伴い、“インターネットの父”であるヴィントン・サーフ博士の話を挙げた。マーティン氏は「かつて、サーフ博士がTCP/IP（インターネットプロトコルスイート）を作り出したとき、彼は『これが後にデジタルスーパーハイウェイにつながるとは予想できなかった』と述べた」と話し、「2019年にサーフ博士は『人々がネットワークを利用して意図的に窃盗や詐欺を行うことも想定していなかった』と述べた」と続けた。

　これについてマーティン氏は「ネットワークはセキュリティを考慮せずに作られており、想定外の負荷にさらされている。将来のサイバーセキュリティを考える際に構造的なデジタル環境の不安定さを知ることはとても重要だ」と見解を述べた。

図2：“インターネットの父”であるヴィントン・サーフ博士の発言を引用するマーティン氏（出典：基調講演を筆者撮影）

　「現在、国家間でもサイバー空間の不安定さを悪用する攻撃が行われている。かつては映画『ウォー・ゲーム』（1983年）のようにティーンエージャーがハッキングを行い、壊滅的な核戦争の可能性を表現していた。しかし実際に起きていることは小さな害の集合体のようなものだ」（マーティン氏）

　この「小さな害の集合体」には、「盗まれる」「弱体化させられる」「傷つけられる」といった3つのグループに分けられる悪質なサイバー行為があるとマーティン氏は指摘する。

図3：サイバー攻撃で私たちが危害を加えられている原因（出典：基調講演を筆者撮影）

この状況で“反撃”を行うには

　マーティン氏はこれらの現状を踏まえ、どう“反撃”すべきかを解説した。同氏はまず「反撃にはリスクを管理してパートナーシップを持ち、協力し合い、そして安全なデジタル環境のためのビジョンに従うことが重要だ」と指摘する。

　「サイバーセキュリティのリスクの中には凶悪で犯罪的なものがある。例えば、ライオンから逃げるようなものだ。私たちはライオンよりも速く走る必要はないが、ライオンから逃げている他の人たちよりも速く走らなければならない」（マーティン氏）

　マーティン氏は続けて、「反撃には非技術的な要素を含めた『レジリエンス』（回復力）が重要だ」と述べた。その上でリスクを可能な限り最小化し、ガバナンスの在り方を検討する。組織はセキュリティ向上のためにリスクと組織が持つ技術的能力を把握し、その仕組みを理解する人材を獲得する必要がある。これをマーティン氏は「サイバーディフェンスの三重奏」と表現した。

　「組織で起きている問題の1つは、人々が右往左往していることだ。ガバナンスが全てだ。取締役会が組織への伝達やトレーニング、その他の責任を持つことが重要だ」（マーティン氏）

図4：マーティン氏は「反撃のためには、リスクを管理し、パートナーシップを活用し、ビジョンを持つことだ」と話す（出典：基調講演を筆者撮影）

「人間こそが最も弱い鎖」という言葉を禁句にせよ

　マーティン氏は「『人間こそが最も弱い鎖』という言葉をサイバーセキュリティにおいて禁句にしたい」と述べる。

　「スポーツファンの方は『あいつがいなければあのチームは素晴らしいものになるのに』と思うときがあるかもしれない。もし本当に皆さんが誰かを悪役にしたいのならば、新しい人を入れればいい。しかし、本当にその人が原因なのだろうか。優秀なチームの誰かがリンクをクリックして、ランサムウェア被害に遭ったらその人の責任なのだろうか。私は違うと思う」（マーティン氏）

　マーティン氏は「世界各国に存在するオープンなコミュニティーのつながりがより良いデジタル環境を構築できる」と話し、「未来を完全には予測できないが、セキュリティに対する考え方を良い方向には変えられる。新たなテクノロジーも安全性とセキュリティの確保に時間がかかっているだけで、技術があれば必ず未来は実現できる。将来を見据える上で、自分にとってだけではなく『家族にとって良いこと』『組織にとって良いこと』を考えよう」と述べ、講演を締めくくった。