実践的サイバー演習をお手頃価格で提供 レジリエンス強化に役立つNICTの取り組み：ITmedia Security Week 2023秋 イベントレポート（1/2 ページ）

ランサムウェアをはじめとする脅威が激化する今、セキュリティ担当者には侵入を前提にした対策が求められている。NICTはこの実現に向けて役立つ仕組みを複数提供している。特にサイバーレジリエンス強化に利用できるものを紹介しよう。

[斎藤公二，ITmedia]

　ランサムウェアが激化する今、企業は脅威の侵入を前提に、万が一被害に遭った場合の対応および迅速なビジネスの復旧力、つまりサイバーレジリエンスの強化が必要だ。何をすれば実現できるのか。

　情報通信研究機構（NICT）の盛合志帆氏（サイバーセキュリティ研究所　研究所長）がダークネットの動向調査などを交えて対策を示した。

本稿は、アイティメディア主催イベント「ITmedia Security Week 2023 秋（2023年8〜9月実施）における盛合氏の講演を編集部で再構成した。

ランサムウェア激化によって経済的損失も拡大

　サイバー攻撃が高度化・巧妙化する中で完全に攻撃を防ぐことは困難だ。これからのセキュリティ対策においては、サイバー攻撃の動向を踏まえた情報入手や、侵入を前提に素早く脅威に対処する初動対応体制が重要になる。

　NICTのサイバーセキュリティ研究所では、高度化・巧妙化するサイバー攻撃に組織が対抗できるようにさまざまな取り組みを進めている。今回はその中でもサイバー攻撃のリアルタイム大規模観測・分析システム「NICTER」によるダークネット観測と、サイバー防御演習「CYDER」を紹介する。

　盛合氏ははじめに、警察庁や民間企業のさまざまな調査結果から近年のサイバーセキュリティを取り巻く状況を解説した。

　「IBMの調査によると、2022年のサイバー攻撃のうち金銭要求事例の割合は27％に上り、金銭目的のサイバー攻撃が増加しています。国内では製造業やサービス業、医療機関、小売など業種や規模にかかわらずランサムウェア被害を受けています。警察庁の『令和4年におけるサイバー空間をめぐる脅威の情勢等について』によると2022年度のランサムウェア被害件数は230件で、このうち中小企業が121件と半分以上を占めています。さらにランサムウェア攻撃を完了するまでの時間は2019年に2カ月かかっていたのが、2022年には4日未満になるなど短時間で効率良く攻撃できるように進化しています」（盛合氏）

　攻撃者の傾向としては分業化やエコシステム構築が進行している。二重恐喝の他、RaaS（Ransomware as a Service）に代表されるように、ハッカー集団によるランサムウェアのビジネス化が進んでいる。侵入の手口としてはフィッシング詐欺が感染手口となったインシデントの割合が41％という状況だ。

　盛合氏は「セキュリティ企業のCovewareの調査によると、ランサムウェア攻撃による身代金の平均支払額は約25.8万ドルで、日本円に換算すると約3700万円です。先ほどの警察庁の調査でも、インシデントの調査や復旧に要した費用は1000〜5000万円が割合として最も多くを占めていました。さらに日本サイバーセキュリティ・イノベーション委員会の資料によると、セキュリティインシデントの事後開示によって株価は平均で10％ダウンしています」と語る。ランサムウェア脅威による経済的損失は無視できない規模になっている。

盛合氏が指摘する日本企業におけるセキュリティの“弱点”

　現状に対する経営層の意識にも国内と海外では違いがみられる。NRIの調査「NRI Secure Insight 2022」によると、セキュリティ対策実施のきっかけが経営層のトップダウンによるケースは、日本20.2％に対して米国では55.3％だ。

　盛合氏は「多くの米国企業ではトップダウンでセキュリティ対策が講じられているのに対し、日本企業では非常に少ないという結果でした。他国ではセキュリティリスクが顕在化する前にCISO（最高情報セキュリティ責任者）がリーダーシップを発揮してトップダウンで指揮を執っているのに、国内では他社でセキュリティ事故が起きたところでやっと動き出す、そのような現実があります」と指摘した。

　NICTではこの現状に対し、「サイバーセキュリティ技術」「暗号技術」「サイバーセキュリティに関する演習」「サイバーセキュリティ産学官連携拠点形成」「パスワード設定に不備のあるIoT機器の調査」という5つの項目で国全体のサイバーセキュリティ対応能力の強化に向けた取り組みを推進している。

　「暗号技術」としては、安全なデータの利活用とプライバシー確保に向けた研究開発や、電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクト「CRYPTREC」の運営を行っている。また、「パスワード設定に不備のあるIoT機器の調査」については、サイバー攻撃に悪用される恐れのある機器の調査と注意喚起を実施する取り組み「NOTICE」を総務省及びインターネットプロバイダーと連携して進めている。

　「産学官連携拠点の形成」は2021年4月に新たに組織されたCYNEX（サイバーセキュリティネクサス）において、サイバーセキュリティ情報の収集や蓄積、分析、提供を実施し、社会全体でサイバーセキュリティ人材を育成するための共通基盤の構築に取り組んでいる。

　盛合氏が講演で詳しく解説したのが「サイバーセキュリティ技術」と「サイバーセキュリティに関する演習」という2つの取り組みだ。