新しいフェーズを迎えたサイバーセキュリティ
〔1〕いつインシデントが起こってもおかしくない
「第1回の重要インフラサイバーセキュリティコンファレンスを開催した2017年頃、多くの参加者から、どこの会社がサイバー攻撃を受け、その感染源はどこですか、と熱心に聞かれました。しかし現在では、そのような質問をする人はいなくなりました。それは自分の会社が、いつマルウェアに感染してもおかしくない状況であることを認識するようになったからです」と、電気通信大学 名誉教授の新 誠一氏は語る。
このような状況の変化を迎える中で、DXという言葉が産業分野を問わず広く普及し、企業や組織は情報システムの老朽化によって生じる莫大な社会損失をどのように克服していくか、その取り組みが活発化している。
一方、COVID-19が急拡大し、日本では2020年4月7日に緊急事態宣言が発出され、企業や学校の多くでリモート会議や在宅勤務、遠隔教育が開始されたが、日本はいかにIT化が進んでいないかということも明らかになった。例えば、COVID-19の感染者数の集計は、旧来の電話やFAXによる手作業での集計のため、膨大な時間と労力がかかった。
そのような中、リモート作業のため、セキュアであるとされていたVPN回線を確保しようとしたら、回線が足りない。さらに使い始めたら、VPNに脆弱性があることも判明した〔図1(1)〕。このため、VPNを使用していたある企業では、重要な防衛関係の機密情報が盗まれるという重大事件も発生した。
図1 最近増加しているサイバー攻撃の例:VPNへの攻撃とEmotetによる攻撃
2019年頃からは新型のマルウェア「エモテット(Emotet)」注3〔図1(2)〕が登場し、2020年6月頃には、それによる感染事例が急速に増大した。さらにランサムウェア(身代金要求型不正プログラム)攻撃も進化してきている。実際に、日本の内外に工場をもつ自動車会社では、すべての工場の操業を停止せざるを得なくなった深刻な事件も起こっている。
〔2〕次々に結成されるISACと課題となる企業の取り組み
これらの増大するインシデントに対応するため、政府が指定する重要インフラ14分野注4では、次々に情報共有組織「ISAC」注5が設立されている。例えば、電力分野では、電力システム改革のもとに、小売電気事業者が707社(2021年2月19日現在)にも達しているが、その電力の安定供給を目指すセキュリティ対策組織「電力ISAC」が、すでに2017年3月に設立され活動している。
しかし、サイバー攻撃は、年々高度化し、企業ごとに使用されている通信プロトコルやセキュリティ対策に合わせた形のマルウェアを開発し、緻密な攻撃をしてくるようになってきた。働き方改革や新型コロナウイルスの影響もあり、リモートワークや自動化が増加してきているため、セキュリティ対策はもはやファイアウォールなどによる水際対策(境界対策)では、防御しきれない状況を迎えている。そこで浮上してきたのが、新しいセキュリティモデル「ゼロトラスト(Zero Trust)」注6である。
「今や、企業は日々、しかも秒単位で恐ろしいほどのサイバー攻撃を受けています。この厳しい攻撃の現状を認識し、企業のBCP(事業継続計画)を左右するのは、CISO(最高情報セキュリティ責任者)であり、その役割はますます重要になってきています。そして、CISOを中心に、NIST(米国国立標準研究所)やIEC(国際電気標準会議)などによるセキュリティに関する国際標準化の動向をとらえながら、サイバーセキュリティ対策を実施していくことがトレンドになってきています。」
新氏は、新しいフェーズを迎えたサイバー攻撃に対して、ISACなどとの連携を深め、CISOを中核とした全社的な企業防衛システムへの取り組みが喫緊の課題となってきていることをアピールした。
▼ 注1
DX:Digital Transformation、デジタルトランスフォーメーション。デジタル技術によって企業のビジネスモデルを変革すること。
▼ 注2
「第5回 重要インフラサイバーセキュリティコンファレンス&第2回産業サイバーセキュリティコンファレンス」
▼ 注3
エモテット(Emotet):感染力・拡散力が強いマルウェアの一種。正規のメールへの返信を装う手法で、ウイルス感染などを狙う。
▼ 注4
重要インフラ14分野:情報通信、金融、航空、空港、鉄道、電力、ガス、政府・行政サービス(地方公共団体を含む)、医療、水道、物流、化学、クレジット、石油の14分野。
▼ 注5
ISAC:Information Sharing and Analysis Center、アイザック。重要インフラにおけるBCP対策の一環として、同じ業界の事業者で構成されるセキュリティをはじめとする脅威情報の情報共有組織。ICT(情報通信)-ISAC、金融ISAC、電力ISAC、交通ISAC、J-Auto-ISAC(自動車ISAC)、Software(ソフトウェア) ISACなどがある。
▼ 注6
ゼロトラスト:Zero Trust。「すべて信頼できない」(ゼロトラスト)ことを前提とした新しいセキュリティモデル。2010年に提唱された。サイバー攻撃は「外部から」だけでなく「内部から」も起こり得ることを前提に、「通信アクセスをすべて可視化・検証すること」などによって防御する。