http://www.asyura2.com/14/it12/msg/157.html
| Tweet |
サイバー攻撃に備える
(1)狙われる個人情報 標的型など巧妙化
サイバー攻撃が世界で猛威を振るっている。米セキュリティー会社シマンテックによると、2014年につくられたマルウエア(不正ソフト)は前年より26%多い3億1700万種。毎日100万近い新たな脅威が生み出される計算だ。
攻撃の手口も巧妙化が進む。特に目立つのは標的型と呼ばれる手法だ。狙った対象にウイルス添付のメールを執拗に送るなどして情報を盗む。日本も例外ではない。14年度に検知された政府機関に対する攻撃は主なものだけで264件。うち4割が標的型だった。
奪われる情報はさまざまだ。クレジットカード番号などヤミ市場で取引され、すぐに経済的利益を得られるものに加え、最近は社会保障番号や医療記録などの漏洩が多い。6月に明らかになった日本年金機構への攻撃では、基礎年金番号や氏名、生年月日など125万件が流出した。米国でも人事管理局から2千万人分を超す政府職員らの情報が盗み出された。
攻撃者はなぜ個人情報を狙うのか。専門家の間では、あちこちから情報を集め、各国の国民のデータベースを築くためとの見方が有力。人々の行動や人脈を知り、国家や企業の重要機密を得る糸口にする目的が指摘される。テロに使われる懸念もある。
厄介なのは、システムに侵入されても気づきにくいことだ。ある調査によれば、攻撃の発覚までの日数は平均200日以上。知ったときには大量の情報を持ち出された後という例が珍しくない。絶対安全なシステムはつくれない。対策はそれが前提となる。
(編集委員 村山恵一)
[日経新聞9月7日朝刊P.17]
(2)せめぎ合う国家 日本の防御に懸念
米セキュリティー会社のマンディアントは2013年、世界が注目する報告書をまとめた。相次ぐ米国企業へのサイバー攻撃に、中国人民解放軍の「61398部隊」が関与しているとする内容だ。中国政府は否定したが、米政府は14年、同部隊に所属する5人の刑事訴追に踏み切った。
マンディアント(現在は米ファイア・アイ傘下)幹部によると、ハッカー集団は、中国やロシア、北朝鮮などに400以上ある。国家の支援を受けた中国組織の動きが特に目を引くという。攻撃手法が洗練され、大がかりになる背景に国家の後ろ盾がある。
「いかなる国家やハッカーにも、我々のネットワークを遮断させない」。オバマ米大統領は今年1月の一般教書演説で、サイバー攻撃に断固対抗すると訴えた。サイバー問題は国同士がせめぎ合う構図を強めている。
日本では1月にサイバーセキュリティ基本法が全面施行された。国や地方自治体などの責任を明確にし、司令塔として内閣に戦略本部を置くことなどを定めた。
日本年金機構へのサイバー攻撃を受け、政府は内閣サイバーセキュリティセンター(NISC)の監査権限の拡大などに乗り出した。ただ、軍のサイバー部隊を6200人に増やす米国などに比べれば体制は手薄だ。
土屋大洋・慶大教授は「自衛隊のサイバー防衛隊やNISCなどの強化が必要だ」と訴える。5年後の東京五輪に向け、日本へのサイバー攻撃が激しくなるとの見方もある。防御を一層厚くする取り組みが欠かせない。
(編集委員 村山恵一)
[日経新聞9月8日朝刊P.28]
(3)技術者不足深刻に 産業活性化が急務
サイバー攻撃に立ち向かう最前線の人材が日本は不足している。情報処理推進機構によると、企業でセキュリティーに従事する技術者は約26万5千人いるが、8万人ほど足りない。今いる技術者のうち6割の16万人は、スキルが不十分で教育、訓練が必要とされる。つまり、実質的に24万人の確保が課題といえる。
しかし、企業の動きは迅速とはいいがたい。投資の余裕がないことなどを理由に、セキュリティー人材を育成していない企業は7割にのぼる。攻撃の脅威が高まる中で、限られた技術者の奪い合いもあるという。
園田道夫・サイバー大教授は「大学、専門学校の人材供給能力も需要に追いついていない」と指摘する。企業と連携して講座をつくる動きもあるが準備に時間がかかり、教員の少なさも障害になっている。サイバー攻撃に対する社会の問題意識が薄かった代償だ。
状況をどう改善するか。セキュリティー産業を活性化し、人材を呼び込む流れを生むことが重要だ。米国にはセキュリティーの大手企業が多く、専門家としてキャリアを積みやすい。セキュリティーベンチャー企業への投資も活発だ。
政府は6月改定の「日本再興戦略」に、国際競争力のあるセキュリティー企業の創出を盛り込んだ。政府系ファンドを使ったベンチャー育成などに取り組む。
世界を見渡せば、セキュリティー技術者が力量を競うコンテストが数多く開かれている。園田氏は日本でも企業人が積極的に参加することで「技術を磨く意欲を高めるのに生かすべきだ」と話す。
(編集委員 村山恵一)
[日経新聞9月9日朝刊P.26]
(4)社外の力で脆弱性発見 ハッカーも味方に
ネットサービス会社のサイボウズは、自社のソフトやサービスのセキュリティー上の欠陥を探すのに社外の力を借りている。セキュリティーの研究者や業界関係者、学生などを協力者として募り、脆弱性を発見してくれれば報奨金を支払う。そうした制度を2014年に本格導入した。
社内の技術者も、ソフトの設計図にあたるソースコードの解析などで欠陥がないか調べている。報奨金制度はこれを補う位置付けだ。現実のシステムと同じ環境を用意し、部外者の視点や最新の手法で「攻撃」してもらい、自社では気づかない問題点をあぶり出す。
14年はこの制度で158件の脆弱性が見つかった。支払った報奨金は総額で約700万円。今年は120人ほどが協力している。
「善玉ハッカー」の技量を生かす報奨金制度は米国では一般的だ。フェイスブックやグーグルなどIT(情報技術)企業を中心に普及が進む。企業とハッカーを仲介するサービスもある。
日本では無料通信アプリのLINE(ライン)も実施を決めたが、全体としては強い危機感を持ってセキュリティー強化に動いている企業は限定的だろう。プライスウォーターハウスクーパースの調査によると、日本企業のセキュリティー投資額は世界平均の半分にとどまる。
高倉弘喜・国立情報学研究所教授は「企業は自社の保有するデータの価値を見極め、見合った対策をとる必要がある」と強調する。効率的で実効性のある防御方法はどうあるべきか。企業は改めて検討するときだ。
(編集委員 村山恵一)
[日経新聞9月10日朝刊P.31]
(5)IoT時代のリスク 個人も脅威認識を
米自動車大手のFCAUS(旧クライスラー)は7月、140万台のリコール(回収・無償修理)を表明した。著名なセキュリティー研究者が、ハッキングにより離れた場所から運転を乗っとれると警告したからだ。車につながる無線回線からの侵入を防ぐため、ソフトの更新を迫られた。
特殊な例と片付けられない。世界はさまざまな機器がネット接続するモノのインターネット(IoT)時代に突入した。米調査会社IDCは、2020年にその数は300億に達するとみる。
サイバー攻撃の影響はネット空間にとどまらない。悪意をもって操作されれば、車や家電、インフラなど現実空間での被害に直結する。IoTは利便性をもたらす半面、リスクも膨らませる。
政府のサイバーセキュリティ戦略本部は、IoTの安全を確保するため、システムを企画・設計する段階から対策を施す「セキュリティ・バイ・デザイン」の考え方を提唱する。産業として発展させるには、総合的なガイドラインの整備などが必要としている。
国や企業はもちろん、個人もサイバー攻撃の脅威を認識しなければならない。モバイル機器向けアプリには100万を超す不正ソフトが存在するとの調査がある。交流サイト(SNS)を使った詐欺も多い。深刻な被害を防ぐため、個人の防御意識は欠かせない。
9月初め、改正個人情報保護法が成立した。産業創出に向けて、ビッグデータの活用を促す趣旨だ。サイバー攻撃への十分な備えが条件となる。
(編集委員 村山恵一)
=この項おわり
[日経新聞9月11日朝刊P.27]
投稿コメント全ログ コメント即時配信 スレ建て依頼 削除コメント確認方法
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。