★阿修羅♪ > IT12 > 157.html
 ★阿修羅♪  
▲コメTop ▼コメBtm 次へ 前へ
サイバー攻撃に備える
http://www.asyura2.com/14/it12/msg/157.html
投稿者 あっしら 日時 2015 年 9 月 13 日 04:54:01: Mo7ApAlflbQ6s
 


サイバー攻撃に備える

(1)狙われる個人情報 標的型など巧妙化

 サイバー攻撃が世界で猛威を振るっている。米セキュリティー会社シマンテックによると、2014年につくられたマルウエア(不正ソフト)は前年より26%多い3億1700万種。毎日100万近い新たな脅威が生み出される計算だ。

 攻撃の手口も巧妙化が進む。特に目立つのは標的型と呼ばれる手法だ。狙った対象にウイルス添付のメールを執拗に送るなどして情報を盗む。日本も例外ではない。14年度に検知された政府機関に対する攻撃は主なものだけで264件。うち4割が標的型だった。

 奪われる情報はさまざまだ。クレジットカード番号などヤミ市場で取引され、すぐに経済的利益を得られるものに加え、最近は社会保障番号や医療記録などの漏洩が多い。6月に明らかになった日本年金機構への攻撃では、基礎年金番号や氏名、生年月日など125万件が流出した。米国でも人事管理局から2千万人分を超す政府職員らの情報が盗み出された。

 攻撃者はなぜ個人情報を狙うのか。専門家の間では、あちこちから情報を集め、各国の国民のデータベースを築くためとの見方が有力。人々の行動や人脈を知り、国家や企業の重要機密を得る糸口にする目的が指摘される。テロに使われる懸念もある。

 厄介なのは、システムに侵入されても気づきにくいことだ。ある調査によれば、攻撃の発覚までの日数は平均200日以上。知ったときには大量の情報を持ち出された後という例が珍しくない。絶対安全なシステムはつくれない。対策はそれが前提となる。

(編集委員 村山恵一)

[日経新聞9月7日朝刊P.17]

(2)せめぎ合う国家 日本の防御に懸念

 米セキュリティー会社のマンディアントは2013年、世界が注目する報告書をまとめた。相次ぐ米国企業へのサイバー攻撃に、中国人民解放軍の「61398部隊」が関与しているとする内容だ。中国政府は否定したが、米政府は14年、同部隊に所属する5人の刑事訴追に踏み切った。

 マンディアント(現在は米ファイア・アイ傘下)幹部によると、ハッカー集団は、中国やロシア、北朝鮮などに400以上ある。国家の支援を受けた中国組織の動きが特に目を引くという。攻撃手法が洗練され、大がかりになる背景に国家の後ろ盾がある。

 「いかなる国家やハッカーにも、我々のネットワークを遮断させない」。オバマ米大統領は今年1月の一般教書演説で、サイバー攻撃に断固対抗すると訴えた。サイバー問題は国同士がせめぎ合う構図を強めている。

 日本では1月にサイバーセキュリティ基本法が全面施行された。国や地方自治体などの責任を明確にし、司令塔として内閣に戦略本部を置くことなどを定めた。

 日本年金機構へのサイバー攻撃を受け、政府は内閣サイバーセキュリティセンター(NISC)の監査権限の拡大などに乗り出した。ただ、軍のサイバー部隊を6200人に増やす米国などに比べれば体制は手薄だ。

 土屋大洋・慶大教授は「自衛隊のサイバー防衛隊やNISCなどの強化が必要だ」と訴える。5年後の東京五輪に向け、日本へのサイバー攻撃が激しくなるとの見方もある。防御を一層厚くする取り組みが欠かせない。
(編集委員 村山恵一)

[日経新聞9月8日朝刊P.28]


(3)技術者不足深刻に 産業活性化が急務

 サイバー攻撃に立ち向かう最前線の人材が日本は不足している。情報処理推進機構によると、企業でセキュリティーに従事する技術者は約26万5千人いるが、8万人ほど足りない。今いる技術者のうち6割の16万人は、スキルが不十分で教育、訓練が必要とされる。つまり、実質的に24万人の確保が課題といえる。

 しかし、企業の動きは迅速とはいいがたい。投資の余裕がないことなどを理由に、セキュリティー人材を育成していない企業は7割にのぼる。攻撃の脅威が高まる中で、限られた技術者の奪い合いもあるという。

 園田道夫・サイバー大教授は「大学、専門学校の人材供給能力も需要に追いついていない」と指摘する。企業と連携して講座をつくる動きもあるが準備に時間がかかり、教員の少なさも障害になっている。サイバー攻撃に対する社会の問題意識が薄かった代償だ。

 状況をどう改善するか。セキュリティー産業を活性化し、人材を呼び込む流れを生むことが重要だ。米国にはセキュリティーの大手企業が多く、専門家としてキャリアを積みやすい。セキュリティーベンチャー企業への投資も活発だ。

 政府は6月改定の「日本再興戦略」に、国際競争力のあるセキュリティー企業の創出を盛り込んだ。政府系ファンドを使ったベンチャー育成などに取り組む。

 世界を見渡せば、セキュリティー技術者が力量を競うコンテストが数多く開かれている。園田氏は日本でも企業人が積極的に参加することで「技術を磨く意欲を高めるのに生かすべきだ」と話す。

(編集委員 村山恵一)

[日経新聞9月9日朝刊P.26]


(4)社外の力で脆弱性発見 ハッカーも味方に

 ネットサービス会社のサイボウズは、自社のソフトやサービスのセキュリティー上の欠陥を探すのに社外の力を借りている。セキュリティーの研究者や業界関係者、学生などを協力者として募り、脆弱性を発見してくれれば報奨金を支払う。そうした制度を2014年に本格導入した。

 社内の技術者も、ソフトの設計図にあたるソースコードの解析などで欠陥がないか調べている。報奨金制度はこれを補う位置付けだ。現実のシステムと同じ環境を用意し、部外者の視点や最新の手法で「攻撃」してもらい、自社では気づかない問題点をあぶり出す。

 14年はこの制度で158件の脆弱性が見つかった。支払った報奨金は総額で約700万円。今年は120人ほどが協力している。

 「善玉ハッカー」の技量を生かす報奨金制度は米国では一般的だ。フェイスブックやグーグルなどIT(情報技術)企業を中心に普及が進む。企業とハッカーを仲介するサービスもある。

 日本では無料通信アプリのLINE(ライン)も実施を決めたが、全体としては強い危機感を持ってセキュリティー強化に動いている企業は限定的だろう。プライスウォーターハウスクーパースの調査によると、日本企業のセキュリティー投資額は世界平均の半分にとどまる。

 高倉弘喜・国立情報学研究所教授は「企業は自社の保有するデータの価値を見極め、見合った対策をとる必要がある」と強調する。効率的で実効性のある防御方法はどうあるべきか。企業は改めて検討するときだ。

(編集委員 村山恵一)

[日経新聞9月10日朝刊P.31]

(5)IoT時代のリスク 個人も脅威認識を

 米自動車大手のFCAUS(旧クライスラー)は7月、140万台のリコール(回収・無償修理)を表明した。著名なセキュリティー研究者が、ハッキングにより離れた場所から運転を乗っとれると警告したからだ。車につながる無線回線からの侵入を防ぐため、ソフトの更新を迫られた。

 特殊な例と片付けられない。世界はさまざまな機器がネット接続するモノのインターネット(IoT)時代に突入した。米調査会社IDCは、2020年にその数は300億に達するとみる。

 サイバー攻撃の影響はネット空間にとどまらない。悪意をもって操作されれば、車や家電、インフラなど現実空間での被害に直結する。IoTは利便性をもたらす半面、リスクも膨らませる。

 政府のサイバーセキュリティ戦略本部は、IoTの安全を確保するため、システムを企画・設計する段階から対策を施す「セキュリティ・バイ・デザイン」の考え方を提唱する。産業として発展させるには、総合的なガイドラインの整備などが必要としている。

 国や企業はもちろん、個人もサイバー攻撃の脅威を認識しなければならない。モバイル機器向けアプリには100万を超す不正ソフトが存在するとの調査がある。交流サイト(SNS)を使った詐欺も多い。深刻な被害を防ぐため、個人の防御意識は欠かせない。

 9月初め、改正個人情報保護法が成立した。産業創出に向けて、ビッグデータの活用を促す趣旨だ。サイバー攻撃への十分な備えが条件となる。

(編集委員 村山恵一)

=この項おわり

[日経新聞9月11日朝刊P.27]


 

  拍手はせず、拍手一覧を見る

コメント
 
1. 2015年9月16日 03:03:21 : TGgfYEbPRU
不毛だな・・・。
攻撃に備えたところで OS にしろアプリケーションにしろ、次々と新製品とやらが出てきて、しっかりバグを作り込んでくれてる・・・ワザとやってんだろっていうくらい・・・。
国家として備える気が有るなら軍事予算で対策ツール作って無償配布してると思う・・・。

そもそも防ぐ方法が無い以上、取られて困る情報ならインターネットからアクセス出来る環境には置かない、ってことなんじゃないだろか・・・。
企業も行政もダダ漏れ奨励してるだけだと思うな・・・。


2. 2015年9月24日 21:27:58 : FXb0o90kwA
化石時代に逆戻りとか無理だろう。
一番の対策は自分たちのOSを創る事だと思うが、日本のような島国は規模が小さ過ぎて無理だと思われ。

3. 2015年12月07日 21:45:29 : 4qFzX7G9uQ : E28YYJhvl7E[1]
いやホント、WindowsXPの権利を全て買い取って、徹底的にバグ潰しをしたXP改を配布した方が、対策になるよ。

4. 2017年2月17日 14:51:52 : Pv0i96LDA6 : _m5K@2WDWiQ[8]
大阪府警察

2月1日から3月18日は「サイバーセキュリティ月間」です


現在、インターネットを取り巻く環境は目まぐるしく進化しており、スマホは多くの人に便利なツールとして利用され、また最近ではIoT機器の普及により、日常生活のあらゆるところで人と物がインターネットを通じてつながっています。
しかしながら、サイバー空間の中では、犯罪者があらゆる手段を使って個人情報等を盗み、それらを悪用するという犯罪が後を絶ちません。
誰もが安心してITの恩恵を享受するためには、国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していく必要があります。
このため、政府ではサイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」としています。

サイバーセキュリティ月間の詳細はこちらから
  ↓
http://www.nisc.go.jp/security-site/index.html



5. 2017年2月17日 15:01:16 : Pv0i96LDA6 : _m5K@2WDWiQ[10]

情報セキュリティハンドブック

困ったときに

 ヒント集
http://www.nisc.go.jp/security-site/trouble/hint.html


  拍手はせず、拍手一覧を見る

フォローアップ:


★登録無しでコメント可能。今すぐ反映 通常 |動画・ツイッター等 |htmltag可(熟練者向)|(各説明

←ペンネーム新規登録ならチェック)
↓ペンネーム(なしでも可能。あったほうが良い)

↓パスワード(ペンネームに必須)

(ペンネームとパスワードは初回使用で記録、次回以降にチェック。パスワードはメモすべし。)
↓画像認証
( 上画像文字を入力)
ルール確認&失敗対策
画像の URL (任意):
最新投稿・コメント全文リスト  コメント投稿はメルマガで即時配信  スレ建て依頼スレ

▲上へ      ★阿修羅♪ > IT12掲示板 次へ  前へ

★阿修羅♪ http://www.asyura2.com/ since 1995
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。
すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。
 
▲上へ       
★阿修羅♪  
IT12掲示板  
次へ