http://www.asyura2.com/16/hasan114/msg/733.html
| Tweet |
“8歳児”のサイバー攻撃に負ける日本企業
サイバー無策 企業を滅ぼす
“サイバー無策”のツケを払うのはこれからだ
2016年10月25日(火)
小笠原 啓
日経ビジネス10月31日号では「サイバー無策 企業を滅ぼす」と題する特集記事を掲載する。煽り気味のタイトルのようだが、決して誇張ではない。10月21日(金曜日)には米国で、大規模なサイバー攻撃が発生。ツイッターやペイパル、スポティファイなど日本でも馴染みのある米国のウェブサービスが一時、利用できない状況に追い込まれた。日本も決して対岸の火事ではいられない(関連記事)。
しかし、日本企業は長年、そうした「リスク」を軽視してきた。国家は企業に対策を丸投げし、経営者は現場の担当に責任を押し付ける。そして多くの企業の現場では「ヒト・モノ・カネ」が十分に与えられず、無為に時間を過ごしてきた。その“サイバー無策”のツケを支払う時期を、日本企業は迎えようとしている。
連動インタビューの第1回目に登場するのは、サイバーディフェンス研究所の名和利男・上級分析官。航空自衛隊で防空システムなどを担当した専門家が、近年激増している“子供”のサイバー攻撃の背景を語る。
(聞き手は小笠原 啓)
名和 利男(なわ・としお)氏
サイバーディフェンス研究所上級分析官。以前は航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティー担当(プログラム幹部)業務に従事。その後、国内ベンチャー企業のセキュリティー担当兼教育本部マネージャー、JPCERTコーディネーションセンター早期警戒グループのリーダーを経て、現職。CSIRT(Computer Security Incident Response Team) 構築及び、サイバー演習(机上演習、機能演習等)の国内第一人者として知られる(写真:陶山 勉)
サイバー攻撃の被害に遭う企業が後を絶ちません。攻撃の手口が巧妙化しており、対策が間に合わないという悲鳴が聞こえてきます。
名和:正直に答えると各方面から怒られそうですが、高度な攻撃だけでなく“子供”のサイバー攻撃にも耐えられないのが、多くの日本企業の実情だと思います。
8歳ぐらいの子供は、大人の行動を真似て悪いことをしたがりますよね。こうした幼稚な攻撃者が、最近、サイバー空間で激増しています。訓練を受けずに場当たり的にサイバー攻撃を仕掛けてくるため、ほとんどのケースは失敗します。しかし子供の力でも、繰り返し殴られるとやっぱり痛い。専門家からすれば「8歳児レベル」の非常に稚拙な攻撃でも、様々な企業から情報を盗むのに成功しています。
なぜ“子供”がサイバー攻撃に手を出すのでしょうか。
名和:一言で言えば儲かるからです。
日本企業から盗んだ情報は、特に中国で高く売れます。漢字を使っているため理解しやすいうえ、貴重な情報が無防備に置かれているケースも多い。しかも情報は腐らず、売ってもなくなることがない。再生産するための工場設備すら必要ない。
違法に入手した情報を売るだけで、毎月数十万円を稼いでいるハッカーはたくさんいます。裏社会における“成功者”に憧れて、サイバー攻撃に手を染める“子供”がどんどん増えているのです。
見破られなかった攻撃手法を、数万円で販売する技術者も増えてきました。中国語で検索すれば、ハッキングのマニュアルが大量に探せるでしょう。見よう見まねで攻撃できるツールもすぐに手に入ります。
子供ではなく、“大人”のサイバー攻撃も増えているのでしょうか。
名和:国家が関与しなければできないような、組織的な攻撃も相次いでいます。被害に遭った企業を調査すると、たまに芸術的としか表現できない攻撃手法を発見することがあります。複数の専門家が周到に準備を整え、一糸乱れず攻撃する。“子供”が場当たり的にやっているとは、到底考えられません。
こうした“大人”のサイバー攻撃を、日本企業が防ぐのはまず不可能です。絶対にやられます。国家が意志を持ってサイバー空間で攻撃やテロを仕掛けてきた場合、それを防御する組織が日本にはないからです。
国が企業を「フルボッコ」
自衛隊がいるのでは。
名和:物理空間では守ってくれるでしょう。しかし、サイバー空間ではどうでしょうか。
昨年、日本年金機構がサイバー攻撃を受け100万件超の個人情報が流出しました。今年はJTBが被害に遭っています。もし、これらの攻撃の背後にどこかの国がいた場合、JTBなどを守るのは日本政府の役割です。
ところが現実は違います。年金機構に関しては、政府が逆に「フルボッコ」にしてしまいました。フルボッコとは、フルパワーでボッコボコにするという「2ちゃんねる」用語ですね。年金機構のあら探しをするようなリポートを出して、再起不能な状態に追い込んでしまった印象です。
国家レベルのサイバー攻撃に対抗するには、相応の体制が必要です。物理空間でも、民間企業が自衛のために戦闘機を持つことはできません。国が考えるしかないのです。
しかし今、日本政府がやっているのは、民間企業の自己防衛力を高めさせるための取り組みです。各省庁が必死になって様々な施策を掲げていますが、民間の手に余る攻撃への対処はほとんど議論されていません。
民間に丸投げされても困ります。
名和:そうでしょうね。サイバー攻撃に対して“無策”なのは、民間の経営者も同じですから。特に60歳以上の経営者は、変化に対して強い拒否反応を示しているように見えます。
“ガラケー”を使っていた人が、スマートフォンへの乗り換えを頑として拒否する理屈と同じです。新しいことを学びたくない、分からないことは見て見ぬふりで済ませたい。セキュリティーに関して、そんな意識を持っている経営者はかなり多いと思います。
日本企業は本来、もっとセキュリティー対策に投資すべきだったと思います。ところが目先の利益を優先して、問題を先送りしてしまった。危険を軽視してきたツケを、これから支払うことになるのでしょう。
業務委託先や下請け企業がリスク
「ウチみたいな中小企業を狙うはずがない」と高をくくっている経営者もいます。
名和:最近、大手建設会社と打ち合わせをしたのですが、設計書の流出が一番怖いと話していました。仮に空港の設計情報が外部に漏れたら、テロ対策などを抜本的に考え直さないといけません。
そうした情報は、1次請け、2次請けを含めたサプライチェーンの様々なところに分散しています。中小企業だからといって、セキュリティーを無視できると考えるのは大間違いです。
今の日本では、セキュリティー対策はペイしません。例えば2社で受注を争っている場合、セキュリティーを軽視して安値で応札した企業の方が有利になります。真面目に頑張ってセキュリティーに投資しても、ビジネス上のメリットが見込みづらいのです。
市場経済に任せていては、日本のセキュリティー水準は向上しません。だからと言って、法律で厳しく網を掛けると経済の活力を奪いかねない。どうすれば企業経営者が真剣にセキュリティーを考えるようになるのか。当面は試行錯誤しながら、少しずつ進むしかありません。
このコラムについて
サイバー無策 企業を滅ぼす
サイバー空間に巣くう犯罪者集団が、日本企業をターゲットにし始めた。
手にする武器は「ランサムウエア」。データを人質にとって身代金を求める。
あらゆるものがインターネットにつながると、電力システムや自動車にも魔の手が迫る。
もはやインターネットを抜きに、ビジネスを継続できる企業は存在しないのが現実だ。
にもかかわらず、多くの経営者はサイバー攻撃を「他人事」としか認識していない。
「サイバー無策」は日本を滅ぼす。次に狙われるのはあなたの会社だ。
http://business.nikkeibp.co.jp/atcl/interview/16/102100010/102100003
投稿コメント全ログ コメント即時配信 スレ建て依頼 削除コメント確認方法
▲上へ ★阿修羅♪ > 経世済民114掲示板 次へ 前へ
スパムメールの中から見つけ出すためにメールのタイトルには必ず「阿修羅さんへ」と記述してください。すべてのページの引用、転載、リンクを許可します。確認メールは不要です。引用元リンクを表示してください。