ハーバードケネディスクールのベルファーセンターが、サイバーパワーの国別ランキングを2020年に発表しています。
米、中、英、露、蘭、仏、独、加、日本、豪というランキングですが、詳細はレポートを読んでいただくとして経済だと3位の日本がここでは9位です。デジタル化が遅れていると言われている日本の立ち位置がサイバーパワーにも表れている様です。

国が関与しているといわれる例

話変わって、あまり日本では騒ぎになっていませんがアメリカのネットワーク監視ソフトウェアの脆弱性を対立する大きな国の政府がハッキングした事件は非常に重大なサイバー攻撃です。少なくとも1万8000の米国政府機関、民間企業が侵入されたと言われています。

また可能性としてMS社のWindows、Officeのソフトウェアスタックも奪われた可能性があるそうです。これは何を意味するかというと、市場のシェアを大きく持つMS社製品の脆弱性を発見し、攻撃できるということです。「うちはそのソフトウェアを使ってない」という日本企業は多いと思いますが、Windowsを使っていないという企業は少ないのではないでしょうか。

企業で標的型攻撃メールの社員教育をしていても…

また標的型攻撃メールの社員教育を行っている企業も多いでしょうが、巧みなメール内容によりついつい添付ファイルを開いたり、メール本文中のURLをクリックしたりする従業員は少なくとも4%はいるそうです。4%もいれば攻撃者からすると成功と言えるでしょう。
またスマホのSMS(ショートメッセージサービス)を利用したフィッシング(スミッシング)でクラウドのID、パスワードを窃取する攻撃も多くみられます。「お客様宛にお荷物をお届けにあがりましたが不在の為持ち帰りました。下記よりご確認ください。URL」というSMSを見られた方は少なくないと思います。

フィッシングにより取得されたID、パスワードでアクセスされた場合は正常なユーザーに見えますから通常の仕組みでは防御できません。
いくらトレーニングしても被害を防止できなければ意味がありません。サイバー攻撃は技術を利用しているので、コンプライアンスでは防げないのです。

内部脅威については?

さらに外部からのサイバー攻撃のみならず、内部脅威に対してはどう対策すればよいのでしょうか。国内大手通信社の従業員が同業他社に転職する際に情報を持ち出したという疑惑がニュースになっていますが 、書庫から紙ファイルを持ち出すよりもデータとしてクラウドストレージにアップロードする方がより簡単な状況になっています。またコロナ禍によるリモートワーク環境の突貫工事的な整備により監視の仕組みまで手が回っていないのではないでしょうか。

内部脅威対策に

NDR製品で内部の情報漏えいも対策する。3分でしっかりわかるイギリス生まれのDarktrace Immune System

導入企業が語る、NDRの中でDarktrace Immune Systemの強みとは

「情報セキュリティ対策はコスト」は真実か

さりとて、企業内の限られたIT人材がセキュリティ対策まで充実できるかと言うと、様々な課題があるでしょう。これまでの情報セキュリティ対策はコストとして捉えられてきましたが、DX(デジタル・トランスフォーメーション)推進 を図る上では利益を生むデジタル化の基礎として、サイバー攻撃に耐えうるIT基盤が必要なのではないでしょうか。
先述の通り、IT(セキュリティ)人材は豊富ではありません。IT(セキュリティ)人材の不足を補うセキュリティ対策を進める必要がありそうです。

社外でPCを利用するは当たり前の世界に

せいぜい顧客訪問時や出張時にしか持ち出さなかったパソコンをテレワークの必要性から持ち出すのが当たり前という環境変化が起きています。これまでは壁内は安全、壁外は危険という境界防御の考え方が主流でしたが、NIST(米国標準技術研究所)がSP800-207を発行しZero Trust アーキテクチャについて記しています。日本語訳も存在しておりますので、ご興味のある方はお探しください。
さて、このZero Trustアーキテクチャ、まだ成熟した領域ではありませんが、信頼された領域を極力少なくするという概念に基づいています。従業員が使うパソコンからファイルサーバにアクセスする経路すら時と場所、デバイス、多要素認証が必要という性悪説に立ったセキュリティ対策になっています。境界防御型からZero Trustアーキテクチャへの移行についてもSP800-207で触れられています。ただし、決まったベンダーの製品が存在しているわけではなく、いくつかの製品群を組み合わせて実現していくという形になりますので「これを導入すれば大丈夫」という性質の話ではないです。

まとめ

冒頭のサイバーパワーの話に戻りますが、米中英露といったサイバーパワーの強大な国からの攻撃は無論民間企業では防御が難しいとされています。
2016年には防衛大と防衛医大のパソコンから防衛情報通信基盤への侵入という事件が発生しています。被害は非公開なのでよく分かりませんが、サイバー攻撃の「情報セキュリティ方針を定め、コンプライアンス要求事項を遵守します」という呪文では防御できません。

またスイスの国際経営開発研究所(IMD)が2020年9月26日に発表した「世界デジタル競争力ランキング2020」では日本は27位、米国商工会議所は日本が2030年までに取り組むデジタル改革の課題というレポートまで用意してくれています。ソフトウェア開発者などデジタル人材を今より3倍増やせとか、電子商取引、AIを活用せよとかデジタル化を推進しないと今の経済力は維持できないと言っています。もはや大量生産大量消費の時代でもありませんので、デジタル化は避けて通れないとは思いますが、デジタル化が進めば進むほどサイバーパワーの強い国々にはさらに有利な環境になるでしょう。よくサイバー戦争という言葉もありますが、サイバー攻撃は技術的暴力であり、新しい戦争でもあるとも言われています。

技術的暴力に対抗するには技術的な防衛が必要です。「情報セキュリティ方針を定め、コンプライアンス要求事項を遵守します」という呪文では防御できません。情報セキュリティ対策ならぬサイバーセキュリティ対策がこれからはより必要です。

コロナ禍の収束はワクチン接種により2023年あたりと言われていましたが、最近は変異株の登場で楽観論も身を潜めています。皆様もお気をつけてお過ごしください。