ビジネス+IT

ビジネス課題別で探す

ITジャンル別で探す

会員限定

2011年10月17日

今求められる企業のセキュリティ対策

三輪信雄氏インタビュー:低いレベルの攻撃に合わせてはダメ、三菱重工のサイバー攻撃から得られる教訓

ソニーの情報漏えい事件、三菱重工へのサイバー攻撃など、特定の企業を標的にした攻撃が立て続けに発生している。いま、サイバー空間では何が起きているのだろうか。さらにその対策はあるのだろうか。長年にわたってセキュリティ対策の最前線に立ち、総務省情報化統括責任者(CIO)補佐官もつとめるS&Jコンサルティング 代表取締役社長 三輪信雄氏は、「三菱重工への攻撃レベルはグローバル水準では低い。それ以上の攻撃を受けたらまた脆弱性を露呈することになる」と警鐘を鳴らす。今求められる企業のセキュリティ対策や情報漏えい対策の考え方について話を伺った。

三菱重工への攻撃レベルはグローバル水準ではまだまだ低い

photo

S&Jコンサルティング
代表取締役社長
三輪信雄氏

──ソニーの情報漏えい、三菱重工へのサイバー攻撃など、企業を取り巻くセキュリティ状況が緊迫しています。こうした状況について、どのようにご覧になっていますか。

 外交や投資などの相手として日本が外されることを表す「ジャパンパッシング」という言葉があります。サイバー攻撃でも同様で、これまでは攻撃もしてくれないという状況でした。それが、ここにきてやっと順番が回ってきた状況だと思います。

 三菱重工への攻撃は既知の脆弱性を突いた攻撃なので、グローバルで見ればその攻撃のレベルはまだまだ低いと言わざるを得ません。ところが、その後の対応を見ていると、その低いレベルに合わせた対策を立てようとしているように思えます。

 低いレベルに合わせた対策では、それ以上の攻撃を受けたらまた脆弱性を露呈することになりかねません。また、今予算取りをしても、実際にそれが適用されるのは2012年4月から、といったケースも少なくないでしょう。一歩遅れた取り組みとなるわけです。セキュリティ業界では、来年の総攻撃に向けて今回は敢えて低いレベルの攻撃をしてきたのでは、と笑えない冗談を言うこともあるほどです。

──最近の攻撃には、何か共通する特徴などがあるのでしょうか。

 最近の攻撃は何種類かに分類できます。ソニーへの標的型攻撃を行ったのは、ハッカーの力を使って社会的な運動をする「ハクティビスト」と呼ばれる人たちです。さらにその周辺に、おもしろがって便乗する人たちがいます。ここに関しては、無数にいて対処のしようがないのが実態です。モグラ叩きのゲームで終盤にモグラが一斉に出てきているのと同じで、その対応はとても追いつけません。

 その一方で、Googleへの攻撃のように国家レベルの意思が働いているとしか思えないようなものもあります。2010年には「スタックスネット」と呼ばれるウイルスによって、イランの原子力施設が停止した事件がありました。産業用制御システムへのマルウェアの登場は予想されていましたが、非常に精巧かつ高いレベルで作成されており、とても個人や小集団のグループが作成できるレベルにはないものでした。まさに、スパイ映画の上をいくような攻撃が、現実に起きていたのです。

 今年の5月にはロッキード社への攻撃もありました。この攻撃も驚くべきことに、いったんセキュリティ企業に侵入し、そのセキュリティソリューションの脆弱性を見つけ出したうえで、ロッキードへの侵入を試みるというものでした。結果としてこの攻撃は失敗に終わったようですが、ロッキード社からアメリカ連邦政府に報告があったのは攻撃の数日後、プレス発表は一週間後でした。こうした対応と比べると、日本は非常に遅れていると言わざるをえません。

【次ページ】常に先をいく攻撃への想像力を働かせて対策を考える

セキュリティ総論 ジャンルのトピックス

一覧へ

セキュリティ総論 ジャンルのIT導入支援情報

一覧へ

PR

注目のIT導入支援情報

一覧へ

注目のイベント・セミナー情報

一覧へ

イベント・セミナー情報の登録(無料)

記事アクセスランキング

イベント・セミナー情報アクセスランキング