開閉ボタン
ユーザーメニュー
ユーザーメニューコンテンツ
ログイン

  • 2012/02/06

伊東寛氏インタビュー(前編):すでに日本はサイバー戦争に参戦。このままいけば敗北必至

今求められる企業のセキュリティ対策

昨年、米オバマ大統領が宣言したように、サイバーセキュリティの脅威は今や“戦争”と位置付けられている。望むと望まないに関わらず、あらゆる人や企業は、すでに国家レベルの大きな戦いに巻き込まれてしまっているわけだ。「このまま自覚なく時を過ごせば取り返しのつかない敗北を喫することになる」と警鐘を鳴らすのは、ラック 執行役員 サイバーセキュリティ研究所所長で、陸上自衛隊システム防護隊 初代隊長の伊東寛氏だ。今、世界のサイバー攻撃はどれほど危険なのか。また、それに対して国や企業にできることは何なのか。話を伺った。

見えない戦争に巻き込まれている日本

photo
ラックホールディングス
執行役員
サイバーセキュリティ研究所所長
陸上自衛隊システム防護隊 初代隊長
伊東寛氏
──セキュリティに関して企業がさらされている脅威の状況をどのようにご覧になっていますか?

伊東 残念ながらどんどん悪化しているといわざるを得ません。1980年代、それはまだ個人のいたずらというレベルでした。2000年前後を境に、それは金銭の取得を目的とした攻撃が始まって、現在はITを通して、国家間での見えない戦争まで行われています。こういうお話をすると、企業のセキュリティ担当の方には遠い話と思われがちですが、企業も望むと望まないに関わらず、この見えない戦争に巻き込まれて、すでに敗北を喫しつつあります。その典型的な例が、2011年に9月の三菱重工へのサイバー攻撃事件でした。

──あの事件では、トロイの木馬型ウイルスにより外部へのデータ送信や外部からの遠隔操作を意図されていたという事実が報道されて、世間が騒然としました。

伊東 三菱重工へのサイバー攻撃が起きたとき、報道の方々から「どうして2011年9月というタイミングにあのような事件が起こったのか」と聞かれたのですが、それは質問が間違っています。2011年9月に初めてあのような事件は起こったのではありません。すでにずっと以前から企業へのサイバー攻撃は発生していました。ただそれは、当事者および守秘義務を課された我々のような各情報セキュリティの会社の間にのみあって、世間に知られることはありませんでした。それがあの事件が報道されたことにより、ようやくサイバー攻撃が行われているという事実が白日のもとにさらされたのです。

──ここにきてセキュリティへの脅威が一段階上がったというわけではないのですね。

伊東 そのとおりです。あまり日本では報道されていませんが、大変なことがもはや日常茶飯事化しているのです。サイバースパイの活動や核開発システムへのウイルス侵入などといったことは、絵空事でなく実際に起こっています。大きな脅威は常に存在するため、企業はこのことを認識し正しい危機意識を持って対処に臨まなければなりません。

政府の対応はまだまだ生ぬるい

──政府もあの事件を受け、企業が受けているサイバー攻撃の実態の把握と対応に乗り出しています。

伊東 私から見ると、まだまだ生ぬるいというのが率直な感想です。確かに経済産業省、総務省、内閣府、警察庁などが情報共有の仕組みを作ろうと動き始めました。やはり知らないということが対策を打つ上での最大のネックになるからです。情報共有の仕組み作りは私が以前からずっと言ってきたことで、ようやくその重要性が認識されたことに喜んでいます。ただ、単に情報共有を促すだけでは、実際にこれを機能させるのは難しいかもしれません。

──どういうことでしょうか。

伊東 情報共有という点では、IPA(情報処理推進機構)という業界団体が企業に対してウイルス感染の事実を届け出るよう促しています。その件数のグラフは公表されているのですが、これを見ると2005年ぐらいからその伸びが鈍化しています。一見すると、ウイルスが減っているように見えるんですが、実際はウイルスの数は爆発的に増えているんですね。今や世界のソフトウェアの8割、9割はマルウェアだといわれるぐらいです。

 それなのになぜグラフに現れないかというと、理由は2つあります。まず、本格的なサイバー犯罪に用いられるウイルスは巧妙にできていて、一般的なアンチウイルスソフトでは検知できないレベルになってきたという点が一つあります。また、ウイルスの存在がわかったとしても、単なるいたずらだったときはまだよいのですが、サイバー犯罪に巻き込まれた事実を知られたくないという気持ちが企業側に働いて届け出なくなっている現実もあります。もちろんIPA側も一生懸命やってらっしゃるのですがこうした問題があるわけです。

 ですから、私個人としては被害の届け出を義務付けるべきと思います。単に企業の善意に頼るのではなく、届け出なければ罰則というぐらいに踏み込んだ処置をとらなければ、正確な実態の把握は困難でしょう。

【次ページ】政府の対応はまだまだ生ぬるい

セキュリティ総論 ジャンルのトピックス

セキュリティ総論 ジャンルのIT導入支援情報

ビジネス+IT 会員登録で、会員限定コンテンツやメルマガを購読可能、スペシャルセミナーにもご招待!