• 会員限定
  • 2014/12/02 掲載

東京五輪に向けた標的型攻撃対策が加速 政府・民間企業の取り組みや対策ガイドライン

記事をお気に入りリストに登録することができます。
前回は、制御システムの汎用化やオープン化が強まったことで、情報システムと同様にセキュリティ上の脆弱性を持つようになった傾向について指摘した。また、そのため、日本でも水面下では製造業に対するサイバー攻撃が増加していること、制御システムのぜい弱な部分を狙いうちにされた場合には被害の影響範囲がきわめて広範囲に及ぶことなどについても紹介した。今回は、政府や関係機関の取り組みや民間企業を横断した取り組みなどについて、一問一答形式で紹介したい。

ストラテジック・リサーチ 森田 進

ストラテジック・リサーチ 森田 進

ストラテジック・リサーチ代表取締役。各種先端・先進技術、次世代産業、IT活用経営、産学官連携に関するリサーチ&コンサルティング活動に取り組む。クラウド、仮想化プラットフォーム、エンタープライズ・リスクマネジメント/BCP、モバイル・プラットフォーム、情報化投資の各分野において研究およびエヴァンジェリズム活動を展開し、実績を積む。
URL:http://www.x-sophia.com/

東京五輪に向けてサイバーセキュリティ戦略本部が発足

連載一覧
関連連載
受講者:なぜ今、国家レベルでセキュリティの問題が騒がれているのですか?

M氏:そもそも近年、日本を含む西アジア、東アジア地域では、戦後世界史を塗り替えるほどの重大な事件が続き、軍事・政治両面にわたる緊張状態が続いています。中国が台頭し、南北朝鮮、インドとパキスタン、東南アジア新興諸国などでは、発展と緊張が混ぜ合わさった状態が深化し、65年以上続いた体制が大きく音を出して変容しつつあります。

 ここ数週間の動きだけを見ましても、米国政府はイラクとシリアで暗躍する「イスラム国」の脅威に対抗するため、空爆を決断したほか、国家安全保障会議において総合的な戦略について協議しています。ほぼ時機を同じくして香港民主派による大規模なデモが発生しましたね。また、その内政干渉のあり方を巡って米国と中国とが激しい外交合戦を繰り広げています。

 先月には、あわや独立かというところまで導き、キャメロン首相を慌てさせたスコットランド独立運動でも、寸手のところで反対派が盛り返し、独立がようやく否決されました。

 このように、実際に国境線を巡る紛争、歴史解釈の相違を背景とした軋轢など、国家間の安定を脅かしかねない情勢と向き合う混沌とした事態が続出しているのです。こうした情勢のもとで、ナショナル・レジリエンスに対する要望や水準も高まっています。

 実際、ここ数年は金融機関、交通や電力システム、医療など公共性の強い重要インフラをターゲットとしたサイバー攻撃が急増しています。

 日本政府は7月10日、「サイバーセキュリティーに関する年次報告(2013年度)」を発表しましたが、この発表内容によると、日本の政府機関、民間企業などへのサイバー攻撃のうち97%は海外から発信されていること、2013年度に日本の政府機関を標的にしたサイバー攻撃は約508万件に上り、前年度に比べ5倍に急増したとしています。そして、手口が巧妙化しており、サイバー攻撃の脅威は急速に拡大しているとして警告を発しています。

受講者:政府の具体的な対策や取り組みについて最近の動向について簡単に紹介してもらえますか?

M氏:日本政府では各国のサイバー攻撃が五輪開催期間に集中する傾向があることを重要視しており、東京五輪を予定する2020年に向けて対策強化を急ぐ構えのようです。


 そのため、早ければ2015年の1月にも、政府のIT戦略本部内にある情報セキュリティ政策会議を、より法的な根拠のある「サイバーセキュリティ戦略本部」に格上げし、権限を強化することなどを決定しています

 また、電力、ガス、金融などの社会インフラ事業者への攻撃が急増していることを受け、日本政府では今年秋にも民間企業や大学などと連携し、国民の対策意識を高める協議会を新設し、サイバー対策で先行する民間の知見を取り入れるなど、抜本的な対策強化に乗り出す構えです。

 当然のことですが、産業・企業全体の継続的な発展を保証していくためには、ITの安全確保によって守るべき対象も、企業単位だけでは収まりきれません。サプライチェーンや公共インフラ全体、あるいは国家レベルでの防衛にまで及ぶほど、その問題は拡大・変質しつつあります。

 もちろん、政府もこれらの状況を考慮して、産業・企業の成長や事業継続性と同時に、安全保障というの観点から、情報セキュリティ政策、サイバー防衛体制、企業の知的財産防衛、ライフラインを狙った事案や企業などの機密漏えい対策について、国家をあげて真剣に検討され出しています。

【次ページ】各省庁での取り組み 民間組織の横の連携が強化

関連タグ

あなたの投稿

関連コンテンツ

深刻化する病院サイバー攻撃に、「ランサムウェア交渉人」はアリかナシか?

 どうにも、この記事を書いたライターは映画やドラマ、漫画やアニメ由来のフィクションの知識で述べているようだ。バグバウンティ制度というものはあくまで開発ベンダやセキュリティベンダが任意で実施しているものであって、ベンダによってはバグバウンティ制度を取り入れていないところもある。危険性や重要度に応じて支払う報奨金というものは決まっている。そのため危険性や重要度の低いバグに対しては報奨金の金額は安くなる。支払われる報奨金というのは価格帯が既に定められているので交渉したからといって大きく変わるわけではない。交渉人が出てくる余地がないし、交渉人が仲介手数料なんて取ろうものならば原価割れしてしまうわけだ。そして、バグバウンティ制度を実施していない企業に交渉人が脆弱性情報の買取を持ちかけようものならば、恐喝罪で訴えられる可能性さえある。
「通常は、発見した脆弱性や攻撃手法を自分で利用する(犯罪を犯す)より、相手に高く買ってもらったほうがよいと考える。」と記事では書いてあるが、それも違う。仮に悪意を持ったハッカーが危険な脆弱性を発見した場合、自分でその脆弱性を利用した攻撃をして犯罪を犯すと警察に逮捕されるリスクがある。自分で犯罪さえ行わなければ警察に逮捕されるリスクはゼロだ。だから自分では犯罪は行わない。脆弱性情報を買い取ってくれる企業があればお金で売って利益を得る。ただそれだけなのだ。実際にサイバー犯罪に関わって犯罪収益を得ている反社会組織でも、脆弱性情報の多くは悪意を持ったハッカーではなくセキュリティ会社(=ホワイトハッカー)から買っている。サイバー攻撃自体は自身は行わずに買い取った脆弱性情報をもとに作成した攻撃ツールの販売やクラウド上に攻撃用プラットフォームを構築して時間貸ししてクラウドサービスとして収益を上げている。現代では脆弱性を発見する人、発見者から脆弱性情報を買って収集して販売する人、攻撃ツールを作る人、攻撃ツールを売る人、攻撃ツールを使って攻撃する人といったように各々関係のない人や組織が分業している。
 身代金支払いの是非に関して述べると、現行法では身代金の支払い自体を直接罰する法律はない。それならば身代金を払ってしまえばよい、とはならない。例えば、ランサムウェアならば様々な要素を考慮した上での経営判断が必要となる。以下の理由で正当化が出来るか、ということは最低限考える必要がある。
 1. 復旧コストより身代金の方が安価
 2. 大量の個人情報など機微性の高い情報漏えいのおそれ
 3. 重要インフラサービスの停止のおそれ
 4. 人の生命・身体が害されるおそれ
1.と2.に関しては紛れもなくその場しのぎでしかないのでまともな知性のある経営者であれば経営判断としての身代金払はしない。
3.に関しては微妙な問題なので、細かい分析をした上で社会への影響を考慮した上での経営判断となる。
4.に関しては仕方がない。払うしかない。
 ここで意識していただきたいことは、ランサムウェアの身代金の支払いに対する対応は経営者が判断すべき経営問題そのものである。現場のエンジニアや担当部署の責任者が判断するのではなく、その企業の経営方針として経営者が判断を下すべき経営問題ということだ。
 この記事の2ページ目でしきりに「交渉人」の必要性をしきりにアピールしているが、いい年した大人が妄想と現実を混同するのをいい加減にするべきだ。きっと、この記事を書いたライターの人は交渉人をモデルにした映画かドラマでも見た影響でも受けたのだろう。
 交渉人というのは本質的には犯人の脅迫行為を容認することだけではない。そもそも、犯人側にとって身代金事件の成功の鍵は交渉人が握っている。身代金支払いにより犯人側が犯罪収益を得るための功労者であることから共同正犯(刑法60条)が成立してしまう。つまり、刑法上は身代金を要求してきた犯人グループの一員とみなされてしまうわけだ。
 記事では「ランサムウェア交渉人を運用するためには、警察に犯人を特定、摘発できるくらいのサイバー捜査能力が必須となる。」と書いてあるが、犯人を特定、摘発できるのであれば犯人逮捕とともに暗号鍵も押収できるからから身代金を支払う必要がないではないか。この記事を書いたライターは自身の書いた言葉の意味を理解してこの記事を書いているのだろうか。犯罪を正当なビジネスにしてしまうこと自体が非現実的だし、あまりにも考えが幼稚で虚構と現実を取り違えたような記事を書いている暇があれば、もっと社会の勉強をし直した方が佳いだろう。もし、このライターがジャーナリストの肩書を今後も掲げるつもりならば、この記事のような妄言を書き連ねる前にはよく調査と考察を重ねて自身の考えを遂行する必要がある。今回は半田病院の事件を起点としているので、デジタルフォレンジック研究会の医療分科会が公開している資料の『医療機関向けランサムウェア対応検討ガイダンス』(https://digitalforensic.jp/wp-content/uploads/2021/11/medi-18-gl02_compressed.pdf)を一読して勉強して出直してくることをおすすめする。

    PR

    PR

    PR

処理に失敗しました

人気のタグ

おすすめユーザー

投稿したコメントを
削除しますか?

あなたの投稿コメント編集

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

通報

このコメントについて、
問題の詳細をお知らせください。

ビジネス+ITルール違反についてはこちらをご覧ください。

通報

報告が完了しました

コメントを投稿することにより自身の基本情報
本メディアサイトに公開されます

必要な会員情報が不足しています。

必要な会員情報をすべてご登録いただくまでは、以下のサービスがご利用いただけません。

  • 記事閲覧数の制限なし

  • [お気に入り]ボタンでの記事取り置き

  • タグフォロー

  • おすすめコンテンツの表示

詳細情報を入力して
会員限定機能を使いこなしましょう!

詳細はこちら 詳細情報の入力へ進む
報告が完了しました

」さんのブロックを解除しますか?

ブロックを解除するとお互いにフォローすることができるようになります。

ブロック

さんはあなたをフォローしたりあなたのコメントにいいねできなくなります。また、さんからの通知は表示されなくなります。

さんをブロックしますか?

ブロック

ブロックが完了しました

ブロック解除

ブロック解除が完了しました

機能制限のお知らせ

現在、コメントの違反報告があったため一部機能が利用できなくなっています。

そのため、この機能はご利用いただけません。
詳しくはこちらにお問い合わせください。

ユーザーをフォローすることにより自身の基本情報
お相手に公開されます