2017年5月22日掲載 ITトレンド全般 InfoCom T&S World Trend Report

ICT再考:サイバーセキュリティを改めて考える~あなたの会社は大丈夫? 他人事にしないセキュリティ対策



はじめに

IoTやFinTech等、新しいICTの話題が出るたびに、セキュリティへの不安が指摘される。一方、多くの企業でサイバーセキュリティへの対策が実施できているのかは疑問である。昨年(2016年)は、内閣官房情報セキュリティセンター (NISC) が8月に「企業経営のためのサイバーセキュリティの考え方」を策定し、これを受けて情報処理推進機構 (IPA) が「中小企業の情報セキュリティ対策ガイドライン 第2版」を改版した。これは、サイバーセキュリティ対策の裾野を広げていくことが必要と考えられている現れの一つと考えられるだろう。

サイバーセキュリティはICT技術に強い人以外にとってはなかなか全体を捉え難い。全体像がイメージできれば、サイバーセキュリティ対策を進める一助となるだろう。本稿では、サイバーセキュリティについて大まかに捉えて、どのような対策をすべきかを改めて考えてみたい。

最近のサイバーセキュリティのトピックス

去る1月31日に恒例の「情報セキュリティ 10大脅威 2017」が発表された(表1)。この中で組織部門では、昨年に引き続き、「標的型攻撃による情報流出」が1位であり、2位が7位から急上昇した「ランサムウェアによる被害」となっており、この2つが組織にとって大きな脅威だったことが分かる。一方、目を引くのは組織部門にも個人部門にもランク外からランクインしたIoT機器関連であり、経済産業省と総務省が「IoTセキュリティガイドライン Ver 1.0」を昨年7月に発表したことと呼応している。サイバーセキュリティの脅威がパソコン、サーバーからスマートフォン、さらにIoT機器へと広がっていることが分かる。

情報セキュリティ10大脅威2017

【表1】情報セキュリティ10大脅威2017
(出典)「『情報セキュリティ 10大脅威 2017』を決定」
(IPAプレスリリース, 2017年1月31日)

標的型攻撃

標的型攻撃について見てみよう。

標的型攻撃のよく知られた例としては、2015年5月に発生した日本年金機構の情報漏洩の事例がある。これは、外部から送付された不審メールの添付ファイルを職員が開封したことにより、不正アクセスが行われ、基礎年金番号、氏名等、約125万件の個人情報が流出したという案件だった。

標的型メール攻撃の件数の推移

【図1】標的型メール攻撃の件数の推移
(出典)「平成28年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁公報資料, 2016年9月15日)

この攻撃にはメールが使われることが多く、メール本文、添付ファイルで受信者の興味を引いて添付ファイルをクリックさせ、ウイルスに感染させる。ウイルスに感染しても本人は気付かず、知らないうちに重要な情報を盗まれてしまう。情報漏洩の事件となるわけである。標的型メールは組織を特定して送られるため、ウイルスが明らかになるまで時間がかかることが多く、ウイルス対策ソフト(アンチウイルスソフト)で検知できないこともある。

こうした標的型メール攻撃は日本年金機構の事件があった2015年から増加傾向にあり、2016年上半期は2015年上半期より約3割増となっている(図1)。被害のインパクト、件数の増加から「情報セキュリティ 10大脅威 2017」の1位になったのも頷けるものである。

ランサムウェア

ランサムウェアについて見てみよう。

ランサムウェアとは、身代金を意味するランサム (ransom) とソフトウェア (software) を組み合わせた造語である。このウイルスは、感染先のパソコンのデータを強制的に暗号化したり、データへのアクセスをロックしたりすることによってパソコンを使用不能にしたのち、データ復旧を条件に身代金を要求するというソフトウェアである。感染経路としては、メールからの感染やWebサイトからの感染、ダウンロードしたファイルからの感染がある。

ランサムウェアの被害も増加傾向にあり、2016年第2四半期(4~6月期)のIPAへの相談件数も前年同期比で3倍となっている(図2)。また、トレンドマイクロの調べによると、ランサムウェアによる総被害金額は、約半数の46.9%が「500万円以上」と回答しており、被害は小さくない。まさに脅威となっている(図3)。

「ランサムウェア」相談件数の推移

【図2】「ランサムウェア」相談件数の推移
(出典)「コンピュータウィルス・不正アクセスの届出状況および相談状況(2016年第2四半期)」(IPA, 2016年7月25日)

ランサムウェアによる被害総額

【図3】ランサムウェアによる被害総額
(出典)「企業におけるランサムウェア実態調査 2016」(トレンドマイクロ, 2016年8月1日)

標的型メール攻撃の件数の推移

【図1】標的型メール攻撃の件数の推移
(出典)「平成28年上半期におけるサイバー空間をめぐる脅威の情勢等について」(警察庁公報資料, 2016年9月15日)

また、攻撃対象が広がっているのも昨今の特徴と言えるだろう。例えば、標的型攻撃については2011年には小規模企業(1~250人)が標的になっている割合が18%であったが、2015年では43%になっている(図4)。大規模企業が標的になっていたという状況から、規模の大小にかかわらず標的となるようになったということだ。経済産業省の企業規模別に見た情報セキュリティ対策実施状況によると、中小企業のセキュリティ対策の実施状況は大企業より10~20ポイント程度進んでいない(図5)。これは、攻撃を仕掛ける側がインパクトや利益の大きい組織を狙うというより、より弱みの多い所を狙うようになったということと考えられる。規模の大小を問わず、隙がある所が狙われるのである。

標的型攻撃の企業規模別割合の推移

【図4】標的型攻撃の企業規模別割合の推移
(出典)「情報セキュリティ白書 2016」(IPA, 2016年7月14日)

企業規模別に見た情報セキュリティ対策実施状況

【図5】企業規模別に見た情報セキュリティ対策実施状況
(出典)「2016年版 中小企業白書」(中小企業庁, 2016年7月1日)

大企業、大組織を攻撃された例は、2015年5月の年金管理システムサイバー攻撃のように大きく取り上げられる。一方、小規模企業が狙われた場合は明るみになり難い。しかし、上述したとおり中小企業も狙われている。中小企業の方とお話しすると「サイバー攻撃されたとしても大した情報を持っているわけではないので大丈夫」という声を聞く。しかし、本当にそうだろうか。

例えば、2016年3月9日に産経ニュースが報じたところでは、従業員10人の健康食品販売会社「京都ヘルスケア」の例を見てみよう。同社が運営するショッピングサイトで販売した顧客の氏名や住所、クレジットカードの情報が流出したという疑いが指摘された。この後、サイトは閉鎖されて再開のめどは立たないという。同社の担当者は「120%万全であると確認出来なければサイトは再開できない。離れてしまったお客様が戻ってきてくれることはないだろう。」と話しているということだ。事実上の業務停止状態になるわけであり、体力のある大企業より、中小企業の方がむしろ危険度が大きいと言えるかもしれない。

主なサイバー攻撃とその目的

さて、サイバー攻撃を大雑把に捉えるために、まず、どのような攻撃があるのかを見ておこう。サイバー攻撃は近年では巧妙になり、複雑化しており、1つの攻撃に複数の方法が複合して用いられる場合がある。このため、一概に漏れなくダブリなく示すことは難しいが、大まかに攻撃対象になる情報・情報機器へのアクセスの観点から主なものを考えると以下のようなものがある(図6)。

サイバー攻撃のいろいろ

【図6】サイバー攻撃のいろいろ(図6~8の出典)筆者作成

盗聴

盗聴とは第三者から情報を盗み見たり、抜き取ったりする行為である。例えば、オンラインショッピングにおいて、ショッピングサイトに送信した番号をインターネット上で盗み見るような場合である。

破壊・改竄

悪意を持ったユーザーが侵入の標的となる企業や個人のパソコンやサーバー等に侵入し、情報を破壊したり改竄したりすることである。例えば、上述したランサムウェアによる攻撃は破壊・改竄の一種である。パソコンに送り込まれたマルウェア[1]がデータを書き換えてその情報を使えないように改竄し、データを使えるように戻すことと引き換えに身代金を要求するという不正である。

なりすまし

ネットワークは相手が見えないので、第三者が当事者を名乗ることにより不正な行為を行うことがある。これはなりすましと呼ばれる。例えば、標的型メール攻撃では、差出人の名前を詐称、即ち、なりすますことが多い。差出人の名前を詐称したメールにマルウェアを添付して送りつけることにより、受信者を通常の仕事やプライベート内容と誤認させ、マルウェアを実行させることにより、パソコンの中の情報を盗み出すという手口である。2015年の日本年金機構の情報流出事件はこのパターンである。

踏み台

踏み台とは、自分の身元を隠すため、乗っ取った他人のパソコンやサーバーを遠隔から操作して攻撃すること。攻撃のための中継基地として他人のパソコン等を使うことから「踏み台」と呼ばれる。

サービス妨害 (DoS: Denial of Service) 攻撃

サービス妨害攻撃とは、サーバーやネットワーク機器に意図的に過剰な負荷をかけたり、ソフトウェアの欠陥を突いたりすることによりサービスの正常な動作を出来なくすることである。例えば、Webサーバーに細切れの多数のデータや巨大なデータを送りつけることにより、サービスを利用停止に追い込むような攻撃である。最近はマルウェアを拡散させることにより、多くのパソコンやサーバーを踏み台にして標的となるサーバーに多数のデータを送りつける分散型サービス妨害 (Distributed DoS: DDoS) 攻撃が多くなっている。分散型にすることにより個々の攻撃側パソコンの能力が低くても全体として大きな影響を与えられるとともに、多方面から攻撃されるため防御もしにくく、犯人も特定しにくくなっている。

サイバー攻撃の捉え方

なぜサイバーセキュリティの話題は難しいか?

どうしてサイバーセキュリティを理解するのが難しいのだろうか。

第一には、モノとして見えないからであろう。イメージを捉えられないため、何に対してどこまでの手を打てているか、どの程度まで対策をすべきかが見えない。

第二には、系統立てて理解するのが困難だからである。サイバーセキュリティの問題は悪意を持って隙を突くことであるため、系統的に整理するのが難しい。全体像が掴みづらいのである。

第三には、言葉・用語が難しいことである。主としてトラブルを扱う話であるため、ニュアンスが大事になり、一般的な用語より専門用語を使う傾向が見られる。例えば、「脆弱性」という言葉が使われる。これは “vulnerability” の訳であるが、通常は「弱み」とか「弱点」と訳される。一方、セキュリティの文脈での使われ方としてはソフトウェアの欠陥について示すことが多い。「ソフトウェアの脆弱性の解消」というより「ソフトウェアの弱点の対策」とか「ソフトウェアの欠陥への対処」といった方が分かりやすいのではないだろうか。

以下では、ソフトウェア等の技術に馴染みの薄い方を想定し、なるべく分かりやすくセキュリティ対策のポイントを述べてみたい。記述は用語等の正確さよりも全体的なイメージを捉えることを優先するので、ご容赦願いたい。

サイバー攻撃のパターン

これまで述べてきたように、様々な種類の攻撃があり、複数の攻撃を複合的に組み合わせることが多くなっている。こうした捉えどころがないものを見通しよく理解するには、大胆にパターン分けすることが良いと考えられる。ここでは以下の3パターンに分類して理解することを提案したい(図7)。

サイバー攻撃のパターン

【図7】サイバー攻撃のパターン

(1)機器を直接攻撃する

パソコン、サーバー、ルーター等のネットワーク上にある機器を直接攻撃されることがある。攻撃の内容は、第三者によって機器への命令(コマンド)を送り込まれて、勝手な操作をされたり、データを削除されたり、細切れの多数のデータや巨大なデータを送り込まれて機器の正常な動作をさせなくされたりすること等である。

(2)マルウェアを仕掛ける

パソコン、サーバー、ルーター等のネットワーク上にある機器にマルウェアを送り込み、実行させる攻撃もある。マルウェアの実行により、機器を不正に操作することが可能になり、データの漏洩やデータの削除、他のパソコンへの攻撃などが可能になる。

(3)経路の途中で盗む

インターネットはオープンなネットワークであり、ネットワークに流れる情報は第三者に見られることがある。インターネットは多くのネットワークが接続されて出来上がっており、送信者から受信者に至るまでどの経路を通ってきたか分からない。一方、それぞれのネットワークの管理者は管理上の必要がある場合、自分の管理するネットワークを通るデータを見ることができる。悪意を持った人が管理者権限を手に入れた場合、そのネットワークを通るデータを盗聴し、様々な情報を知ることもできる。また、ネットワークによっては管理者でなくとも盗聴が可能な場合がある。

サイバーセキュリティ対策の考え方

セキュリティ対策というのは、上述したサイバー攻撃の3パターンを如何に防ぐかということになる。機器を直接の攻撃やマルウェアから守るため、企業等の構内ネットワーク (LAN) とインターネットの水際部分での対策((1))と構内ネットワーク (LAN) 内の機器ごとの対策((2))とインターネット上の経路に向けた対策 ((3))に分けて考えられる(図8)。

サイバーセキュリティ対策のパターン

【図8】サイバーセキュリティ対策のパターン

(1)水際の対策

機器を直接攻撃することに対する防御は、ユーザーの構内ネットワーク、LANとインターネットの間の水際に相当する所に防御壁、いわゆるファイアウォールを設けるのが重要な対策の一つである。このインターネットへの水際で、不正なアクセスをブロックすることによりユーザーのネットワークの中のデータを守るわけである。この時、入口対策だけでなく、不正なホームページ等に誘導されないように出口対策も必要である。また、アクセスへの対策だけでなく、水際で仕掛けられるマルウェアを捉えることも必要である。

(2)機器ごとの対策

インターネットとLANとの水際で対策するだけでなく、機器ごとの対策も必要である。これは、水際をくぐり抜けた不正なアクセスやマルウェアに対する防御をするとともに、ユーザーのネットワークの中に、ユーザーが誤って、または、メールなどで巧みに騙されてマルウェアを入れてしまったり、悪意のある人間が侵入したりした場合への対策になる。防御の中身は水際の対策とほぼ同様で、不正なアクセスのブロックや、マルウェアを検出し取り除くこと等となる。

(3)経路の対策

経路の対策は盗聴対策が主となる。インターネットの情報の通り道で盗み見られることがないようにするには、どうするのが良いだろうか。情報を読めないようにする手段としては、暗号化という手段が使われる。インターネットを通して重要な情報を送受信する際には暗号化する。例えば、ファイルの送受信に際して暗号化したり、メールそのものを暗号化したり、Webページと情報をやり取りする際に暗号化するのである。

(4)共通の対策

上記(1)から(3)はネットワーク上の位置づけで対策を分類したが、共通に実施すべき対策がある。多くのサイバー攻撃は、機器のソフトウェアやハードウェアの欠陥、いわゆる脆弱性を狙ったものが多いので、脆弱性という傷口を塞いで置く必要がある。このために、ソフトウェアのアップデート等による脆弱性の解消が必要である。

また、これまで述べてきたものは、攻撃を防御する事前対策であるが、実際に攻撃された後の復旧への対策も共通の対策として考えておく必要がある。最も基本になるのは、情報をバックアップしておくことである。情報の更新頻度にもよるが、頻繁にバックアップすること、また、地理的、ネットワーク的に離れた所にバックアップの機器を設置することにより、共倒れの確率を減らすこと、等が重要である。

具体的なサイバーセキュリティ対策

それでは具体的にどのような対策があるだろうか。主な対策ツールを紹介したい(表2)。

情報セキュリティ・ツール

【表2】情報セキュリティ・ツール
(出典)「2015年度 情報セキュリティ市場調査報告書」(日本ネットワークセキュリティ協会)を基に作成)

(1)水際の対策

最も知られているのが不正なアクセスをブロックするファイアウォールであるが、ネットワークとのデータのやり取りの様子から不正なアクセスを見極める侵入検知製品 (IDS) や、さらに防御を行う侵入防御製品 (IPS) といった通信の制御と管理を行うネットワーク脅威対策製品と呼ばれるものが主たる対策となる。

また、上記の機能を複数持った統合型対策製品と呼ばれるものがある。UTM (Unified Threat Management) と呼ばれて有力な防御方法となっている。これは上記の機能を複数持つものであり、ハードウェアとして提供される場合とソフトウェアとして提供される場合がある。様々な機能の組み合わせがあるので、製品の選び方は慎重にする必要があるが、水際の対策を一手に任せることが可能なので、使い勝手が良いものとなっている。

(2)機器ごとの対策

サイバーセキュリティ対策として最も知られているのが、ウイルスソフトであり、多くのユーザーのパソコン等にもインストールされているだろう。これは機器ごとの対策に分類できる。この他、電子メールの送受信やWeb閲覧等から感染するウイルスを検出し、排除・無害化・警告等の対策を行うコンテンツセキュリティ対策製品と呼ばれるものがある。具体的には、スパムメール対策ソフト、URLフィルタリングソフト、メールフィルタリングソフト、DLP (Data Loss Protection) などがある。

また、コンピューターとネットワークの状態や動作をセキュリティ面から管理する機能を持つアイデンティティ・アクセス管理製品と呼ばれるものも重要だ。具体的には、個人認証用デバイス(ワンタイムパスワード等)、電子署名システムと言ったものが挙げられる。

(3)経路の対策

経路の対策に使われるのは、暗号化であり、実際の製品・ソフトウェアとしてはファイルやメール等の暗号化製品がある。メールやWebへのアクセスの暗号化はメールソフトやWeb閲覧のブラウザーに機能として入っているものが多いが、設定などを確認する必要があるだろう。一方、ファイルに対してはユーザーが自ら暗号化して送受信する必要がある。

(4)共通

これら以外に、コンピューターとネットワークの状態や動作をセキュリティ面から管理する機能を持つシステムセキュリティ製品と呼ばれるものがある。セキュリティ情報管理システム、脆弱性検査製品などがある。

以上のようなツールを使った対策があるが、サイバーセキュリティ対策を部分的、または全体をサービスとして委託することも可能である(表3)。セキュリティを担う人材がいない場合や心配な所を部分的にでもアウトソースすることも選択肢として考えてもよいと思われる。

情報セキュリティ・サービス

【表3】情報セキュリティ・サービス
(出典)「2015年度 情報セキュリティ市場調査報告書」
(日本ネットワークセキュリティ協会)を基に作成)

安心・安全なインターネット利用に向けて

インターネットの利用者は全世界で約35億人(ITU推計、2016年)となり、増加し続けている。さらに近年ではIoT機器の増加に伴い、世界中のあらゆるものがネットに接続されている。こうしたIoT機器は新たなサイバー攻撃の標的にも、踏み台としての手段にもされ始めた。

多くの人と空間の制約なしに情報のやり取りが可能になるのは喜ぶべきことだが、一方で、悪意のある人が制約なしに企業や個人の情報機器にアクセス可能になったことでもある。安心・安全にインターネットの利便性を享受するために、サイバーセキュリティ対策は避けて通れない。

サイバーセキュリティ対策は、何を実施すべきか判然としないことが多く、どの程度コストをかけるべきかも多くの人には判断しにくいと言えよう。だが、決して他人事でも対岸の火事でもない。サイバー攻撃では大企業や政府だけでなく、中小企業や個人、さらにはモノまでが常時標的とされており、対策は急務だ。前述の健康食品販売会社へのサイバー攻撃の事例のように、サイバー攻撃を受けて情報が漏洩することによって、信用を失墜し、多額の被害と損失を出してからでは遅い。まずはセキュリティが分かる身近な人に相談してみるのも良いかもしれない。

本稿では、対策の指針として、水際の対策、機器ごとの対策、経路の対策の3つと共通の対策と大掴みに捉えることを提案してみた。安心安全なインターネットへの一助となれば幸いである。

[1]マルウェア:不正に動作させる意図で作成された悪意のあるソフトウェアの総称。コンピューターウイルスやワームなど。

※この記事は会員サービス「InfoCom T&S」より一部無料で公開しているものです。

会員限定レポートの閲覧や、InfoComニューズレターの最新のレポート等を受け取れます。

ICR|株式会社情報通信総合研究所 情報通信総合研究所は情報通信のシンクタンクです。
ページの先頭へ戻る
FOLLOW US
FacebookTwitterRSS