2020/02/10
「デジタル化するグローバル経済社会における"サイバー・フィジカル・セキュリティ"の重要性」 (後藤厚宏・情報セキュリティ大学院大学学長) (「情報通信技術(ICT)と国際的問題」研究会コロキアム)
中曽根平和研究所では標題につき、NTT出身で、現在、政府のサイバーセキュリティ戦略本部員そして内閣府の戦略的創造プログラム(SIP)ディレクターを務める、後藤厚宏・情報セキュリティ大学院大学学長との意見交換を、以下の通り開催しました。
議論の概要は以下3の通りですが、オフレコを前提としていますので、これ以上の詳細は割愛いたします。
1 日時:令和2年1月6日(月) 15:00-17:00
2 場所:中曽根平和研究所 大会議室
3 概要
■サイバーセキュリティを考えるうえで大切な1990年代、そして現在の攻撃動向の4側面
サイバーセキュリティと国際社会との現在的問題を考えるにあたっては、1990年代「インターネット」の、米国から世界への拡がりの時代を振り返っておくことが、大切な材料となる。「不正コンテンツの登場」「暗号化技術の輸出規制」「GAFAの種となるYahoo!の誕生」等々。
サイバー攻撃における大規模な社会的影響は、5年ほど前から見られる。2015年のウクライナ西部における大規模停電は標的型メールによる攻撃が原因とされ、2017年のWindows脆弱性を悪用したランサムウェア"WannaCry"への感染は150か国を超えるものとなった。
こうしたサイバー攻撃の動向には4つの側面があると考える。
〇「攻撃者は、国レベル、システムレベルで、それぞれ弱いところを狙ってくる」という<社会情勢の側面>
〇「攻撃者は経済原理に基づいて、同じ手法の攻撃を別の標的に仕掛けてくる、執拗に繰り返す」という<経済合理性の側面>
〇「社会経済・システムのグローバルな繋がりが攻撃にも利用される」という<グローバル社会の側面>
〇「攻撃者はDark Web(いわゆる闇サイト)で密に連携し、地下市場経済(ブラックマーケット)を活用する」という<組織構造の側面>
■サイバー攻撃技術の「経済活動化」「コモディティ化(普遍化・汎用化)」
上記の4側面がすべて表れているのが、現在主流のマルウェア(悪質ソフトウェア・プログラムコード)の1つ 'Emotet'などにもみられる「標的型攻撃」である。これは概ね、以下の手順を踏む:
①組織内事情を踏まえた巧妙な偽装メールを、攻撃対象組織に送付
②偽装メールのURLを組織内の誰かがクリックしてしまうことでマルウェアがダウンロード
③マルウェアはメールアドレスやパスワードを含めた各種情報を巧妙に搾取(アンチウィルスソフトウェアなどでは感知できない通常のデータ送信を装って外部流出)
④この繰り返しで攻撃戦線を長期間にわたり密かに拡大、次々と組織内PCに感染と情報流出とが広がる。
Emotetは当初、金融口座情報のスキミング(窃取)などに専ら使われていたが、現在では「マルウェアの配信サービス」化しており、これが被害拡大の一因となっている。
このように「巧妙に搾取する」マルウェアが猛威を振るうのは、サイバー攻撃技術そのものが経済活動化・コモディティ化してきたことにその背景がある。当初の、政治的・軍事的動機による「極めて高度な技術力」によるもの(Stuxnetなど)から、「執拗な攻撃を加えた」ものへ、更には「コスト効率を重視して(窃取した情報からの)金銭的価値を追うもの」への拡がりが、コモディティ化を促してきたものである。
いまや世界のサイバー犯罪による経済損失は、年間6,000億ドル(日本円換算で65兆円)ともいわれ、この5%(3兆円)ほどが日本で生じるものとされる。この経済損失の内容には、「個人情報」、暗号資産を含む「金銭」、「知的財産・営業秘密」等が含まれる。
■IoT(Internet of Things)およびサプライチェーンのグローバルな拡がりに対応した「サイバー・フィジカル・セキュリティ」へ
さまざまなモノがインターネットにつながるIoT時代において、サイバー攻撃はフィジカル(実)空間まで到達することになり、経済損失はさらに拡大するリスクがある。これを踏まえ、サプライチェーンについても、欧米をはじめとして、リスクマネジメントに関するフレームワークの導入検討・拡大が進みつつある。
IoTリスク・サプライチェーンリスクの恐ろしいところは「いつの間にか、どこかで、リスクを招くような余計なもの(チップ、部品、ソフトウェアバックドア等)が仕込まれる」危険があるところである。このためには、サプライチェーンの製造→流通→構築→運用といった流れに応じて、かつサイバー空間・フィジカル空間の双方で相互連関した、信頼担保を目的としたエコシステム(生態系)としてのセキュリティを確保していく必要がある。
この検討は世界各国で緒に就いたばかりのところであり、日本では「サイバー・フィジカル・セキュリティ」として産官学連携した形での検討が進められている。
無論、サプライチェーンセキュリティの国際的な取り組みはこれからである。現在は軍事分野の国家調達を中心に一部試行がされており、これが今後産業調達に広がっていくだろう段階。ただしサプライチェーンだけに、適切なコストへの配意も勿論必要となる。
■サイバーセキュリティは「盾」も「鉾」もともに進化-カギは「人」
今後も情報通信技術の進化に伴い、サイバーセキュリティの世界は「盾」たる守る技術も向上するとともに、それをかいくぐるための「鉾」たる攻める技術も進化していく。その時の弱点・盲点は、「人」である。人間が騙されることを防ぎきることはできない。人間がサイバーの世界に関わっていく以上、どこかが隙間になっていく。これはAIが主流の時代になっても変わらないだろう。
サイバーセキュリティの世界において、「人」の関与が不可避になったのは、上述のようにサイバー犯罪が経済活動化・コモディティ化したからといえよう。軍事・安全保障の世界にとどまっている限りはソフトウェア・ハードウェアで止められたものであっても、それが経済活動の世界に浸透する中で、「ソーシャルエンジニアリング」という、いかに人を騙してウィルス等を侵入させ、経済的含めた利益を得るか、という動きが主流になってきた。
しかしながら、従前のソフトウェア・ハードウェアが無駄なわけではない。発生可能性を1/10に縮小できるだけでも大きな意味がある。しかしながらそこから先はやはり「人」の問題である、ということである。「これは怪しい、と気がつく人が増えれば増えるほど」「燃え盛る前にボヤの時点で気づく機会が増えるほど」事故事件の発生は防ぎやすくなる。
またサイバー国際犯罪に、法律をはじめとした制度がなかなか追いついていかないのも大きな課題である。捜査権力や調査機関が犯罪の世界に立ち入ることができないと、実犯罪を防ぐことはできないが、それを一定程度実現できるために、サイバー以前を前提とした諸制度(個人の秘密保持、研究等倫理etc.)をサイバー時代に合わせて適切に見直すことができる国とできない国とで、サイバー犯罪への対応制度のみならず、対応技術力、ひいては犯罪発生リスクにも差がついてしまうだろう。
ここでは、国家間協力も容易ではない。互いに(防御能力のみならず攻撃能力においても)国家機密の手の内をさらけ出すことが難しい中では、ビジネスどうしの約束・信頼がベースとなって進まざるを得ないだろう。企業間での契約や、電子署名等の証明書、共通認証・評価基準、企業の経営リスク管理・情報開示との関係性向上、そしてまたグローバルなクラウドサービスへの実装のようなところで、サイバー国際犯罪を防ぐ仕組みを少しずつ取り入れていくという考え方が現実的であろう。(国家間協力では、これらの動きをサポートしていく、という形ではないか。)
以上