No.015 特集:5Gで変わる私たちのくらし
Scientist Interview

脅威を正しく認識し、自分の頭で対処法を考える

── サイバー攻撃への的確な対処をするためには何をしたらよいのでしょうか。

自分たちを取り巻く脅威を正しく認識し、何を守るべきかを明確にして、自分の頭で対処法を考えることが何より重要です。サイバーセキュリティの専門家は、的確な対処法の考え方や注意すべき視点を示唆することはできます。しかし、世の中で実施して効果を上げたアクションアイテムをそのまま導入しても、各社固有の業務形態に合わなければ効果は得られません。守るべき機密情報は安全な場所にあるのか否か、時間が経過すると情報資産はどのように変わりコピーされていくのか、こうした部分を見極めて対処法を考える必要があります。

また、機密情報を扱う情報システムの運用では、日本人の価値観とは違う人たちが関与するようになったことも知っておく必要があります。現在、情報システムのクラウド化が進んでいますが、データセンターは中国やアメリカに置かれていることが多いと思います。本来ならば、相手を無闇に信じず、責任を明確にした契約を結び、担保も取って機密情報を託さなければいけません。ところが、多くの日本企業は万全の対処をせずに、お付き合いで委託先を決めがちです。自己責任で機密情報を託すのならば、せめてリスクを見定めた上で委託先を選ぶ必要があります。

攻撃者にとって都合がよい時代になった

── サイバー攻撃はどのように高度化、巧妙化してくるのでしょうか。

サイバー攻撃は、私たちが使うITデバイスが変わることで進化します。攻撃者は、常に価値ある情報がある場所を狙うのです。

現在、価値ある情報は、利用者の手元ではなく、クラウドに置かれるようになりました。これは莫大な情報が集まるシステムを、数多くの利用者が共有する状態ですから、それに乗じた攻撃が増えているのは当然でしょう。情報システムを利用する人の中には、ITリテラシーの低い人たちが必ず含まれます。こうした人たちは、不審なメールであってもすぐに開いてしまうので、それを利用してサーバやデータセンターの情報を狙うのです。最近では、中国のサイバー攻撃者集団「APT10*3」による、「Managed Services Provider(MSP)*4」を狙った、企業の資産や取引上の機密情報の窃取を目的とした攻撃が増加傾向にあります。

── 生活やビジネスの中で、スマートフォンは欠かせないツールになりました。どのようなセキュリティ対策を施せばよいのでしょうか。

スマートフォンには、以前から多くの脆弱性がありました。ただし、かつてはそこに価値ある情報が少なかったため、狙われなかったのです。しかし、今はそこでバンキングサービスや証券取引が行われています。攻撃者にとって、魅力的な対象になったのです。そのため、様々な攻撃が次々に見つかっています。

恐ろしいのは、製造過程でマルウェアが入る例が多くあることです。私たちは、年間十数件以上見つけています。この事実は、なぜか日本ではあまり知られていません。スマートフォンは全世界で数十億人が使っていますが、ITリテラシーが高いユーザはわずか数%に過ぎず、攻撃者からすれば攻撃対象はよりどりみどりの状態です。そのため、スマートフォンは既にそのような状態にあるということをまず認識すべきであり、購入する端末は順法精神の高い国で作ったものを選んだ方がよいと考えています。

── 怖くて、スマートフォンを使えなくなるような話ですね。ちなみに名和さんは、どのようなスマートフォンを使っているのでしょうか。

プライベートでは国産端末と「iPhone」を、業務ではスイス製端末「Blackphone2*5」を使っています。国産端末もiPhoneもセキュリティ上万全とは言えません。しかし、職業柄、変に自分を隠すとかえって目立つと考えて、支障のない範囲の用途に使っています。一方、スイス製のBlackphone2は、かなり安心な端末だと言えます。スイスは永世中立国であるため、各国の覇権争いに関する力が及ばない国であり、セキュリティ上の安心感があります。

Blackphone2
[図2] Blackphone2
出典:Silent Circle社のホームページ

他人から自分の利用状況を知られないようにする戦略は、大きく分けて2つあります。1つは大衆の中に紛れること。もう1つは他人から動きを知られないように配慮された場所にいることです。サイバー攻撃の標的となる確率を低くするには、分数の分母を大きくするか、分子を小さくするかのいずれかを行えばいいということになります。私は常にサイバー攻撃と対峙する立場にあるため、正直怖いので自衛手段としてこうした使い分けをしています。

[ 脚注 ]

*3
APT10: 米国、欧州、日本の土木建築企業、航空宇宙企業、通信企業、官公庁を標的として、高度な標的型攻撃を行うサイバー攻撃者集団。
*4
Managed Services Provider(MSP): 企業が保有するIT情報基盤の運用・監視・保守を請け負う(代行)する事業者のこと。
*5
Blackphone2: Silent Circle社製のスマートフォン。VPN、ストレージの暗号化、独自のアプリによる通話やSMS / MMS の暗号化などのセキュリティ機能が高度に実装されているスマートフォン
https://www.silentcircle.com/products-and-solutions/devices/

Copyright©2011- Tokyo Electron Limited, All Rights Reserved.