前回は、インターネットの黎明期から海外、特にアメリカの最新セキュリティ製品を国内に展開してきた筆者の目線で見たサイバーセキュリティの変遷についてご説明しました。

今回からは、過去と現在で大きく変わったと感じている「人の脆弱性」に注目したサイバーセキュリティの話をしたいと思います。まずは、現実世界の犯罪とサイバー空間の犯罪を比較し、セキュリティ対策のトレンドをご紹介します。

賢い犯罪者はサイバー空間に集まる?

実社会にしろ、サイバーの世界にしろ、目的を持った犯罪者は、なるべく捕まるリスクが少なくて、得られる利益が大きいフィールドを選ぶと言われています。迅速に目的を達成でき、身元が割れず、痕跡が残らないフィールドがベストなわけです。

最近では、コンビニ強盗などが減っている一方で(『余談:コンビニ強盗が激減した理由』参照)、サイバー空間での犯罪は増えている傾向にあります。その匿名性から、犯罪者が目的を達成するうえでは、相対的に物理空間よりもサイバー空間のほうが”割の良い”場所になっていると言えます。

[余談]コンビニ強盗が激減した理由

現実世界の犯罪の例としては、コンビニ強盗がわかりやすいかもしれません。

ある調査を見てみると、2003年頃にコンビニ強盗はピークとなり、2007年には一度底を打ちます。その後、リーマンショックの影響からか、2008年から2009年までにいったん件数が上昇しますが、2009年以降は、再び減少傾向に転じます。2016年にはコンビに強盗の発生件数は2009年の半数以下となっているようです。

あくまでも私の想像ですが、減少の理由は、コンビニ側もコンビニ強盗に対して技術的・オペレーション的に対策を打ってきたからだと思われます。

  • 技術的対策 : 警察への通知システム、カラーボール、監視カメラの設置。監視カメラはVHSからIPカメラへ。高解像度で長期間保存し、犯人を特定しやすくしている
  • オペレーション的対策 : 警官立ち寄り所の張り紙、フルフェイスヘルメット入店は即通報、夜間はそもそもコンビニレジに現金を置いていない

このような対策を強化することで、今やコンビニ強盗検挙率は8割を越え、裁判ではほぼ実刑になっているそうです。こうして見ると、コンビニ強盗は”割が悪くなった”ために、発生件数が激減していると考えられます。

サイバー攻撃はコンピュータやサイバー空間からやってきますが、当然のことながら背後には人がいます。

ただし、人手により一件一件攻撃する家内制手工業的なやり口ではありません。クラウドコンピューティングの普及により、事実上無制限のリソースを使って、高速で大規模な攻撃を、安価に、簡単に仕掛けられる環境が整っているので、それを存分に活用します。しかも、クラウドに隠れることで、見つかりにくくなるという副次的効果もあります。

さらに悪いことに、サイバー攻撃に国家が関与しているケースもあると指摘されています。サイバー攻撃には、金銭、知財、政治、思想などにまつわる目的があり、利益を得ようとする主体が大きな組織であることもあるのです。

こうしてみると、サイバー攻撃は攻撃者優位の図式が成り立っているように思われます。

標的型攻撃を防ぐ試み

注意していただきたいのは、サイバー攻撃と一言で言っても、ばら巻き型と標的型の2種類があるということです。

ばら巻き型は、最新のセキュリティテクノロジーや製品で防御がほぼ可能ですが、標的型は犯罪者(あるいは団体や国家)が目的を持って標的とする企業を攻撃してきますから、いったん防御に成功しても、引き続き、手を変え品を変え、ダイナミックに、より高度な攻撃を仕掛けてきます。

高度な検知とDeception

こうした標的型攻撃への対策については、さまざまな試みが続けられています。

標的型攻撃は、既存のマルウェアに手を加えながら攻撃を実施することもあるため、シグニチャやブラックリストですべてを防ぐことは事実上無理です。そのため、振る舞い検知やより高度なマルウェア検知を取り入れる試みもありました。

また、前述のように、防御に成功したとしても、攻撃者からすれば、どこまで対応できるか/できているかの情報を手にすることになります。次の攻撃への手掛かりとして使われ、徐々に陥落することになりかねないため、新たな対策として、目的達成に近づく直前までわざと泳がせておく「Deception(騙し)」と呼ばれる方法も考えられました。

例えば、攻撃者が個人情報を狙ってきていることがわかれば、企業ネットワークへの侵入まではいったん甘受し、例えばターゲットとなる個人情報などに攻撃者がリーチする直前になって一気に対策を講じます。攻撃者を混乱させ、攻撃の時間をかけさせるという戦術です。

攻撃に時間がかかればかかるほど、攻撃者の身元がバレる危険が高まります。攻撃側の目的にもよりますが、それほどのリスクを冒すくらいなら、セキュリティの甘そうな他のターゲットを探す方にシフトしていくでしょう。そうした流れで攻略を諦めさせる戦略です。

Deceptionの実施に向けて

Deceptionを実施するには、常に攻撃者の動きを監視し、意図を理解し、必要な段階で必要な対策を打つことが求められます(図1)。

自社をサイバー攻撃から守るという視点では、図1のような「止めないセキュリティ」は非常に有効な考え方で、一歩先を行っていると言えるでしょう。

ただし、攻撃者を監視し、次の攻撃や打ち手をどうするかを判断・実行するのは、相当なスキルを持ったセキュリティ担当者が必要です。人材面でも費用面でも負担になる体制を敷かなければなりません。自社での調達が難しい場合は、セキュリティ運用のアウトソーシング等を利用するという手もあります。

このあたりの具体的なお話は、次回以降で追ってご紹介しましょう。

[余談]100年前と正反対の日本!?

日本の企業はどうも「モノ」による防御にリソースを投じる傾向にあるように思います。

水も漏らさぬ鉄壁なセキュリティ対策(と考えられるもの)を施し、何を導入したかを秘匿することによって攻撃者に対する優位を保とうとする意識が強いようです。

日本人は、わずか100年前まで木と紙でできた家に住み、ろくに施錠もせずに暮らしていました。当時の外国人が「日本のセキュリティ意識はどうなっているのか」と驚いたという話を聞いたことがあります。

100年前の日本は、多くの人が同じような経済状況で生活し、市井の人々はみんな裕福でもなかったでしょうから、近所に強盗に入っても目ぼしいものもなく、また、神道の考えの「お天道様が見ているぞ」とか、「隣組制度で近所はみんな顔見知り、防犯の意味を含めて相互監視」といった仕組みが機能していたため、「強盗がそもそも少ない=高度なセキュリティは必要ない」という図式ができあがっていたのではないかと想像することができます。

時代は変わり、現在は大都市では隣人の顔も知らないことが多くなってきました。

その結果、世界有数のホームセキュリティシステムがどの家にも施される一方で、隣近所にだれが住んでいるのかわからないという状況が生まれました。流行の「モノ」に頼った対策をすること(みんなと同じことをやっているという安心感)でセキュリティを担保された気になっているのではないでしょうか。

セキュリティリスクは、財産や職業、社会的地位などによって変わってきますので、本来は人それぞれに異なるはずです。自分に起こりうるリスクがどのようなものかわからないという、非常にアンバランスな状況にあるように思えます。

同じようなことがサイバーセキュリティの世界でも起こっていないか、サイバーセキュリティ業界の者として危惧しているところです。

著者紹介


村上 雅則(むらかみ まさのり)
――マクニカネットワークス営業統括部 セキュリティサービス営業部 部長代理

1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の提案を行う。

現在は製品によるサイバーセキュリティ対策もさることながら、お客様におけるセキュリティ運用の重要性の認知向上や課題の解決が優先事項と考え、日々の活動を通じ、お客様のセキュリティ運用における課題解決のため、セキュリティ調査運用サービスのご提案に従事する。