決定版 サイバーセキュリティ: 新たな脅威と防衛策

こんにちは！あゆみーるです(^^)/

今回は、セキュリティについて、私のへぼ知識は10年前の技術レベルでストップしていますから、空白の期間の穴埋めをしたく、発行年の新しい本書に目をつけました！

読み終わってみて、これは良書に巡り会えたなと感じました。きたる５Gインフラにむけてセキュリティ意識も変えていく必要がありますね！

サイバーセキュリティに関心がない方にも、当事者意識をもって危機管理をしてほしいという気持ちが伝わってきました。  前半部分では、実に本書の半分以上を使って世界中でおこったあらゆる事件（事象）について紹介しています。ちなみに、インターネットの世界には国境は存在しませんので、どの国でおこった事件も私たちの生活に関係ないとは言い切れないのです。

決定版 サイバーセキュリティ: 新たな脅威と防衛策

１．サイバー攻撃事件簿

本書では世界中の様々な事件に触れておりますが、すべてを書ききれないため、日本から近い国と、国内の有名なサイバー攻撃例を抜粋して紹介します。

まずは、北朝鮮が行った国家ぐるみの銀行強盗からみていきます。参考記事は以下のとおりです。

北朝鮮、サイバー攻撃で外銀から窃取か（写真＝共同）

みなさんはシマンテックというアメリカの会社をご存知でしょうか。セキュリティソフトウェア「Norton」を提供している有名な会社です。

情報セキュリティーソフト大手、米シマンテックの幹部が10日、米上院の国土安全保障・政府問題委員会で証言し、「北朝鮮に拠点を持つグループがバングラデシュ中央銀行から8100万ドル（約92億円）を奪った」との認識を示した。

これが事実とすれば、ミサイル開発を阻止するために行っていた経済制裁が無力化していたことになります。また、アメリカの映画製作会社ソニー・ピクチャーズ・エンタテインメントが金正恩の暗殺を題材に、北朝鮮の体制を揶揄するコメディ映画の公開を予定していたところ、犯人不明の攻撃を受けました。北朝鮮側は自らの関与を否定しましたが、FBIは北朝鮮政府の関与があったと断定しています。

この事件から、小国が大国に立ち向かえる武器を手にしたと言えます。戦争の形が変わってきています。

寒冷地の発電所がサイバー攻撃を受け、停電が数日続けば、それだけで何万人の命が奪われる危険性があります。同じように、電子カルテを使っている病院が攻撃を受け機能不全に陥ると、考えただけでも恐ろしいです。実はいま、世界は非常に危険な状況なのです。核を使わなくても、遠国から多くの人々の命を脅かすことができるのです。

同じく２０１７年、日本では、日本航空ビジネスメール詐欺事件がありました。

JALもだまされた　こんなに怖い「ビジネスメール詐欺」

17年は日本企業でも被害が本格化。12月には、取引先を装ったメールで旅客機のリース料などの振込先を変更するよう依頼された日本航空（JAL）が、偽の銀行口座に約3億8000万円を振り込み、だまし取られたニュースが世間を騒がせた。

この事件では、「トロイの木馬」が使われた可能性が高いそうです。マルウェア感染させたパソコンを用いて、ビジネスメールを監視しており、本物と見紛うような偽メールを作成することができ、送信するタイミングまで見計らっていたと思われます。

なぜ、こうした企業はメールが偽物であると見抜けなかったのだろうか。岡本氏は「加害者側はさまざまな手段でビジネスメールを盗み見ており、やりとりの詳細や担当者の文体を細かく把握している。詐欺メール特有の違和感がないため、受け取った側は気付きにくい」と指摘する。

これは、騙す側が奇をてらってターゲットを攻撃しています。標的型攻撃ですね。企業では大きなお金が動きやすいため、手のこんだ攻撃がしかけられやすい印象です。ただ、気をつけていても、メールアドレスの一部「l（英字エル）」が「1（数字イチ）」に変わっているかなんて細かい部分ですし、そこをいちいちチェックしていたら通常業務に支障がでてしまうのが現状だと思います。

それでは、次に、私たちをサイバー攻撃から守るにはどうすればいいのでしょうか。サイバーセキュリティの２つの柱をみていきます。

２．サイバーセキュリティ２つの柱（入室管理と事後対策）

サイバー攻撃には無差別型と標的型があり、無差別型では個人が狙われやすく、企業や政府機関・病院は標的型攻撃のマトになりやすいです。

●入室管理・・・マルウェアの侵入を防ぐ

　①メール対策、②ウェブ・ブラウザ対策、③外部メディア対策

●事後対策・・・入室管理で防ぎきれなかった攻撃に対する処理

　①運用監視→情報通信記録（ログ）の蓄積、②事後対応→原因・犯人の追跡や被害後の対応支援

ただし、入室管理は100％ではありませんし、事後対策も被害が出てしまった後の対応であり被害を100％未然に防ぐことは不可能です。

では、それぞれについて詳しく見ていきましょう。

入室管理ーー①メール対策

　毎日大量に届くスパムメールをフィルタリング（選別）して、ユーザーに届く前に破棄してしまおう、というのがセキュリティ企業のメール対策です。フィルタリングが行われるポイントとしては、まず、エンドユーザー端末にインストールされているセキュリティソフトです。それから、社内LANと外部ネットワークとの接続ポイントとなるメールゲートウェイ、契約しているプロバイダによっては、フィルタリングサービスがある場合もあります。

様々な企業が独自の計算方式でメールをフィルタリングしていますが、メジャーなフィルタリング方法の一つとして、パターンマッチング方式があります。指名手配書のように、手配されているファイルをフィルタリングします。ただし、間違って、悪さをしないファイルが指名手配されていまっている場合もあります。重要なメールが、フィルタリングによって捨てられていたという件もあります。

入室管理ーー②ウェブ・ブラウザ対策

　ブラウザを通してやり取りされる情報を厳重にチェックします。実は、ユーザーが操作していなくても、バックグラウンドで１秒間に１００近くの別のファイルを参照していることがあるのです。また、ブラウザを通してユーザー通しでやり取りするときには、暗号化された通信技術が使われます。SSLですね。URLのはじめに「http://」ではなく「https://」と「s」がついていればセキュア通信が確立された合図です。（ただし、これも抜け道があって、例えばウェブサイトを開き、「https://」だと目視確認しても、その見ている部分自体が偽造され、フェイク画像が表示されていたということもあるので絶対安全とは限りません。）

入室管理ーー③外部メディア対策

USBメモリーやCD、DVD、ROMなどの記憶装置を外部メディアと呼びます。２００９年にアメリカがイランの核燃料施設を攻撃した際にはUSBメモリーが利用されています。外部ネットワークから一切遮断した施設を標的にして攻撃する方法を詳しく知りたい方は以下のリンクを読んでみてください。技術的な解説までわかりやすく載っています。

スタクスネット（Stuxnet）とは？仕組みから対策方法まで徹底解説

以前の職場で、業務で使用するUSBメモリーは、自主的に定期的にウイルスチェックをしていました。「事件が起こってから、今後このようなことがないように」動く組織だったため、セキュリティに関する決まりごとがあまり明確ではなかったので、私はあくまで自主的に行っていました。強制力がないのは非常に甘いですよね。

それでは次に、事後対策を見ていきましょう。

事後対策ーー①運用監視

ネットワーク上を往来する情報の証跡監視が運用監視にあたります。サイバー攻撃を受けたとき、犯人を追跡します。もし、情報が流出してしまった場合、企業はまず、被害の実態を正確に把握する必要があります。その次に、原因の究明です。

事後対策ーー②事後対応

どんなマルウェアが、いつどのような方法で侵入し、どのように感染していったのか。また、どのような方法で情報が流出してしまったのか。状況が解明できたら、公表の方法やタイミングについて検討していきます。これらを自社だけで対応するのは困難なため、セキュリティ企業が支援します。

３．サイバーセキュリティの具体的な戦術

　前述の入室管理により、外敵をみつけることが重要です。マルウェアを見つけて、エンドポイントに到達させないようにするのが入室管理となります。ここでは、マルウェアを検出する方法を５つ紹介します。①パターンマッチング方式、②レピュテーション方式、③サンドボックス方式、④振舞検知方式、⑤ホワイトリスト方式です。では順番に見ていきましょう。

①パターンマッチング方式

　マルウェアの検知によく使われている技術です。

　わたしたちが扱うファイルには、シグニチャーと呼ばれる個別の数値があります。シグニチャーは１０桁とか１６桁の数字で表されます。すべてのファイルにはシグニチャーがあり、同じものはありません。ファイルを作成すると、そのデータやサイズなどの数値が、決められた計算式に当てはめられ、そのファイルのシグニチャーが自動生成されます。もちろん、マルウェアにもシグニチャーがついています。

　不審な動作をするマルウェアが確認されると、ウィルス定義データベース（パターン・ファイル）に記載されます。ほとんどのセキュリティ対策ソフトは、入室管理の段階でこのパターン・ファイルに記載されているファイルを見つけると、通過や侵入を阻止します。

②レピュテーション方式

　レピュテーションとは、評判・名声を意味します。①パターンマッチング方式では、データが倍々ゲームのように増えていきます。データが増えると運用が難しくなるため、それを補うのがレピュテーション方式となります。

　セキュリティ企業がもっているデータセンターには、世界中のさまざまなマルウェアその他のデータが収集、蓄積されています。ユーザーのパソコンにファイルが送られてくると、データセンターに問い合わせ、そのファイルの評判を確認します。手配書には載っていないけれど、安全性に不安があるファイルを検知した場合をグレーゾーンと呼びます。例えば、データセンターに照会して、「１０万台のパソコンにダウンロードされた実績があるが、感染の報告はない」ものと、手配書には載っていないが、ダウンロード実績が数件しかないようなファイルであれば、閲覧するのは危険です。感染者第一号になる危険があるからです。

③サンドボックス方式

　①パターンマッチング方式で通過し、②レピュテーション方式での評判もまずまずのファイルであっても油断は禁物です。おとなしいふりをして裏で悪いことをしているマルウェアである可能性があるからです。それを見分けるのがサンドボックス方式です。

　入室管理をくぐり抜けたファイルを、隔離エリア（サンドボックス）で実行してみます。ファイル側からは、実行場所が隔離されているエリアだとはわからないようになっています。そして、サンドボックスでなにか怪しい動きをしないか監視します。

　この方法にも難点があります。サンドボックスで安全性が確認されるまでの時間、ユーザーがこのファイルを使えないのです。また、すべてのファイルをサンドボックスで隔離していると、動作が遅くなり、ユーザーにストレスを与えてしまいます。ファイルが活動をしなければ怪しいか安全か確認できないのですが、マルウェアのなかには、すぐに活動を開始しないものも存在します。このような（ユーザーがイライラしない範囲での足止めで判別できない）場合には、やむなく通過させてしまいます。

④振舞検知方式

　その名のとおり、異常な行動をするファイルを排除します。マルウェアには、ある種の行動パターンがあります。膨大な過去のマルウェア情報をAIを使ってコンピュータに学習させ、怪しい行動を検知します。

　しかしこれも完璧ではありません。マルウェアは日々進化していますから、もし、潜伏していたマルウェアが機会をうかがい、行動を開始すると振舞検知方式で検知しても、情報は盗まれた跡だったりするので手遅れになります。

⑤ホワイトリスト方式

　あらかじめ登録したアプリケーション以外はパソコン上で起動しないようにします。登録したプログラムに関連したファイル以外は、マルウェアが潜んでいようがいまいが、すべてシャットアウトします。かなり安心ですが、同時に利便性にも欠けます。

　登録したアプリケーションで動くファイルであっても、安全とは断言できません。時限爆弾が仕掛けられている可能性もあるからです。ダウンロードした当初は登録したアプリケーションファイルであっても、３日後にマルウェアに変身するような仕掛けです。これは防ぎようがありません。

　セキュリティソフトは、以上の５つを組み合わせて設計されています。

４．それだけでは網羅できない！？５Gに合わせたセキュリティ対策を！

先ほど、入室管理と事後対策について触れました。新しいマルウェアは毎日１００万個以上作られていると言われています。１年だと４億個以上であり、ハードウェアの容量に換算すると５GBです。３年前は７００MBだったことを考えると、３年間で７倍になっています。これらを、毎日すべて更新していくのは手間と時間がかかり現実的ではありません。

　ここで大切なのは、サイバーセキュリティの本質は、悪いやつを見つけることではなく、悪いことをさせないということです。つまり、盗られるとまずい情報をすべて金庫の中に入れておき、金庫を守るのです。金庫の中身を暗号化しておけば、万が一盗まれても、中身が見れないので悪用されないのです。情報を盗み出しても、意味を理解するのは機械ではなく人間です。盗み出した人間に解読されなければ問題ないというわけです。システムでいうと、なにかの危害を加えようとする不正な行為を未然に阻止してシステムの安全性を確保します。

　いままでのように、マルウェアを見つけださなくてもよく、侵入されても悪さをさせないため、未知のマルウェアであっても、システムの安全性が確保できます。

　マルウェアの未知や既知、過去のマルウェアの情報に依存することなく、金庫（システム）を強固に守ることができるのです。セキュリティ＝セーフティに発想転換することが、究極のサイバーセキュリティとなりえます。

４Gから５Gへの移行にともない、セキュリティにも新しい課題が出てきます。５Gがはじまり、IoT時代が到来すると、OSやプロトコルが乱立している（汎用性がない）ため、多種多様なデバイスを汎用的に守るセキュリティ・システムが求められます。

　また、さまざまなデバイスに合わせて、それぞれのアップデート環境が異なります。アップデートにはユーザーの許可が必要ですが、エアコンや冷蔵庫などすべてがそれぞれのタイミングでアップデート許可を求めてくると、それもユーザーにとって負担になりえますし、ユーザーが許可を出すためには、ディスプレイや許可を出すための入力機器の設置、さらに言語を使っての文字入力をサポートするソフトウェアやそのソフトウェアを動かすためのパソコンが必要になります。そうなると製作コストがかさみ、高価になってしまいます。

　５Gインフラの整備に、中国のファーウェイが安価を売りにアフリカを中心にシェアを獲得していますが、これは大変危険なことです。Connected Worldでは、日常生活で使用するあらゆるものがインターネットに繋がります。情報通信インフラは、電気や水道・ガスとならび、人々の生活になくてはならない社会基盤となることが予想されます。水道事業は地方自治体、電気やガスは民間ですが厳しい規制があります。そういった事業に外国企業が参入することは考えられません。

　それはどうしてでしょうか。たとえば、国際紛争が発生して対立関係になった場合、安全保障上、電力やガスが人質に取られることはあってはならないからです。特にインフラ事業者は、簡単にバックドアを作成することができるからです。先に述べた北朝鮮の例を思い出してみると、すでに、国家と深い関わりをもったハッカー組織が、サイバー戦争を繰り広げています。日本も無縁ではないため、当然標的にされます。このように、情報通信インフラを外国に委ねるのは、日本のデジタルデータをどうぞご自由にお使いくださいと言っていることであり、とても危険です。

　４Gのいまは、ユーザーが意思をもって情報にアクセスしていますが、５Gになると、ユーザーが意識せずとも脈拍や睡眠状態などのプライバシー情報を情報家電などが自動的にやりとりします。

　こういった非常にデリケートなプライバシー情報を、信頼できる相手とだけ通信することが求められます。それが、トラスト管理です。トラスト管理とは、信頼できる相手かどうかを継続的に判断して、不正な相手との接続を事実上遮断し、信頼できる相手とだけ情報のやりとりをするシステムを作ることです。トラスト管理には、認証と暗号化などの技術を用います。これについては、専門用語が多くなり、技術も少し複雑になるため、詳細が気になる方は、私よりも詳しく解説しているサイトがたくさんありますので、そこを参照してください。下にいくつかリンクをはっておきます。（多分、簡単な内容なら高校情報の教科書範囲です）

暗号化と認証について

アテステーションの理解

　次世代セキュリティソフトの条件は、Safety（安全）、Small、Simpleの３Sです。Safeyの実現には、「認証」「暗号化」「アテステーション」「秘匿認証技術」の確立が必要です。あらゆるデバイス上で動作するには、軽量で小さく、高速・高性能かつプロセッサーへの負荷軽減が求められます、それがSmallです。最後のSimpleですが、IoTデバイスはOSもプロトコルも多種多様であり標準性がないため、すべてのIoTデバイスで作動し、アップデートも不要（Set&Forget）であることが求められます。そのためには単純な構造でなければなりません。