サイバー犯罪を「他人事」と思っている人へ |慶應義塾大学大学院 砂原秀樹 第2話
取材・文/鈴木俊之、写真/荻原美津雄、取材・編集/設楽幸生(FOUND編集部)
前回は、「マナーや道徳」がサイバー犯罪から身を守る方法である、ことについてうかがいました。
今回も砂原先生に、サイバーセキュリティの世界についてうかがいたいと思います。
砂原秀樹(すなはら・ひでき)
慶應義塾大学大学院メディアデザイン研究科 教授
慶應義塾大学先導研究センター サイバーセキュリティ研究センター 所長
1960年兵庫県生まれ。1988年慶応義塾大学理工学部博士課程修了。2008 年 4 月より現職。
村井純(慶應義塾大学環境情報学部教授)らとともに、1984 年から JUNET、1988 年からWIDE プロジェクトを通じて、日本におけるインターネットの構築とその研究に従事。2005 年より東京大学江崎浩教授と共にインターネットを通じて環境情報を共有する Live E! Project を開始。
この他、自動車や様々なセンサをインターネットに接続して、新たな情報通信基盤を構築するプロジェクト、パーソナル情報を安心・安全に活用するためのフレームワーク「情報銀行」に関するプロジェクトを進行中。
「事故は必ず起こる」を前提に「準備せよ」
――今、産業界では生産工程にIоTを導入する動きが盛んです。
これをハッカーに狙われたらたいへんなことになりますね。
砂原秀樹氏(以下、砂原):
「これも対策は、メール詐欺などと同じです。
たとえばIоTの機器だけなら300円、セキュリティやサポートサービスを付けると1000円だとします。
この時、経営者はどちらを選択するかという問題なのです。
つまり、IоT機器がハッキングされる危険性をちゃんと認識しているのか、ということです。
サイバー攻撃にさらされるのは、この時、経営者が300円を選んでしまっているケースがとても多い。
また、1000円払うだけでは足りません。
自社を理解している人間が常にセキュリティ対策をするような体制を築く強い必要性があると思います。
つまり、自社でセキュリティの専門家を養成しなければならない。
なぜ外注ではなく『自社の人間』なのか。それは自社のどの情報を守るべきなのか、コストはどれくらいかけられるのかなどの調査や判断などは、外部の人間に任せられないからです」
――現状、日本の企業の意識はどの程度なのでしょう?
砂原:
「まったく低いですね。とくに経営者です。
海外では経営者もプロです。サイバー攻撃を受けて工場がストップしたりデータが流出したりしたら、責任を問われ、首が飛ぶ。
一方、日本企業の経営者は自社内で出世した人がほとんどです。責任感や責任能力は比べるべくもありません。
先ほどの300円と1000円の話でいうと、『安いほうがいいに決まっている』と300円を選んでしまう人が、いまだに大半なのです」
――でもたしかに、セキュリティはお金ばかりかかって、利益を生まないように思えます。
砂原:
「そういう誤解が、日本ではなかなか解けない。
だから、社内のセキュリティ担当者に対する評価も低い。何も起きなくて当たり前ですから。
そこへ傾けた努力がまるで評価されない。セキュリティ担当者は、場合によっては、数億、数十億、数百億円の価値を、必死に守っているんです。
それに加えて、同じ社員のパソコンを監視したり、セキュリティのためにあれこれ指示を出さなくてはいけない。
一般社員から見たら迷惑この上ない存在です。評価されず、スパイのように見られ、みんなに煙たがられる。
ぼくが企業のセキュリティ担当者になったら、たぶん病むと思います(笑)。『割に合わないから、攻撃する側に回ろうか』と考えても不思議じゃない」
――そんな最悪の事態を防ぐためには、どうすれば?
砂原:
「『何も起きなくて当たり前』は減点主義です。これではセキュリティ担当者が報われるわけもない。
『こういう対策を講じたから、このデータを守ることができた』
『この状態の時に防いだから被害はこの程度で防げたが、このままだったら被害はさらに増えていた』
ということを評価する、加点主義に変えなければならないと思います。
情報は資産です。
だから、情報をリスト化し、自分たちがどんな情報をもち、その情報にどれくらいの価値があり、それをどう守っているのか。
それらのことを、バランスシートや資産管理表で表現することを考えるべきだと思います。
明治大学の菊池浩明先生が、この方面の研究を行っています。
もっともこれはセキュリティ担当者だけの話です。
企業全体で本気になって取り組もうとするなら、一番大切なのは『準備をしておく』ということです。
しかも『事故が起こること』を前提にしなければならない。なぜなら、事故は必ず起こるからです。
先に述べたように、人間の欲望や注意力の低下は抑えることができないものです。
だから、対策というのは、事故が起きた時に一刻も早く発見し、早期に対応できるメカニズムを整えておくことです。
これが『準備しておく』ことの意味です」
――準備といえば、人材の問題があります。
砂原:
「サイバーセキュリティ専門職は、十分とは言えないまでも足りていないことはないし、ぼくは心配していません。
世界に負けないレベルにあると思います。
圧倒的に足りないと感じるのは、上に述べたセキュリティ担当者レベルの人たちです。
たとえば、サーバなどの挙動を見て、『あれ? おかしいな』と気づいて、専門職の人に尋ねることができる人です。
実はこの人材が圧倒的に足りていません。だから、ぼくは『人材不足』だと言いたくない。これは意識レベルの問題だからです。
ぼくたちが、そういう人材を育てるために学部内でプログラムを立ち上げてから10年が経ちました。
しかしどんなにがんばっても年間500人、10年で5000人しか育てることができない」
サイバー攻撃の恐怖――無垢なパソコンが悪に染まるまで
――もっともよくないのは?
砂原:
「最悪な事態は、サイバー攻撃に『気づかない』ことです。
それはどういうことなのか。順を追って説明しましょう。
たとえば現在、何のセキュリティ対策も施していない新しいパソコンをインターネットに接続すると、30秒ももたずにウイルスやマルウェアに侵入されます」
――30秒もたない! 攻撃側はなぜそんなことができるんですか?
砂原:
「彼らは分業制を敷いています。
侵入しやすいコンピュータを探すチームは、インターネット上を巡回するボットを常に走らせている。
そのボットが、
『あ、ここに新しいマシンがある。このマシンはどういうプロファイルだろう。どんなソフトがインストールされているだろう。どんなセキュリティの準備がされているだろ』
というのをチェックするんです」
――ほとんどの企業は社内LANを構築しています。そう簡単に外部から侵入できないと思うのですが。
砂原:
「たしかにLANは、外側からの攻撃には強い。しかし内側からの攻撃にはとても弱い。
今はみんなスマートフォンやノートパソコンを持っています。セキュリティの低いそれらを経由して内側に入り込むんです」
――入り込んだら次は何をするんですか?
砂原:
「何らかの原因で『感染』したコンピュータは、社内ネットワーク内に手足を伸ばし、他のコンピュータに、悪意あるソフトウェアを埋め込みます。
次にこれらの感染したコンピュータがLANの外側にある攻撃側の拠点に手を伸ばしていく。
両者が結びつくと、この拠点から本格的なツールが送り込まれる。
ここまで進行すると、LAN内のコンピュータを、外から自由にコントロールできる状態になっています。
ただし、ふだんはLAN内に潜伏しているだけです」
――それはなぜですか?
砂原:
「依頼を待っているんです。
どこかから、
『某社の某サイトのメールのデータが欲しい』
などといった依頼が寄せられると、潜伏させていたツールを起動して、頼まれた情報を盗み、対価をいただく。
サイバー攻撃は『今、何も起きていないから大丈夫』なのではありません。
ほとんどの人は『すでに起きたことに気づいていない』のです。
サイバー攻撃に対し、最悪な状態は『気づかない』ことだと述べたのはそういう意味です」
――お話を聞くと、大きな組織が実行しているように思えますが……。
砂原:
「いいえ。スタートはひとりで可能です。
悪意のあるひとりさえいれば、企業を陥れることができる。
いま、セキュリティで一番問題になっているのは、この悪意、しかも『強烈な悪意』です。
要するに、社内LANの内側に『強烈な悪意』をもつ人間がいたら、どんな対策もできない――負けが確定するのです。
ところが、誰がその強烈な悪意をもっているかなんて人間はもちろん、コンピュータにだってわからない。
その次がミス。
何度も言うように、ミスは人間の欲望から生まれるものです。これも防ぐことはできない。
話を戻すと、だからこそ、企業のサイバーセキュリティは『事故が起こること』を前提に準備しなければならないんです。
最悪な状態は「気づかない」ということ。
この状態にならないように、
「自分のパソコンは何も起きてないから大丈夫」
「特に盗られてマズいデータは入ってないから平気」
という意識を変える必要があることを学びました。
次回は、サイバーセキュリティの話から、最近注目されている「情報銀行」についても伺いたいと思います。
(つづく)
・サイバー攻撃から身を守る方法|慶應義塾大学大学院 砂原秀樹 第1話
・サイバー犯罪を「他人事」と思っている人へ |慶應義塾大学大学院 砂原秀樹 第2話
・情報も銀行に預ける時代の到来 |慶應義塾大学大学院 砂原秀樹 第3話
株式会社FOLIO
金融商品取引業者 関東財務局長(金商)第2983号
加入協会:日本証券業協会、一般社団法人日本投資顧問業協会
取引においては価格変動等により損失が生じるおそれがあります。
リスク・手数料の詳細はこちらへ
・本コンテンツは一般的な情報提供を目的としており、個別の金融商品の推奨又は投資勧誘を意図するものではありません。
・掲載した時点の情報をもとに制作したものであり、閲覧される時点では変更されている可能性があります。
・信頼できると考えられる情報を用いて作成しておりますが、株式会社FOLIOはその内容に関する正確性および真実性を保証するものではありません。
・本メディアコンテンツ上に記載のある社名、製品名、サービスの名称等は、一般的に各社の登録商標または商標です。