サイバー攻撃との終わらない戦いから会社を守るには?太田大州に聞く(前編)

日本企業をターゲットとしたサイバー攻撃が多発しています。その背景には攻撃を仕掛ける者たちの目的の変化があると言われています。これまではWebの不正な書き込みなど愉快犯的な攻撃が多数を占めていましたが、現在は金銭や情報の不正搾取をはじめ、特定の企業のシステムそのものを破壊しダメージを与える目的の犯罪が増加しています。こうした現実にどう立ち向かえばよいのか、富士通のセキュリティビジネスを牽引する、セキュリティイニシアティブセンター 太田大州センター長に語っていただきました。

日本の会社がサイバー攻撃のターゲットにされているのは本当でしょうか?

2013年3月20日。韓国最大の農協系銀行をはじめ複数の大手銀行と、「冬のソナタ」などで知られる公営放送局KBS(韓国放送公社)などのメディアを標的にした「サイバーテロ」が起こりました。その結果、同時多発的にシステムが停止し、再起動も行えない状況となり、銀行ではATMやオンラインバンキングサービスが停止。一部の放送局ではラジオが放送できない事態に陥りました。このサイバー攻撃によって韓国国内の約5万台のPCやサーバーが影響を受け、その被害総額は8672億ウォン(約780億円)とも言われています。

これまでスパイウェアなどで「個人情報が盗まれる」などの事件は各地で頻発していましたが、国家規模でシステムが破壊されたことで注目を浴びました。この事件をきっかけに「経営リスクとしてのサイバー攻撃」が真剣に議論されるようになったのです。

この事件の感想を求められた私は、「いつか起きると思っていました。私からすると想定内です」と発言し、非常に驚かれました。

私がお客様にお話ししているのは、日本企業の90%に近い会社で、「マルウェア」と呼ばれるコンピュータウィルス、スパイウェアなど「悪意のあるソフトウェア」が社内のネットワークに入り込み活動しているという現実です。知らない間に、「情報漏えい」や「遠隔操作によるパソコンの乗っ取り」などの被害がどんどん拡大しているのです。

日本企業はかなり前からこうした悪意のあるソフトウェアに侵入されています。そしてそれらの中には、侵入した痕跡を自ら消し、何もなかったかのように活動を続けるものもあります。

私たち富士通は、お客様にICTを使っていただくことで、お客様の利益に貢献する企業です。しかし、このようなサイバー攻撃はそのICT自体を止めてしまいます。それに対して何の提案も施策も打たないのは無責任ではないかということで、富士通では4年前からこの分野の強化を実行しています。

気づかない間にサイバー攻撃の対象となっている可能性があるということですね。

そうです。ひとつ、こうしたマルウェアによって引き起こされた重大な事件をご紹介しましょう。ある化学メーカーの遠心分離機の制御PCがマルウェアに感染し、周波数変換装置が乗っ取られ、約8,400台の遠心分離機の全てが稼働不能に陥りました。仮に同様なことが一般企業の工場で起きた場合、多額の損失はもちろん、製品の品質劣化を通じてこの企業を貶めるなど、サプライチェーン全体にも影響を及ぼします。

地震や台風などの自然災害とは違い、サイバー攻撃は、狙われた企業のみが重大な損害を被ります。つまり、サイバー対策の遅れは企業の生存にかかわる致命的な経営的リスクにつながるのです。

対策は進んでいるのでしょうか?

こうした未知の脅威を検知し、攻撃をブロックする製品が、世界各国で開発され、市場にも多く出回っています。しかし、こうした製品を導入したからといって、サイバー攻撃から自社を守ったことにはなりません。

すでに導入した企業の担当者に話を伺ってみると、共通した二つの問題があることが分かりました。一つは「どの製品を使ってよいか悩んでいる企業や担当者が多い」ということです。開発メーカーの担当者に聞くと、どの担当者も「うちの商品が一番マルウェアをキャッチできます。最高です」と太鼓判を押す。これではどれを導入すればよいのか判断がつきません。

もう一つは「運用」です。こうした製品はマルウェアやウイルスの侵入に対し、「グレーなものはすべて遮断する」「絶対にクロと判別したものしか遮断しない」など、必要に応じて感度をチューニングすることができます。

チューニング次第では、人が追いつけないほどの数を検知したり、反対に、まったく検知しない場合もあります。けれども、多くのケースですでにマルウェアは侵入し活動していた、つまり手遅れだったという事例がほとんどです。つまり、いい製品を買ったつもりだけれど、お客様はそれを「使いこなせていない」わけです。この「使いこなせていない」という事実こそ大問題ですね。サイバー攻撃に対する防御という意味では、使いこなすための運用が大切です。

サイバー攻撃に対する危機管理の意識を向上させるためには、どうすればよいでしょうか?

現在、サイバー攻撃対策の優先度を高くする企業が日本全体で増えています。その一方、自社にとってのリスク度合いが分からないので、必要な対策と、それをどの程度実施すべきか分からないというお客様からのご相談が増加しています。

そこで富士通では、実際にマルウェアを使ったデモンストレーションの体験・体感により、お客様にサイバー攻撃を正しく理解頂くための取り組みを始めました。

というのも、多くの方がリスクを「体感」していません。「メールの添付ファイルを開くと感染してしまう」「URLをクリックすると感染してしまう」、そういうことを頭では分かっているのですが、感染したら具体的にどのようなことが起きるのか、パソコンを乗っ取られるとはどういうことなのかが分からないのです。そのためにも、まずは体感していただくことが必要だと思い、こうしたデモンストレーションを始めました。

そこで体験された方の多くが、フォルダのデータをすべてのぞかれ、知らないうちに写真が撮られている現実に衝撃を受けます。インターネットというのは、自由社会が作り出したすばらしい産物です。しかし、こうしたサイバー攻撃に対する危機管理を徹底しなければ、インターネット自体が使えなくなってしまいます。そのことを、企業のリーダーである経営者は理解して、適切な決断をしていただくことが必要となります。

経営者の意識の問題なのですね。なにか分かりやすい事例はありますか?

はい、サイバー攻撃に対する経営者の意識の低さが致命的なトラブルにつながった事例をご紹介しましょう。

アメリカの小売店で実際に起きた事件です。アメリカはクレジットカード社会なので、普段の買い物にもクレジットカードが多用されます。通常、クレジットカードの個人情報は暗号化されているので、仮にそのデータが社外に持ち出されたとしても読むことはできないと考えられていました。担当者は安心していたんですね。でも、ある日、その小売店のシステムがマルウェアの検出を知らせたのです。

現場の担当者はおかしいと思い、すぐさま経営陣に報告をしたのですが、「システムが間違っているんじゃないの? 大丈夫、個人情報は暗号化されているから」の一点張りでした。

ところが後日、FBIから、「御社の顧客データが抜き取られています」と指摘されました。実はそのマルウェアは、クレジットカードのリーダーが読み取った情報を暗号化される前に盗み見る新しい手口だったのです。つまり、この小売店では、クレジットカードが使われる度に、顧客情報がインターネットを通じて、攻撃者のもとに流出していたことになります。

最終的にこの企業のCEO/CIOが退陣することになりました。システム担当者のミスもあるとは思いますが、現場で個人情報を一生懸命守ろうとしても、経営する側がついていけなければ意味がない。この時、サイバー攻撃を知らせるアラートは何回も上がっていたそうです。つまりどんなに高度な感知システムを装備しても、経営者の影響力が強ければ強いほど、現場はその指示に従わざるを得ない場合が多く、こうした事態が防げなくなります。「クレジットカードの個人情報は暗号化されているので絶対に大丈夫」という経営者の過信が、衝撃的な事件に発展したと言ってよいでしょう。

衝撃的なお話しでした。日本企業の90%がすでに悪意あるソフトウェアに侵略されているという前提で、すぐ対策を講じなくてはならないという事実に驚かされました。では富士通は具体的にどのような対策を講じているのでしょうか? そして、さらに巧妙で複雑化するサイバー攻撃の手口についても次号で詳しく解説します。

サイバー攻撃との終わらない戦いから会社を守るには?太田大州に聞く(後編)はこちら