ここ3、4年、世界的規模でサイバーテロが頻発している。特に情報セキュリティ体制の脆弱性と関心の低さを衝かれた日本への攻撃が強まっている。昨年だけでも、まず日本の政治の中枢を担う衆議院議員全員とその公設秘書、事務局員ら約2662人のパスワードなどが入ったネットサーバーが、中国からのサイバー攻撃を受け、情報が盗まれていたと各マスコミが報じている。また立法府だけでなく、日本を代表する防衛産業の三菱重工業、川崎重工、IHIなども、複数のウイルスの侵入を受けていたことが判明している。三菱重工の場合、50種類以上のウイルスの侵入を受けていた。また防衛装備品メーカーで組織する団体、日本航空宇宙工業会(SJAC)のコンピュータも情報を抜き取るウイルスに感染していたことが判っている。しかも、これら3つのケースとも、約1年間、あるいは数ヶ月、ウイルスの侵入に気付かず、情報が盗まれ続け、自動的に侵入者に送り続けられていたという信じがたい事実も発覚、新たな“サイバー冷戦”の様相を呈している。
警察庁サイバーフォースセンターの調査によると、大量の不正アクセスが検知され始めたのは、2009年11月以降のこと。攻撃者の身元を隠すための攻撃の中継点となるパソコンやサーバーを本人の知らない間に乗っ取り始めたのがこの頃という訳だ。
加えて被害の実態を正確に把握するのは容易ではないという面がある。理由は問題が大きく、広がりが深いことと、被害報告が常に過少申告されるからである。企業はもちろんのこと、国の機関も、実際に受けた被害や痛手を決してありのままに公表しない傾向が強いからでもある。つまり、被害を受けたこと自体が自組織システムの脆弱性、運用のまずさを曝露することになりかねないからである。
ICT(情報通信技術)環境が複雑化、高度化すればするほど、自組織が守らなければならない情報が狙われる機会が多くなると覚悟しなければならない。日本最大の情報セキュリティ会社JSOCによると、毎日3億を超えるウイルスが発見されているという。今回はサイバーテロ対策、情報セキュリティ対策の面から組織のICT品質を検証してみたい。
1.システムの脆弱性を警告するセキュリティ会社が出現
インターネット等で外部と接続されている情報システムは常にサイバー攻撃を受ける可能性を持っている。そのICTの弱点を敢えて警告する企業が現れた。米国のセキュリティ専門会社が日米仏の企業4社が製造している自動車工場・変電所用制御装置PLC(プログラマブル・ロジック・コントローラー=入力したプログラム通りに機械・装置を動かす電子制御装置のこと。工場の生産ラインなどのほか重要インフラ施設で使われている。国内では年間約200万台生産され、このうち約140万台が海外に輸出されている)を制御不能にするハッキング手法をインターネットに公開したのだ。
攻撃方法が公開されたのは日本の機械メーカー、光洋電子工業(東京・小平市)、米国の大手電機メーカー、ゼネラル・エレクトリック(GE)とロックウェル・オートメーション社、そして仏のシュナイダー・エレクトリック社の4社が製造しているPLC。一方、PLCの設計上の弱点を見つけ出し、その脆弱性を衝いて攻撃するプログラムをホームページ上に公開したのが米国の制御システム専門のセキュリティ会社デジタルボンド社。光洋電子によると、同社のPLCは年間数千個が日米両国で販売され、主に自動車、半導体、工作機械等の生産工場でロボット、自動機、ベルトコンベア、監視カメラ等の制御ネットワークシステムに組み込まれている。仮に公開された手法が悪用されると最悪の場合、外部からの不正操作が可能になるという。同社では即、社内に対策チームを組織、PLCの一部に改良を加えた上で、技術本部長を急遽米国に派遣、脆弱性を指摘されたPLCを使っている数千社に文書で事情を説明した。重要顧客に対しては説明に出向き、国内の顧客には対策内容を順次伝えていくことにしている。トップは「ほとんどのPLCは外部と接続されておらず、攻撃を受ける可能性は少ない」としながらも、「工場で使われる装置は外部と接続しないという前提で設計されており、サイバー攻撃に対しては配慮の外だった。これから開発する製品はセキュリティに十分配慮する必要がある」と弁明している。
一方、GE、ロックウェル、シュナイダー3社の場合も、変電所や工場で計器類を制御する装置類の攻撃方法が明らかにされ、いずれも攻撃が成功した場合、生産ラインが破壊されたり、装置が異常な状態で再起動したりするという事態が発生すると警告している。関係者によると、海外ではこれらの装置を使用している工場などから「メーターが振り切れた」「ランプが異常点滅を続ける」などの不具合現象が報告されれており、攻撃手法の公開との因果関係が疑われているという。
これに対し関係する日米仏の政府機関は素早く注意喚起の情報を出している。米国土安全保障省は制御系システムのセキュリティを担当するICS-CERTは即「サイバー攻撃でシステムが破壊される恐れがある」と関係方面に注意を呼びかける警報を出している。日本でも制御システムの事故に対応する団体「JPCERT」が「今回のケースは個別企業の問題としてとらえるべきではなく、すべての制御システムがサイバー攻撃の対象となり得ることを意味している。明日はわが身という現実的危機感を直視し、対策を急ぐべきだ」と関係業界に注意喚起を促している。
一方の攻撃手法をネット上に公開したデジタルボンド社CEOのD.ピーターソン氏はその狙いを「制御系のシステムがいかに脆く、容易に攻撃できるかを政府・企業等に実感してもらいたかった。一種のショック療法であり、敢えて公開に踏み切った。光洋についても3年前から指摘してきた。対応の甘さに対する警告の意味を込めた」と説明している。
2.中小・零細企業に福音の「クラウド」サービスの落とし穴
パソコンばかりでなく複雑・高度化・大容量データの高速交換などタブレット端末、スマートフォンなど情報通信機器の急速な進歩でシステム運用の不手際から大きなトラブル、損害を与えてしまうケースも頻発している。ネット検索大手「ヤフー」の子会社で企業等にインターネットサーバーを貸し出す「ファーストサーバ」(大阪市)のシステムに障害が発生し、5700件以上の顧客から預かったデータが消失していることが判明した。同社によるとサーバーの保守点検中に、使用したプログラムの不具合が原因と説明、社内調査を進めている。この不具合の発生により、サーバーを利用している全国の自治体や企業などで、メールの受信やホームページの閲覧などが出来なくなった。その後、サーバーに保存されていた顧客データや電子メールのデータなども消失していたことが分かったという。被害にあったのは「熱さまシート」などヒット商品を持つ小林製薬。ファーストサーバに運用を依頼していた同社の28のブランドの情報提供サイト全てが消失してしまったまた某ネット通販会社はファースト社のサーバーに預けていた注文履歴と顧客情報が全部消失してしまったという。約5700社の顧客データが吹っ飛んだことになる。
ICT環境は今、クラウドの本格普及期を迎えて、参入するクラウドサービス企業が相次いでいる。「クラウド」は確かにITに大きく投資できない中小企業にとっては救いの神のサービスと言える。ITに疎い個人、零細企業でも有効活用できると評判で急速に普及しつつある。
あるIT企業のSEはこんな実態を披歴する。「データのバックアップを忘れたり、保守・点検の義務を放置してしまうケースがままある。当然契約違反に相当するが露見しなければともみ消すことがしばしば。システム部門は、専門知識がない中小企業の担当者にとってブラックボックスになっている」とし、営業マンも「契約書をよく読まず丸投げしてくるクライアントが多い。ファースト社のケースでは、同社のホームページに“バックアップデータは外部サーバーに保存”と謳っていたが、実際には同じサーバーの別のディスクに保存していた。今回の事件がなかったら、誰も気付かなかった」と暴露している。
ずさんな作業漏れと人為的操作ミスに「それでもICのプロか」と非難ごうごうだが、ITコスト削減の専門家は「中小企業に注意して欲しいのは2つ。新しいITシステムを導入すれば会社のコストがどれだけ軽減できるかを明確に見積もってくれるか。安くて安全ばかりをアピールするのは無責任だと判断すべし。トラブルについても必ず事前に説明させる。他業種では常識でもIT業界では徹底されていないことがある」と注意を喚起している。そして、この分野にもサイバーテロが及ぶものと覚悟しなければならない。
昨年の3.11東日本大震災以降、地方はデータセンターの建設ラッシュが続いている。中小企業のクラウド利用も増加している。バックアップの必要性を痛感しているにほかならない。ITに対する知識・ノウハウがない中小企業がクラウドを活用する場合、事前に専門家に相談することが望ましい。
3.サイバー防御力強化は国際競争力アップにも繋がる
前述したように昨年秋、三菱重工やIHIなど大企業や衆議院・総務省などの政府組織が大規模なサイバー攻撃にさらされた。攻撃は次のような3段階を踏んで侵入するという。
- 初期侵入段階:いかにも本物のように偽装したメールを狙いをつけた個人のパソコンに送る。メールの添付ファイルにはウイルスが含まれており不用意に開くと感染する。
- 侵入範囲拡大段階:ウイルスは新しい攻撃命令を受けたり、「武器」に相当するプログラムをダウンロードしたりしながら増殖する。侵入したパソコンがつながったネットワーク内に攻撃を受けやすい欠陥があると、そこを通じて次々にサーバーやパソコンを感染させ、命令どおり動くようにしていく。
- 目的達成段階:ウイルスに感染したサーバーなどから機密情報を取り出し、各種の手段を講じて外部へ送り出すなど不正行為を行う。
こうしたサイバー攻撃に対する防止策は幅広く、緻密に細心の注意を払ってかつ粘り強く行わなければならない。個人への対策としては差出人やタイトルが怪しいメールは開けない。簡単に推測されるパスワードは使わないなど基本を再徹底する。対策作りのためには侵入者が情報を盗み見たり、外へ流出させたりした証拠や経路を早期に押さえることが欠かせない。サーバーの処理記録の収集はもちろん、外部との通信記録の監視も常に怠ってはならない。
組織的対応も重要になる。企業などでは情報セキュリティの最高責任者(CIEO)を育成し、配置する必要がある。CISOは技術知識を持ち、緊急時には経営トップに全情報を上げ、組織全体を動かして応急措置をとる。2000年代初めからサイバー攻撃の脅威にさらされている米国では感染の検知や拡大防止策を同時に発生後対応策も重視している。たとえば航空大手のボーイング社では自社内に数百人程度のCERT(サート)と呼ばれる緊急対応センターを設置。同社のネットワークや約100万台の端末を24時間体制で監視している。ウイルス対策ソフトも複数導入し、検知率を上げる努力をしている。問題発生時の対処マニュアルも整備し、被害情報はトップと政府にすぐに報告される仕組みになっている。米政府に認証システムを納入しているRSA社は昨年3月サイバー攻撃によってシステムが盗み取られる事態が発生したとき、認知したときから3日以内に公表に踏み切った。同社トップは「情報を盗まれたことより隠して顧客に影響が及ぶことのほうが失う信頼が大きいと判断した」と振り返っている。
国もサイバー防御力強化を順次進めている。経済産業省は重要インフラや化学工場で使われる制御システムをサイバー攻撃から守るため宮城県多賀城市に国内初のセキュリティ検証施設(テストヘッド)を設置、来年3月稼動を目指す方針。新施設の名称は「制御システムセキュリティセンター」。民間主体の技術研究組合で産業技術総合研究所や東芝、日立製作所、三菱重工業、森ビルなど8法人で構成、経産省が20億円拠出する。同センターでは今後、独自にコンピュータウイルスを開発し、これらのウイルスで制御システムへの攻撃を仕掛け、どのような事態が発生するか確認し、防御方法を研究する。人材難が指摘されて久しい制御システムのセキュリティ分野での人材開発、育成も担う。2014年以降はメーカーなどからの依頼を受け、持ち込まれた製品のサイバー攻撃に対する安全性も調べる。この施設での検証結果を審査し、認証書を発行する機関も併設し、日本独自の認証制度もスタートさせる方針。欧米ではすでに制御システム認証制度が存在しており、国内メーカーが輸出する際、この認証も求められるケースが増えている。(1件当たり取得費用は1000万円以上)経産省は「国際競争力を高めるためにも日本独自の認証制度は不可欠」としている。
米国はサイバー新冷戦時代に対応も体制整備を強化、サイバー司令部を全面始動させるとともに「国家サイバー実験場」を設置して「サイバー戦士」を養成。現在約1000名だが、今後3万名に増強する方針。わが国はインテリジェンス防御も甘いと指摘されているが、サイバーセキュリティも同様だ。法律の整備も急務である。サイバー防衛基本法を制定し官民全体のサイバー防衛に関する動きを律する根拠を明確にし、意識を高め併せて人材育成を強化する。システム防衛力の強化は国際競争力のアップにも直結することを銘記すべきである。
|
