「日本型組織」はなぜサイバー攻撃に弱いのか：＠ITセキュリティセミナー 東京・大阪・福岡ロードショー 2017 レポート（1）（1/3 ページ）

　ランサムウェアに標的型攻撃、Web改ざん、DDoS攻撃……、さまざまなサイバー脅威が私たちを取り巻く中、企業はどのような方針の下で対策に取り組めばよいのだろうか？　＠ITでは、2017年2月7日に「＠ITセキュリティセミナー」を東京で開催した。今回から3回にわたり、多数の専門家やセキュリティベンダーが登壇した同セミナーの模様をお届けしよう。初回は「Aトラック編」だ。

参考リンク：＠IT セキュリティセミナー 東京・大阪・福岡ロードショー（※一部、プログラムに変更があります）

「＠ITセキュリティセミナー」東京会場風景

サイバーセキュリティに必要な「TPP」――インターポール中谷昇氏

　冒頭の基調講演には、国際刑事警察機構（インターポール）でIGCI（The INTERPOL Global Complex for Innovation）総局長を務める中谷昇氏が登壇した。同氏は「サイバーセキュリティ――グローバルな視点から見えてくること――」をテーマに、経営トップの関与と情報共有、官民連携の重要さを訴えた。

国際刑事警察機構（インターポール） IGCI 総局長 中谷昇氏

　中谷氏は冒頭、「一言で言うと、サイバー犯罪の産業化がグローバルに進んでいる」と指摘。「ドラッグや銃器だけでなく、攻撃を行うためのボットネット、ランサムウェアのインフラ、盗み取ったID情報などを売買するブラックマーケットのエコシステムがオンラインで構築されている。しかも、どれかマーケットをシャットダウンしても、すぐ別のものが立ち上がる」（同氏）。

　その結果、店舗に押し入る銀行強盗に代わって、“サイバー銀行強盗”が増加しているという。それも、ユーザー個々の口座を狙って少しずつ金銭を盗み取る手口ではなく、銀行のシステムそのものをターゲットにし、一度の攻撃で多額の金銭を盗み出す手口が報告されている。また、過去のやりとりを踏まえて上司や取引相手になりすまし、多額の送金を依頼する「Business Email Compromise（BEC）」のような詐欺行為も増加している。

　もう1つ中谷氏が指摘したのは、IoT（Internet of Things）の脅威だ。IoTデバイスに感染して大規模なDDoS攻撃を行った「Mirai」（関連記事）は、多くのサービスに被害を与えた。「いろいろなものがつながり、今までになかったサービスが可能になれば、より良い社会が実現できるだろう。だが、これは悪い人にとっても便利なものだ。IoTの世界では、自分のコンピュータだけ守っていても対策にならない。パラダイムシフトが必要だ」（同氏）。また同氏は、かつてセキュリティ専門家のユージン・カスペルスキー氏がIoTを「Internet of Threat」と表現したことになぞらえ、「IoTはIoTでも、『Internet of Trust』に変えていかなくてはならない。そのためにインターポールも、いろいろな国の機関と協力している」と述べた。

　事実インターポールでは、サイバー犯罪の撲滅に向けて、産学と連携しつつさまざまな取り組みを行っている。2015年にシンガポールに設置されたCyber Fusion Centerはその中核だ。「Simda」ボットネットのテイクダウン作戦をはじめ、数々のオペレーションを実施してきた（関連リンク）。

　しかし、「残念ながら、警察だけでは対応できなくなっているのも事実だ。というのも、サイバー犯罪に関する情報は民間企業が持っていることも多い」と中谷氏は述べ、サイバー犯罪の捜査とテイクダウンに向け、各企業の情報をエスカレーションし、通報してもらうメカニズムが必要だとした。

　同時に、各企業でもサイバー犯罪の予防と発見、被害最小化に取り組む必要がある。「そのためにはT（テクノロジ）、P（プロセス）、P（人）が必要だ。中でも一番難しいのは『人のメンタリティ』、つまり考え方を変えることだろう。まず、セキュリティはコストではなく投資であり、セキュリティに投資しないことこそコストになると理解してもらうことが重要だ」と中谷氏は述べ、特に経営トップ層のコミットメントが求められるとした。その上で、サイバー犯罪の被害に遭っていることに気付ける体制を作り、予防、発見、応急措置に取り組んでほしいという。

　また中谷氏は、「Need to Know」から「Need to Share」へのシフトも欠かせないと指摘する。同氏はドイツの大手車メーカーがサイバー攻撃を受けた際、「これは自社のみならず、ドイツの車産業全体への攻撃である。黙っていても利するのは攻撃者だけだ」という考え方に立って情報を共有し、業界が共同で対策に取り組んだ例を紹介し、「被害に遭ったことを隠すのではなく、『このような事件があったから気を付けてほしい』と情報を出す考え方へと変えていくべきだ」と主張した。

　そして最後に官民連携についても触れ、「日本では、特にサイバーの分野ではあまり官民連携が進んでいない。いろいろなレイヤーで情報共有の場を設けないといけない。ぜひ、できるところから始めていただきたい」と会場に呼び掛けた。

正しいインテリジェンスに基づいた対策を――カスペルスキー

カスペルスキー セールス＆マーケティング専務執行役 宮橋一郎氏

　「Save the World」を掲げてセキュリティ製品やサービス、リサーチに取り組んでいるカスペルスキー。同社のセールス＆マーケティング専務執行役、宮橋一郎氏は「どう手を打てばいい？ これからのサイバーセキュリティ」と題する講演で、脅威インテリジェンス情報に基づいて優先順位を付け、対策を進めることの重要性を訴えた。

　カスペルスキーでは、世界中で約4億人に上るユーザー、約27万社の企業から得られたデータや、独自に設けたクローラなどの仕組みを通じて脅威の動向を把握し、脅威インテリジェンスを構築している。マルウェアのハッシュ値だけでなく、その振る舞いや、どのような犯罪集団に使われているのかといった、さまざまな関連情報を蓄積していることが特徴で、インターポールにも情報を提供しているという。

　2016年に同社が収集した統計では、国別に見たランサムウェア感染数で日本は残念ながら1位になった。「犯罪者はお金を取りやすいところ、ROIの高いところから取っている。その意味で日本は格好の標的だ」（宮橋氏）。他にも、特に海外では銀行を狙った巧妙な攻撃が増加しているという。「幸い、日本の銀行に対する攻撃は、言葉や商習慣、システムなどの壁がまだ高い」（宮橋氏）そうだが、サイバー犯罪が国際化し、国内の犯罪者と連携する可能性もあり、予断を許さない状況だ。

　こうした状況を踏まえて宮橋氏は、「防御、発見、対処、予見と、そこから得られた知見を基にした啓発・育成という5つの領域について、優先順位を付けた上で対策を打っていくことが重要だ」と述べる。

　このとき鍵を握るのが「インテリジェンス主導」という考え方だ。「対策には、グローバルに何が起こっているか、網羅的に捉えられる情報が不可欠だ。正しくインテリジェンスを活用し、優先順位を付けて対策を打ってほしい」（宮橋氏）。

あらゆる攻撃のトリガー「メール」のセキュリティにフォーカスを――テクマトリックス

テクマトリックス セキュリティ営業部 セキュリティプロダクツ営業課アカウント・マネジャー 平澤喜海ジュリオ氏

　テクマトリックス セキュリティ営業部 セキュリティプロダクツ営業課アカウント・マネジャーの平澤喜海ジュリオ氏は、「ランサムウェアやビジネスメール詐欺の防御に、機械学習とサンドボックスが有効な理由〜標的型攻撃を妨げる最新メールセキュリティテクノロジーとは」と題し、「メール」という経路に着目した対策の必要性を解説した。

　平澤氏はまず、米ベライゾンがまとめている「データ漏洩/侵害調査報告書（DBIR）」を引き合いに出し、「APT、いわゆる標的型攻撃の91％は、メールが媒体となってデリバリされている。ランサムウェアも同様で、これはワールドワイドの傾向だ。今も昔も、メールは攻撃のトリガーになっている」と述べた。

　こうした状況に対し、メールの観点から解決策を提示するのが、メールセキュリティ専業ベンダーのProofpointが提供するソリューション「Proofpoint Email Protection」だという。

　平澤氏はその特徴として、「単にメールトラフィックを視覚化するだけでなく、機械学習とさまざまなパラメータを用いてきめ細かく分類して表示できること」「サンドボックスを用いて、添付ファイルのみならず、本文に記されたURLの誘導先も確認し、悪意あるコードが入っているかどうかを判定すること」などを紹介した。また、アプライアンスや仮想アプライアンス、SaaSなど柔軟なデプロイメントが可能であることもメリットだという。テクマトリックスでは、事前調査から保守に至るまで、各フェーズをサポートするサービスを提供する他、ニーズに応じて、パロアルトネットワークスやF5ネットワークスのソリューションとも組み合わせて提供していくとのことだ。