[画像] サイバー攻撃から組織を守るための「4つの勇気」

 ソニーや三菱重工業など大手企業を標的とするサイバー攻撃が相次いでいる。警察白書によると、サイバー犯罪の検挙件数は年々増加の一途をたどっており、2010年には6933件と、前年より243件増加し過去最多となった。2011年10月13日に放送されたニコニコ生放送「国家の生命線"防衛機密"が流出の危機に!?サイバーテロ最前線」では、情報産業やそのセキュリティに造詣の深い有識者が集まり、サイバー犯罪について議論を交わした。

 情報セキュリティ企業ラックの西本逸郎取締役は、大企業を対象とした「サイバースパイ」が関与する事案が恐らく2007年頃から発生していると語る。西本氏によると、大企業へのサイバー攻撃は2段階で行われる。まずは「標的型メール」で内部に不正プログラムを侵入させる。そのプログラムが「ホームページを閲覧するような格好で、犯人側がコントロールするサーバに接続しにいく」という。通常のウェブアクセスをしているため、ウイルス対策ソフトなどでは異常を検出することができない。そのため「気づかない」と西本氏は指摘する。不正アクセス後は、標的のパソコンをコントロール。そのパソコンでは直接不正行為をせずに、別のパソコンで「Windowsの通常のコマンドを使用し、管理者権限を取って内部を制圧していく」という。

 このような「サイバースパイ」に関する事案を扱ってきたという西本氏だが、「(侵入者が)何をやっているか分からない」と話す。ただ、不確かながらもある程度の傾向はあるようだ。西本氏は、大企業に対する「サイバースパイ」について

「そういう(事案)を追っていくと、どうも盗っている情報がエネルギー関係のもの。例えば大陸棚に関係するような資源開発だとか、そういうのに関連したような情報を盗っているのではないか。すごいテクノロジーを持った輸送機械を狙っていると思われる動きがずっとある。あとゲーム会社とメディア。そういうところにいるという実態がある」

と述べた。

 情報化の進展に伴い、サイバー犯罪の手口も巧妙化、複雑化しつつある。西本氏はサイバー攻撃から組織を守るために、企業でいえば「4つの勇気」を持たなければならないと言う。その4つの勇気とは、

「経営者がITに対して理解を示し、自らITを使い始める勇気」
「企業のセキュリティ部門が、100パーセント(守り切れること)はない、もう事件は起きていることを前提とする勇気」
「システム管理者が、事件は起こり得るとカミングアウトする勇気」
「一般のユーザー(従業員)が、ITを自分の意思と責任で使うという勇気」

 西本氏はこれらを踏まえつつ、人間がどんなに風邪を引かないようにしても、「風邪を引くことはある」という例えをコンピュータネットワークに当てはめながら、その前提に立って「情報セキュリティを見直していただきたい」と企業経営者や情報セキュリティ担当者、そして視聴者らに訴えた。

◇関連サイト
・[ニコニコ生放送] 「サイバースパイ」の説明から視聴 - 会員登録が必要
http://live.nicovideo.jp/watch/lv66977528?po=newslivedoor&ref=news#35:15
・[ニコニコ生放送] 西本氏が語る「4つの勇気」から視聴 - 会員登録が必要
http://live.nicovideo.jp/watch/lv66977528?po=newslivedoor&ref=news#1:35:50

(三好尚紀)