■企画趣旨
2023年を振り返ると、大手自動車メーカーによる200万件以上にのぼる個人情報の漏えい、情報通信会社では900万件もの個人情報の流出、ゲームメーカーの秘匿情報が流出するなど、セキュリティに関する事件は年を追うごとに増加しています。
「組織」へ向けた脅威では、「ランサムウェア」(身代金要求型ウィルス)「サプライチェーン攻撃」「標的型攻撃」「内部不正」「ゼロデイ攻撃」(まだ修正プログラムが提供されていない脆弱性を悪用する攻撃)など多岐にわたる対策が求められており、新しい技術や防衛手法の開発が急がれています。
また、生成AIの活用やDXの推進が加速する中、データの暗号化やアクセスコントロールなどのクラウドセキュリティやIoTデバイスのセキュリティ強化、サイバー攻撃に対する従業員の意識向上と人材育成もますます重要となってきています。
常に新しい脅威や技術が出現する状況に対し、最新の情報を正確に把握し、対策を講じることが不可欠と言えるでしょう。
そこで本カンファレンスでは、2024年のセキュリティトレンドについて、脅威の所在、対策の現在地など多様な視点から考察をした。
■基調講演
サイバーセキュリティのための防御者革命
~ サイバー攻撃との果てしない戦いに対する処方箋 ~
東京大学 生産技術研究所 教授
一般社団法人日本セキュリティ・マネジメント学会 会長
松浦 幹太 氏
1992年3月東京大学工学部電気工学科卒業。97年3月東京大学大学院工学系研究科電子工学専攻博士課程修了、博士(工学)。同年4月東京大学生産技術研究所助手。その後准教授などを経て、2014年2月同教授。情報処理学会コンピュータセキュリティ研究会主査(11~13年)、同セキュリティ心理学とトラスト研究会主査(15~17年)、日本セキュリティ・マネジメント学会常任理事、同副会長、同会長(21年6月~)。日本学術会議連携会員(17年10月~)。
◎情報セキュリティとサイバーセキュリティ
情報管理においては、秘匿性/完全性/可用性の基本3要素の品質管理を徹底する(PDCAサイクルを回す)ことが重要である。情報セキュリティ確保の環境には防御者と攻撃者がいるわけだが、防御者のミスや内部犯行も脅威だ。実空間だけでなくサイバー空間での行動も扱うことを強く意識する場合「サイバーセキュリティ」という言葉を使う。
ITの社会受容性に係る仮題としてのサイバーセキュリティ関連では、悪の資金源となる問題や、間接的に(しかし意図的に)悪影響を与える問題が近年、指摘・報道されている。とくに後者ではAIの進歩が問題の範囲をさらに広げている。
セキュリティ分野のPDCAサイクルのポイントは、P(計画)では脅威分析⇒D(実施)では記録と異常対応⇒C(評価検証)では首尾一貫性⇒A(処置改善)では費用対効果、である。どの段階でも困難は伴い、例えば計画段階では「何故このPDCAサイクルを開始するのか」という根源的な動機を計画全体に反映させるのが難しい。また、「従来の実績や将来の予測」に、適切な具体性と一般性を持つ脅威分析結果を含めることが難しい。
実施段階では何が困難か。評価検証で役立つ記録を残しながら業務を実施することが難しく、妥当な適用範囲で業務を実施することが難しい。評価検証段階では、首尾一貫性を確保することが難しく、計画も実施もよく誤る。次のサイクルへの改善をもたらす知見も導出したい。処置改善段階では、費用対効果の説明が困難である。
◎情報セキュリティの四領域と課題
情報セキュリティの4領域(3領域)と焦点は、以下のスライドの通り。暗号/コンピュータセキュリティ/ネットワークセキュリティ/アプリケーションセキュリティ、だ。
研究での課題は安全性評価。理論的評価/ヒューリスティック・セキュリティ/実験的評価の3つに大別されるが、例えば実験的評価の情報セキュリティ研究用のデータでは以下の問題・課題がある。(1)正規のデータにまつわる問題(個人のプライバシー、法人等の機密)(2)不正な「データ」にまつわる問題(悪用の恐れ、悪用を懸念してデータを提供しない)(3)問題を解決しようとすると閉じた世界になりがち(科学に必要な再現性とのトレードオフ)。
安全性評価(の手法やデータ)、実装、運用がいい加減ならば、すぐに破られてしまう。いわゆる“イタチごっこ”だ。評価の困難さゆえに生じるイタチごっこの側面が最大の課題かもしれない。インターネット環境の進歩で、攻撃側の生産性は革命的に高まっている。一方、防御側の生産性には疑問符がつく。AI=人工知能の応用で有利になっているとは限らない。攻撃者もAIを使えるからだ。ともあれ、実務においては防御側のレベルを上げ、せめてイタチごっこを目指したい。
◎ディフェンダー・ムーブメント(防御者革命)とは/3原則と各領域での取り組み例
防御者も革命を目指そう!新たな協働のインパクトを情報セキュリティ面でも起こし、「皆で守るぞセキュリティ」というディフェンダー・ムーブメントを起こしたい。そのコンセプトは以下。
・暗号やシステムセキュリティ、そしてセキュリティ・マネジメントの叡智を総動員して協働する
・情報セキュリティ分野において研究、開発、評価、実用化が織りなすサイクルの生産性を「インターネットも活用して、防御側に生産性向上の革命が起きたと言えるほどまでに」高める
・サイバーでもリアルでも協働(攻撃者革命に対するアドバンテージ)
防御者革命の助けとなる三原則は以下。明示性の原則(共通の言葉を持とう)/首尾一貫性の原則(共通の規範を持とう)/動機づけ支援の原則(共通の意欲を持とう)。
最後の動機づけ支援の原則を詳説する。市場原理に委ねるだけでは情報セキュリティの観点で最適な平衡点が実現できない問題を解決するために、関与者に適切な動機づけを与える仕組みを整備すべきだ。とくに、情報セキュリティへの取り組みをリスペクトする文化を醸成し、社会関係資本を充実すべきである(暗号/システムセキュリティ/アプリケーションセキュリティの領域での取り組み事例紹介あり)。我が国には、国際的にも先進的な事例がいくつかある。それらの充実や新たな取り組みの推進が、様々なステークホルダーの対話を伴って進められることが望ましい。
まとめ。学際研究と科学的評価を伴う技術研究を進め、実装し、情報セキュリティの協働とその支援によって随時進化する脅威に対応したい。実務も研究もコンセプトは防御者革命だ。社会的ネットワークは資本である。ソーシャル・キャピタル(様々な立場の者の間の“信頼”が、経済成長率や経済効率などマクロ的な面で多様な影響を与える)を意識したい。
■課題解決講演(1)
(2024年版)顔ぶれの変わらないサイバー脅威!
239万人が利用するサービスの導入事例を含めて必要な対策をご紹介
HENNGE株式会社
Partner Sales Planning Section
Deputy Section Manager
奥谷 慶行氏
理系大学を卒業後、大学院への道を蹴って大手SIerに新卒営業として入社。多くのIT商材を扱う営業に従事していたが、クラウドサービスへの専門性を高め、また自身のキャリアアップのために現職に入社。直近は中国・九州地方の開拓に従事した後、現在は地方開拓の経験を活かし本社にて販売店との連携による拡販に向けフロント営業の支援を担当。
◎企業を取り巻くセキュリティ脅威とは/セキュリティ脅威の怖さとその対策
IPA(独立行政法人 情報処理推進機構)の調査によると、セキュリティ脅威の1位は「ランサムウェアによる被害」、2位は「サプライチェーンの弱点を悪用した攻撃」、3位は「内部不正による情報漏えい」、4位は「標的型攻撃による機密情報の窃取」である。これらの攻撃の主な手口は不正ログインとメール。つまり対策のポイントもこの2つとなる。
ここ数年、脅威として挙げられる10項目はほぼ同じだ。つまりこれらの脅威に対策がなされていないとも言える。システムのクラウド化・DXが進み、必要なものが境界の外に出てセキュリティ脅威の高度化により境界内・外への侵入が日常化している=境界の崩壊。不正ログイン対策には“何も信用しない”を前提に対策を講じる「ゼロトラストセキュリティ」で臨まなければならない。VPN(仮想専用通信網)経由での業務が増加し、レスポンス低下やログインの脆弱性が問題になっている。
また、メールの宛先や添付ファイルなどを間違えてしまったり、書きかけのメールをそのまま送信してしまう誤送信問題も深刻だ。パスワード付きのZIPファイルをメールで送信し、別メールで解凍パスワードを送る方法(PPAP)は手間がかかるし、サイバー攻撃の標的になっている。ガードの堅い大企業などを標的型攻撃のターゲットとする上で、セキュリティ対策の手薄なグループ企業や関連組織、取引先企業が進入口として狙われるケースも多い。そして、今まで述べてきた脅威は密接につながり複雑に組み合わさって押し寄せている。
◎239万人が使うサービス「HENNGE One」とは
今まで述べてきた多様かつ複雑な脅威に対応し、クラウドシフト時に必要な第1ステップのセキュリティをオールインワンで提供するのが「HENNGE One」である。
HENNGE Oneの2つの柱の一つHENNGE IdP Editionは、様々なクラウドサービスに対してセキュアなアクセスとシングルサインオン(SSO)機能などを提供するSaaS認証基盤(IDaaS)を持ち、VPNを使用せずにオンプレミスシステムへのセキュアでシームレスなリモートアクセスを実現する機能も実装されている。例えばアクセス制御。もしパスワードが盗まれても、端末認証や本人認証などの多要素認証を加えることで不正アクセス対策が可能だ。
もう一つの柱、HENNGE E-Mail Security Editionは、Exchange OnlineやGmailと連携し、脱PPAP対策・メール監査・標的型攻撃対策を実現するメールセキュリティソリューションだ。例えば誤送信対策フィルター「HENNGE Email DLP」では、取引先や送信ユーザーに合わせてフィルタールールを設定し誤送信対策が実施できるし、「HENNGE Secure Download」はメールの添付ファイルを自動的にULR化することで脱・PPAPを実現する。
導入時から導入後まで、国内ベンダーならではの手厚い充実したサポートサービスを提供しているのも特徴。導入キックオフミーティングや各種設定・登録の代行も行っているほか、カスタマーサポート/カスタマーサクセス窓口やユーザーコミュニティも整備されている。
◎導入時の選定ポイントと効果
HENNGE Oneを導入したグンゼ(株)の選定ポイントは、シングルサインオン機能と安全なモバイル活用ができる点/メールのアーカイブとセキュリティ対策、大容量ファイルの送信/前記の要望を一つのサービスで完結可能なオールインワンサービス、である。会社支給しているモバイル端末に限定してアクセスさせることができ、安全なモバイル活用を推進できたほか、Office 365のメールとHENNGE Oneのバックアップの併用で利便性は大きく向上し容量の不安も解消された。
オーケー(株)のHENNGE One選定ポイントは、日本の製品・サービスであるために導入に安心感があった/SSO機能を備えている/外資系ツールはユーザーに不親切でサポートも不十分だったため、導入コストが高いと判断した。SSOツールの拡張と同時に検討していたVPNからの脱却について同時に対策をすることができ、取引先からZIPファイルの受取を拒否され始め代替案を探していたのだが、同時に脱PPAPも実現することができた。
企業を取り巻くセキュリティ脅威は増すばかりだ。HENNGEはこれからも新機能を搭載して進化しつつお客様のSaaS活用を応援し、テクノロジーを開放し続ける。
■特別講演(1)
サイバー攻撃(ランサムウェア)の脅威:実体験から得た教訓
~被害の実際と復旧までのプロセス、今後の備え~
徳島県つるぎ町立半田病院
つるぎ町病院事業管理者
須藤 泰史氏
1986年徳島大学泌尿器科学教室に入局し、泌尿器科医師としてキャリアをはじめる。95年徳島大学医学部助手となり、臨床・研究に従事し、99年に講師に就任。2003年からは町立半田病院(現 つるぎ町立半田病院)へ赴任し、泌尿器科・腎センターを開設。13年から同院病院長に就任。地域医療に取り組みながら半田病院での総合診療医の育成に取り組む。20年1月からつるぎ町病院事業管理者に就任。21年10月に発生したランサムウェアによるサイバー攻撃では、復旧・対策に取り組んだ。
災害が起きると、医療従事者や診療材料が不足し電子カルテや医療機器が使えなくなり、患者に対して診療を提供することが困難になる。つるぎ町立半田病院は2021年10月にサイバー攻撃による電子カルテ停止という災害を被り、その後BCP(事業継続計画)に、サイバー攻撃の章を追記した。
徳島県西部地域の公立病院である当院は、少子高齢化が進む医療圏で唯一の分娩施設で、小児医療の要でもある。21年10月にランサムウェアによる攻撃を受け、電子カルテを含むすべてのシステムが突然使えなくなった。徳島県警に連絡し、院内に対策本部を立ち上げ各ベンダーとの連絡をとり、地域に周知するために記者会見も行った。
基本方針=今いる入院患者を守る/外来患者は基本的に予約再診のみ/電子カルテ復旧に努める/皆で助け合って乗り切ろう、を定めた。この方針は、各方面の協力もあって復旧活動が進捗した1カ月後には、随時通常診療に戻していく/電子カルテ稼働1月4日を目指す/皆で助け合って乗り切ろう、と改めた。
院内・院外との情報共有については、本部ミーティングを毎日行い、医事会計ができない紙カルテベースの診療での問題点や改善点などの報告・情報共有を進めた。大量の文具・PC・コピー機能付きプリンターが必要であることを実感した。マスコミ対応は事務長に一本化し、毎日のクロノロジー(災害時の時系列の詳細な記録)や会議録などは記録係が本部のPCに保存した。
紙カルテベースの診療は制約が多く負荷も大きかったが、患者さんや職員、門前薬局など各方面の協力を得て進め、22年1月4日には診療体制がほぼ復旧した。復旧にあたっては、感染した電子カルテシステムの修復とレンタルサーバーでの同じ電子カルテシステムの再構築の両方を選択。レンタルサーバーの構築がほぼ完成したところに修復したシステムが戻るも、修復は不完全であった。しかし、どちらも同じ電子カルテシステムであったことから、足りない部分を補完することで、データがすべて復旧し、通常診療再開に対応できた。
1月4日以降は、紙ベースで行っていた診療記録の電子カルテへの手入力を進めた。診療報酬請求書の作成も再開。しかし、この復旧に至るまでには、医師や看護師が紙カルテの記録に慣れていない、生命保険診断書・介護保険主治医意見書などの作成の際に初診日が不明などで作成できない、診療予約受付られる人数が不明といった困難が数え切れないほどあった。
有識者会議を4回行い現地調査もしていただき、6月初めに報告書を完成させた。有識者の方々からは、電子カルテは閉域網で使用するものではなく外とつながって使用される状況であり、また、外とつながることでup to dateなシステムにできることから、より深くセキュリティに取り組まなければならないことを教えて頂いた。
報告書には他に「報告書(技術編)」や「情報システムにおけるセキュリティ・コントロール・ガイドライン」も併記した。これらは日本の医療機関の改善に貢献できればと考え、公開している。当院のホームページからダウンロードできるので利用いただければ幸いだ。ちなみに被害総額は推計で2億数千万円程度と思われる。
厚生労働省委託事業の「医療機関向け セキュリティ教育支援ポータルサイト」の「コンテンツ集」が充実している。当院の事例の動画コンテンツもある。サイバーセキュリティを高めるには、バックアップを確実に取ることと、セキュリティ情報の取得が肝要だ。じつは当院の災害の前に、複数の注意喚起やセキュリティ情報提供がなされ、省庁からもガイドラインが出ていた。
院内ネットワークセキュリティ強化を現在も進めている。当院の事例が伝わり、各種ガイドラインも随時アップデートされている。サイバー攻撃を想定した訓練・BCPの作成は必須だ。簡易バックアップも有用だし、自治体には備蓄のPC・プリンターなどの配備をお願いしたい。先述のポータルサイトには「研修内容」「インシデントかも?」というタブもある。合わせて参考にされたい。下記のスライドでまとめとする。
■課題解決講演(2)
SaaSの定期的なリスク管理は必要なのか?
~ セキュリティ対策状況の変化と定期調査の重要性を考える ~
株式会社アシュアード
事業推進グループ マネージャー
畠山 正隆氏
(株)ベネフィット・ワンに新卒入社。福利厚生サービスを法人へ提供する営業に従事。新規法人営業・カスタマーサクセス・代理店営業を経験したのち、マーケティング/インサイドセールスの立ち上げ・営業推進などをマネージャーとして牽引。2022年2月、Assured事業部にジョイン。ビジネス開発領域を牽引する役割を担う。
クラウドサービスのセキュリティ評価情報の提供を通じ、安全なクラウド活用を支えるプラットフォームが「Assured(アシュアード)」。独自調査の結果を評価・レポート化して提供している。
昨今、クラウドサービス活用の増加に伴い情報漏えいやインシデントが増加している。利用推進に際しては、セキュリティ評価・管理の仕組みを構築する必要がある。当社では各社のサービス、システムツールのセキュリティ対策状況を約120項目で調査し、独自にスコアリングしている。
例えば、「バックアップから適切に復旧可能とするため、バックアップデータを論理的に分離した環境やオフラインストレージ、不変ストレージに保存
」。ランサムウェア攻撃への対策の1つであるこのバックアップ対策を実施しているサービスの割合は18.6%にすぎない。また、データベースやファイルの暗号化は海外サービスが9割以上が実施しているのに対し、国内は4つに1つのサービスが未実施。サーバーへのウイルス対策ソフトの導入に対しても、国内は海外に比べて遅れをとっている。総務省・経産省などからクラウドサービス管理に対する厳格化が求められている。クラウドは適切なマネジメントが必要だ。
◎セキュリティへの問題意識/クラウドサービスの定期評価の必要性
当社独自の調査結果を紹介する。サイバー攻撃による情報漏えい、システム停止または改ざんの不安に次いで、内部からの情報持ち出しや誤操作・設定ミスによる情報漏えい、システム停止の不安も大きいことが分かった。なお、約7割の企業がクラウドサービスのセキュリティ評価を行い、55%の企業が定期的な評価も実施している。
リスクを未然に防ぐ・軽減するためにセキュリティ評価を行っているほか、政府や関係省庁のガイドラインに応じて、コンプライアンス順守、顧客からの信頼獲得のために対応を迫られていることも伺えた。セキュリティ評価にあたっては、セキュリティチェックシートを用いている企業が多いが、8割以上が情報の精度や工数負荷、審査期間の長さ含め自社のセキュリティ評価に課題を感じている。
クラウドサービスの定期評価により把握・検知することができる問題例としては、預託データが海外に保管されるように変更されていた/開発、保守・運用やデータの取り扱いを再委託するようになっていた/脆弱性診断が定期的に実施されていなかった……などがある。
新規導入時の調査ではセキュリティ上問題ないと判断し、導入を決定した場合でも、最新の調査ではセキュリティ上懸念がある状態になっている可能性がある。ちなみにAssured評価済みサービスでは、同社の120以上の調査項目が随時アップデートされていることもあり、約3割が初期調査からスコア(評価点)が低下している。重要度や個人情報・機密情報など、リスクベースアプローチに基づいて定期評価を実施していきたい。
◎セキュリティ評価の課題解決法/Assuredの機能と特徴
「セキュリティ評価の課題を解決したいか?何らかの対策を講じる予定はあるか?」という調査質問には73.1%が「対策が具体化していない」に分類される回答をしている。Assuredのポイントは、国内・海外のサービスを網羅し、新規・定期調査が簡単操作で完結/第三者がセキュリティ評価を行うことで中立性の高い情報が手に入る/速やかに情報の取得が可能で、サービス導入までの期間を短縮/属人制を排し、自社のリスク評価業務を最小化できる、である。
セキュリティ対策状況を速やか、かつ高精度に把握できるレポートを提供する。(1)網羅性の高い、統一調査フォーマット(2)回答の信頼性を同社が中立的に評価 (3)明瞭なレポートを提供(4)サービスの構成情報からリスクを可視化、がAssuredの特徴である(使用デモンストレーションあり)
ご支援できるワークフローと期待効果は以下のスライドにて。項目メンテナンス・情報収集・セキュリティ評価まで一気通貫でサポートが可能だ。
■課題解決講演(3)
ランサムウェアに対するインシデントハンドリングの最適解
Splunk Services Japan
フィールドソリューション&セキュリティ・ストラテジー
セキュリティ・ストラテジスト
矢崎 誠二氏
25年以上に渡る複数社のサイバーセキュリティ企業の経験において、セキュリティ監査、ペネトレーションテスト、リスクアセスメント、設計構築支援、SOCコンサルティングなどを担当。現Splunk セキュリティ・ストラテジスト。様々なお客様にセキュリティオペレーションの各フェーズの重要性について啓蒙活動を継続。 Abstract: 重大なセキュリティ事故の30%以上がランサムウェア攻撃というサーベイもある中、検知方法に重心を固めるだけでなく、影響を受けた際のハンドリングも事前に定義しておくことが重要と考えられている。 今回はランサムウェアの検出から対応までSplunkがどのようにセキュリティオペレーションの領域で活用できるのかについて紹介する。
◎昨今のランサムウェアの特徴/事前計画案を立案する
世界最大のヘルスケア企業United Healthの子会社が3月上旬に狙われるなど、ランサムウェア攻撃はとどまるところを知らない。ランサムウェアの要求に83%が応じてお金を支払った(保険利用を含む)というレポートもある。一度目の暗号による恐喝に対応しない場合、暗号データを外部公開することで二度目の恐喝を行う「二重恐喝ランサムウェア」が約8割に達している。
直近のランサムウェアは暗号化すらせず、データ恐喝攻撃に焦点を当てるようになっている。こうしたランサムウェアからサイバー脅威を軽減するために今日取るべき行動は、資産管理、データ管理を行い、許可・未許可デバイス、許可ソフトウェア・未許可ソフトウェアからのアクセスを特定する/必要な場合のみ特権アクセスを付与、ホワイトリストアプリケーションのアクセス許可のみをルートとする、などだ。
感染の前に、確実な防御計画を立案することが大切。バックアップを取ることがまず必須だが、ランサムウェアはオフラインバックアップにアクセスできないため、オフラインバックアップの利用を推奨する。ファイル暗号にはファイル暗号で応える。すなわち特定の場所でなければファイルを開けないような仕組みも展開するとよい。
カナダの政府関連機関が作成したインシデント対応計画のチェックリストは以下。インシデント対応計画を補完する復旧計画も事前に準備しておくことが必要だ。
◎検出と対応の具体案/復旧と封じ込め
検出と分析には「NIST 800-61コンピュータインシデント対応ガイド」などがあるので参照されたい。ランサムウェアは、アクセス権の奪取/コントロールの奪取/組織に対する実影響、の3段階それぞれにおいて攻撃を仕掛けてくる。先述のインシデント対応チェックリストを作成した機関は、各攻撃フェーズにおける対応策マトリクスも公表しているが、それによると「ロギングとアラート」管理の重要さが分かる。
デジタルが経営を動かす。システムはセキュアで信頼できるものでなければならない。Splunkは、新たな脅威領域に対するSplunkアーキテクチャを採用することで柔軟なシステムを構築できる。
ランサムウェアを含む侵害のオペレーションに対し、Splunkは以下のようなプロセス(サイクル)で対応する。攻撃グループまたは利用されるソフトウェアを確認する⇒MITRE※ IDへのマッピングを確認する⇒Splunkの該当サーチの有無を確認する⇒サーチを実行する⇒結果を確認する⇒恒久的な対応有無を検討する⇒スケジュールサーチの登録をする⇒リスクベースでのオペレーションに切り替える。
※MITRE=米国の連邦政府が資金を提供する非営利組織。R&Dセンターと官民のパートナーシップを通じて、国の安全性、安定性、福祉に関する事項に取り組む
攻撃に利用されるテクニックや攻撃を前提としたその検知方法や管理方法の解説、日本・米国・EUのアラートやアドバイザリーを理解しておくためのコンテンツなどもSplunkに組み込んでおけば分析・活用できる。MITREで確認できる攻撃テクニックにSplunkコンテンツは対応しており、既存の攻撃はもちろん、新たな攻撃でも逐次コンテンツを追加することで対応すべき範囲とその内容・方法を提供できる。無料で公開されているSecurityコンテンツを活用することで見るべき脅威を特定することができるのだ。
スケジュールするサーチをSplunkで選択し“有効”にすることで恒久的なサーチ、相関サーチを継続することができる。また、リスクベースのアラーム、アラートについて。24時間以内(変数)にリスクスコアが100(変数)を超えたユーザーやシステムに対してアラートを生成する、といった方策で信頼性の高いアラートとして集約しトリガーする。例えば、特定のホストやユーザーごとにアラームを24時間または7日間周期に集積できる。
ランサムウェア封じ込めと根絶のためにやるべきことは多い(リスト紹介あり)。まず、感染したからといって電源は落とさないこと。切るとメモリ情報が消失してしまう。ケーブルは記録をとってから抜くかどうかを検討しなければならない。使われたIPアドレスやユーザー名、ツールの痕跡なども確認する必要がある。
社会に大きな影響を与えるインシデントを引き起こすランサムウェア。検出するためには一つのプロダクトでは対応しきれず様々な複合対応が必要だ。また、検出から封じ込めまでにも様々な、総合的な対応が必要になる。データを中心としたSplunkが、これらの課題解決ソリューションの中心となる。
■特別講演(2)
企業が巻き込まれ始めている
『第5の戦場(サイバー空間)』と『第6の戦場(認知空間)』
~ 経営活動(事業と業務)を脅かすリスクの実態と経営者が覚悟すべきこと ~
株式会社サイバーディフェンス研究所
専務理事/上級分析官
名和 利男氏
海上自衛隊において護衛艦のCIC(戦闘情報中枢)の業務に従事した後、航空自衛隊において信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティ担当(プログラム幹部)業務に従事。その後、国内ベンチャー企業のセキュリティ担当兼教育本部マネージャ、JPCERTコーディネーションセンター早期警戒グループのリーダを経て、サイバーディフェンス研究所に参加。専門分野であるインシデントハンドリングの経験と実績を活かして、CSIRT(Computer Security Incident Response Team) 構築及びサイバー演習(机上演習、機能演習等)の国内第一人者として、支援サービスを提供。現在はサイバーインテリジェンスやアクティブディフェンスに関する活動を強化中。
認知戦(洗脳等)とそれに包含される情報戦(報道統制等)と、サイバー戦(実害攻撃:DDoS※、後述の“ワイパー”等)の交わった部分が本講演のスコープだ。認知戦(Cognitive Warfare)とは、他人の精神状態と行動をコントロールすることを目的とした活動のこと。情報通信技術の急速な進歩に伴い、認知戦は不可欠なものとなっている。
※DDoS=Distributed Denial of Service Attack 複数の端末から特定のサーバーやサイトに対して意図的に大量のパケットを送信し、サーバーやネットワークへ膨大な負荷をかけてアクセス困難や停止を引き起こすサイバー攻撃
認知戦は民主主義国家にとって特別な脅威であり、ディスインフォメーションによって表現の自由が乱用され、損なわれてしまう(米国大統領選挙、英国Brexit国民投票、台湾のCOVID-19、台湾の総統選挙などを例に挙げた婉曲表現の認知戦が解説されている)。実は、日本も認知戦を仕掛けられており、日本人学者による論文もあるが何故か英語記述が多い。
NATOは現在「認知戦」と名付けたまったく新しい戦闘を展開している。2020年、NATO主催の報告書「Cognitive Warfare」においては「認知戦争の目的は、すべての人を武器にすることである」という説明がなされている。認知的偏見の原因と種類を理解することは、誤解を減らし、これらの偏見を有利に利用しようとする敵の試みに対応するためのより良い戦略の開発に情報を与えることに寄与する。
特に、以下の人間の脳の脆弱性を客観的に理解することが重要だ。
・特定の情報が正しいか間違っているかを区別できない。
・情報過多の場合にメッセージの信頼性を判断する際に近道をとるように導かれる。
・たとえこれらが間違っているかもしれないとしても、すでに真実であるとして聞いた声明やメッセージを信じるように導かれる。
・証拠に裏付けられている場合、その証拠の信ぴょう性に関係はなく、その声明を真実として受け入れる。
デジタルの領域では、デジタル業界とその顧客(特に広告主)が、群衆の中の個人を区別し、パーソナライズと行動分析を洗練することを可能にするのは「人々の感情」である。例えば、ソーシャルメディアは暴力的なイメージや恐ろしい噂を非常に迅速かつ協力に広める能力があるため、政治的および社会的二極化を悪化させるのに特に適している。怒りが広がるほど、ネットユーザーを扱いやすくなる。
2021年のカナダ主催のNATOイベントでは「認知戦は、人々の考え方だけでなく、人々の行動も変えることを目指している」「認知領域に対する攻撃には、サイバー、偽情報・誤報、心理的、およびソーシャルエンジニアリング機能の統合が含まれる」という声明が出された。2023年の米海兵隊の論文には、(1)長期的な準備によって標的となる個人やネットワークを特定する、(2)サイバー攻撃によって緊張を高め、感情を煽る、(3)標的となる個人に影響を与えるためのカスタマイズされたメッセージングを試みる、という認知戦の新しい形態が掲載された。
◎サイバー攻撃を組み合わせた認知戦の事例説明
2022年初のロシアによるウクライナ侵攻直前には、下記のスライドのような“ワイパー”攻撃(データを暗号化して使えなくする、一気に消してしまうサイバー破壊)とウェブサイト改ざんが行われた。
これは、ロシアと推定される脅威アクターが仕掛けた巧妙な情報戦によるもので(詳説あり)、ウクライナにおける異なる民族グループ間、特にウクライナ人とウクライナ内の少数派のポーランド人の間に反対意見、溝を生じさせることを目的としていた。かつての“同化政策・民族浄化”=過去の良くない歴史を思い出させ、ウクライナ国内を混乱させることが目的である。
PC内の情報が流出した、というプロパガンダにより、ウクライナを出る選択をした(かつての同化政策関連などのセンシティブな情報をPC内に保存していたと思われる)ポーランド系人が少なからずいた。1月13日まではこうした出国の動きはほぼ見られなかったのに、である。半年後にウクライナ大統領は成人男子の出国禁止令を出すことになる。
さらに、2月15日には銀行と軍のサイトに集中したDDoS攻撃があった。銀行からのもっともらしい偽メッセージもあった。実は資金が消えるようなことがなく大きな実害はない攻撃であったが、ここでもウクライナの国民(ネットユーザー)は不安と誤認識による狼狽行動に走った。ロシアのウクライナ侵攻が始まったのは、このサイバー攻撃の約一週間後である。
◎経営活動を脅かすリスク/民間企業が努力すべきこと
民間企業は、認知戦争とサイバー攻撃の組み合わせに直面した場合、さまざまな高度な戦術に備える必要がある。想定すべきリスクは以下の通り。
偽情報キャンペーン/サプライチェーンの脆弱性/ソーシャルエンジニアリング攻撃/データ完全性攻撃/ディープフェイクと合成メディア/法的・規定的影響/心理操作/風評被害/内部脅威/継続的かつ進化する脅威(各項目の詳説あり)。
進展速度を上げている認知戦とサイバー攻撃の脅威に対抗するため、民間企業(経営幹部)は次のような努力をしなければならない。
・強固なサイバーセキュリティ対策、従業員の教育と訓練、心理的回復力の構築、危機管理計画、テクノロジーの使用における倫理的配慮を組み合わせた多面的なアプローチを採用する。
・サイバー攻撃と組み合わせた認知戦がもたらす複雑な課題に対する企業の備えと対応を強化するため、同業他社、政府機関、サイバーセキュリティの専門家と協力する。
専門家や警察を含め外部の力を借り、協力関係を結んで自分たちの情報を公開しつつ外部の情報をしっかり得て、事実を直視し目を見開き耳を傾けて警戒態勢を構築し考えてほしい。
2024年3月5日(火) 会場対面・オンラインLIVE配信のハイブリッド開催
source : 文藝春秋 メディア事業局