PR
全3091文字

三菱電機がサイバー攻撃を受け、機密情報が流出した可能性があると2020年1月20日に発表した。日本を代表するIT企業である同社がハッカーの標的にされた衝撃は大きい。なぜ同社が狙われたのか。メディアスケッチ代表取締役の伊本貴士氏に緊急寄稿してもらった。その後編(近岡 裕=日経クロステック)。

 今回の事件から、「三菱電機はセキュリティー対策を怠っていたのか?」という疑問を抱く人はいると思います。しかし、三菱電機ほどの企業になると、エンジニアを自社にたくさん抱えています。防衛関連の事業も行っているため、セキュリティー対策に対する意識は高く、ファイアウオールや侵入検知などの基本的な対策は当然実施していたと思います。

 それでも、侵入され情報漏洩してしまったというところが、今回の事件における重大なポイントです。

未知の脆弱性が狙われた

 今回の攻撃に関しては、利用するウイルス対策ソフトウエアが持つ未知の脆弱性が狙われました。なぜ、脆弱性を早く見つけることができなかったのでしょうか。この点は検証すべきですが、私はこの点に関して、三菱電機や開発会社の対応が不適切だったとは思いません。

(出所:日経クロステック)
(出所:日経クロステック)
[画像のクリックで拡大表示]

 残念ながら、どのソフトウエアでも、開発者ですら気付いていない未知の脆弱性がある可能性ではゼロではありません。現時点において、人間が全てのプログラムのバグをゼロにするのは実質的に不可能です。また、プログラムに脆弱性がなかったとしても、プログラムが利用するOSのコアライブラリーやモジュールに脆弱性がある可能性があります。

 サーバーにアクセス可能である限り、侵入を受ける可能性はゼロではないという理由がここにあります。従って、侵入される可能性はゼロにはできないが、限りなくゼロに近づけるというのがセキュリティー対策の基本です。

 一方で、侵入される可能性がゼロではない限り、「万が一侵入を受けた場合に被害を最小限にとどめる」という考え方が必要です。私は以前から、この考え方が日本企業には乏しいのではないかと懸念していました。例えば、セキュリティー担当者が「侵入された場合のことを考えると」と話を切り出すと、セキュリティーに関する理解に乏しい経営者が、「いや、侵入されてはいけないだろう」という反応をすることが多いからです。

 まずは現実を認識することが大切です。「セキュリティー対策に絶対はなく、どのような対策を実施しても侵入される可能性はゼロではない」という認識を全経営者や関係者が持つことが重要です。

まずは情報資産の洗い出しと分別を行うべき

 その上で、これからのセキュリティー対策の第一歩として重要なのは、全ての情報資産を洗い出し、それぞれに重要度をつけて、重要度別に適切な対策を施すことです。つまり、最重要機密を他の情報と一緒に管理してはいけないということです。

 最重要の情報に関しては、他のネットワークと切り離すことや暗号化、権限付与の最小化、監視の自動化、全操作およびアクセスの記録と記録の定期的なバックアップなどが必要です。

 仮に全てのデータにこれらの管理を行った場合、データアクセスごとに非常に手間がかかって支障を来します。そのため、情報資産は重要度によってどこまで厳重に管理するのかを決める必要があります。当然、最重要機密に関しては、手間やコストをかけても可能な限り厳重に管理すべきでしょう。

この記事は有料会員限定です

日経クロステック有料会員になると…

専門雑誌8誌の記事が読み放題
注目テーマのデジタルムックが読める
雑誌PDFを月100pダウンロード

有料会員と登録会員の違い