「サイバー攻撃で1分間に100万ドルの被害が出ている。新たな手法を日々考案する攻撃者が圧勝している」。米マイクロソフト(Microsoft)のロブ・レファーツ セキュリティー担当コーポーレートバイスプレジデントは警鐘を鳴らす。限られた予算でセキュリティーを高める特効薬は「脱パスワード」だと語る。(聞き手は井原 敏宏=日経 xTECH)
サイバー攻撃はどんどん巧妙になっている。
残念ながら、攻撃者が圧勝しているのが実情だ。サイバー攻撃で毎分100万ドルの被害が発生している。毎月5万社以上が攻撃を受け、マルウエアの96%は攻撃用コードを暗号化するポリモーフィック型。これでは容易に防げない。攻撃者は48時間あれば、ユーザーID(アカウント)やパスワードを盗んで、企業などのネットワークに侵入できる。
責任の一端は我々にもある。だが攻撃者は新たな手法を生み出し続けている。攻撃者がそこまで熱心なのは、サイバー攻撃が利益をもたらす仕組み(ダークウェブなど)ができ上がっているからだ。一方、ユーザー側はセキュリティーに対して、攻撃者ほど真剣に学ぼうとしていない。サイバー攻撃に対抗するにはセキュリティーの専門家との連携が欠かせないが、この先数年で180万人のセキュリティー人材が不足するとみている。
さらにIoT(インターネット・オブ・シングズ)の普及で、攻撃対象は爆発的に増える。部屋に設置しているカメラや、オフィス内の各種センサー、水槽内の温度コントローラーまでも、攻撃者の侵入経路になり得る。
攻撃者が圧倒的に優位な状況で、ユーザーが取れる対策はあるのか。
攻撃を100%防ぐ対策を考えることは、もはや現実的ではない。万が一侵入されたとしても素早く検知して、影響範囲を最小限に食い止める。重要な情報や資産を盗まれないようにする「レジリエンシー(回復や復旧の力)」が求められる。
パスワード入力は終わりにしよう
最も実行性が高く、攻撃者を困らせられる対策の1つが「脱パスワード」だ。パスワード入力によるデバイスやアプリケーションの管理は、実は大半がうまくいっていない。パスワードを盗まれ、ユーザーIDを乗っ取られてしまう被害は後を絶たない。
それならこの際、パスワードによるセキュリティー管理をやめてしまおう。代わりに、より安全性が高い指紋や顔の認識技術を使う。パスワード入力から生体認証に防御方法を変えるだけで、安全レベルは格段に高まる。
次に勧めるのは、最新OSへの移行だ。例えば、当社のWindows 7を使い続けているユーザーは基本的に、約10年前の技術に頼っていることになる。これでは、現在のサイバー攻撃には太刀打ちできない。
Windows 10が備える生体認証「Windows Hello」を使えば、ユーザーの顔を認識してログインできる。効率化と安全性は一般にトレードオフの関係にあるが、生体認証ならユーザーの生産性を落とさず、手軽にセキュリティーを強化できる。
Windows 10への移行が有効なのは理解できるが、「October 2018 Update」ではファイルが消失するという不具合が起きた。最新OSに移行して、重要なファイルが消えてしまっては本末転倒ではないか。
不具合の発生確率が1万分の1程度だったとはいえ、データの損失を招いた問題は深刻に受け止めている。二度と同じ不具合を起こさないように万全を期す。そのうえで、2018年11月13日(米国時間)にOctober 2018 Updateの提供を再開した。
