全2074文字
PR

 新型コロナウイルスの感染拡大によりリモートワークが多くなり、セキュリティーの脆弱な部分を狙うサイバー攻撃が活発になっている。また東京オリンピック・パラリンピックに関連したサイバー攻撃の増加も確認されている。

 さらにインターネットサービスからの個人情報漏洩やハッカー集団によるランサムウエア被害が目立ち、経済活動への悪影響が深刻な問題になった。このような情勢の中、内閣サイバーセキュリティセンター(NISC)は2021年5月13日、「次期サイバーセキュリティ戦略」の骨子を発表した。今後3年間の日本政府のサイバーセキュリティーの目標や実施方針を示したものだ。

 基本コンセプトは、「『Cybersecurity for All』~誰も取り残さないサイバーセキュリティ~」となっている。企業の大小に関わらず経営者の意識改革と、サプライチェーン全体において継続的なセキュリティー対策の実現を目標としている。

 この「継続的なセキュリティー対策の実現」に向けて最も大きな課題は「自分ごとの欠如」だと私は考えている。「自分ごと」とは当事者意識のことだ。

 こう言ってしまうと何を今さらと感じる人もいるだろう。しかしこれが本当に大きな問題だ。

 自分ごとであると欠如させる要因は、個人レベルではサイバー攻撃が現実世界の出来事であると認識しにくいこと、企業レベルでは予算の関係からセキュリティー対策の優先度が常態的に下げられて意識しなくなっていることにある。政府が目標を達成するためには、こうした要因を排除し、「自分ごとの欠如」を解消する必要があるだろう。

セキュリティー対策が不十分になっている背景

 ここ最近発生した主なサイバー攻撃とその被害を見ていこう。こうした内容を見ることは、セキュリティー対策で何が必要であるかを考えるヒントになる。

攻撃対象の企業 概要
米Colonial Pipeline ランサムウエアに感染し、石油パイプラインが止まるという大打撃を受けた。身代金をビットコインでいったん支払ったが、その後 FBIが大部分を回収した
東芝テックの欧州子会社 ランサムウエアによる攻撃を受けた。被害の拡大を抑えるため、日本と欧州間、欧州域内子会社間のネットワークやシステムを停止した
ネットマーケティング マッチングアプリ「Omiai」のサーバーへの不正アクセスによって、利用者の免許証や健康保険証、パスポート、マイナンバーカードなどの画像が流出した
サンリオエンターテイメント 同社WebサイトのSQLインジェクションの脆弱性を突かれ、ピューロランドファンクラブ会員のメールアドレスなどが流出した
国立環境研究所(NIES) 職員が利用するクラウドサービス「Microsoft 365」のメールアカウントが外部より不正アクセスを受けた。被害を受けたアカウントから、過去にやりとりしたメールのアドレスに対して不審なメールが送られた
2021年の主なサイバー攻撃とその被害
作成:渡辺 洋司、以下同じ

 内容を見ると分かるように、攻撃対象は国内外、企業の大小、インフラ・アプリ・Webサイトなど多様であり、攻撃方法ではランサムウエアの利用から脆弱性を突いた攻撃、不正アクセスなど、あの手この手を使っている。本来はこうした事例を見て、どのような技術的な対策を導入するか、それに合わせてどのように人員・人材を配置するかといった全方位的なセキュリティー対策を考えるべきである。