インターネットから不正侵入されないように「壁」を立てる、見知らぬ人からのメールの添付ファイルやリンクはむやみに開かない――。サイバー空間の新たな脅威が出現するたびに、防御する側の企業や技術者は新たな対策を打ち出してきた。長年それらを積み重ねる過程で、サイバーセキュリティーの「常識」が確立されてきた。
ところが常識が通用しない事態が相次いでいる。壁を立てているのにいつの間にか不正侵入される、マルウエア(悪意のあるプログラム)対策ソフトを導入しているのにランサムウエア(身代金要求型ウイルス)でデータを暗号化されてしまう、といった具合だ。米ソフト会社Ivanti(イバンティ)が2021年4~5月に実施した調査では、53%の日本企業が1年以内にランサムウエアの被害に遭ったと回答した。
常識の見直しが急務だ。ただし全てを捨てろという意味ではない。サイバー攻撃の多くは従来の常識で守れるとされているからだ。まずは常識がどう形作られてきたか、おさらいしよう。
日本の夜明けは2000年前後
サイバーセキュリティーとは、ネットワークやそれにつながるコンピューター、データに対する不正操作などの攻撃を防ぐための仕組みや技術、行動様式などを広く含める概念だ。その概念は1970年代に生まれた。米国ではインターネットの源流といえるARPANET(アーパネット)が誕生。各所をリアルタイムで「つないでしまう」通信ネットワークを介してコンピューターが攻撃されることを防ぐ必要があるという認識が生まれた。
その後、1980~1990年代に登場した2つのツールがセキュリティーの常識の確立に大きな役割を果たしたとされる。パソコンといった端末のマルウエア被害を防ぐ「マルウエア対策ソフト」と、外部ネットワークからの通信を監視して不正アクセスを防ぐ「ファイアウオール」である。
トレンドマイクロの岡本勝之セキュリティエバンジェリストによれば、一般に確認できるマルウエアの原型は1980年代前半に登場した。1980年代後半には複数のベンダーが対策ソフトを発売した。
ファイアウオールの誕生時期もこれに近い。1990年前後にファイアウオールの原型といえる製品が登場する。続く1994年、「ステートフルインスペクション」と呼ばれるセッション情報を管理する方式のファイアウオール製品をイスラエルのCheck Point Software Technologies(チェック・ポイント・ソフトウェア・テクノロジーズ)が初めて世に出した。
もっとも、当時、多くの日本の企業や組織にとって、マルウエア対策ソフトもファイアウオールもまだ縁遠い存在だった。日本におけるサイバーセキュリティーの夜明けは2000年前後とみてよいだろう。ターニングポイントとなったのが2000年1月に発生した、日本の中央省庁のWebサイトが相次いで改ざんされた事件だ。
当時は機密情報を多数取り扱う政府機関でさえ危機意識が低かった。Webサイトを国民に情報を公開する掲示板の一種と捉え、「不正アクセスを受けると想定していなかった」と打ち明ける省庁ばかり。ファイアウオールを設置していない省庁も複数あった。この事件を背景に、内閣サイバーセキュリティセンター(NISC)の前身である内閣官房情報セキュリティ対策推進室が2000年2月に設置された。
ファイアウオールで境界を守る
政府に対するサイバー攻撃は、多くの企業や組織がセキュリティー対策に取り組むきっかけになった。チェック・ポイント日本法人の卯城大士サイバーセキュリティオフィサーは「ファイアウオールの必要性をようやく理解してもらえた」と振り返る。
ファイアウオールの導入が進むにつれて、セキュリティーの常識が形成されていく。安全が保証されないインターネットと、安全と見なせる自社ネットワークとの間に境界となる壁を立てる守り方だ。「境界型防御」などと呼ばれる。
