日本企業をターゲットとしたサイバー攻撃が多発しています。その背景には攻撃を仕掛ける者たちの目的の変化があると言われています。これまではWebの不正な書き込みなど愉快犯的な攻撃が多数を占めていましたが、現在は金銭や情報の不正搾取をはじめ、特定の企業のシステムそのものを破壊しダメージを与える目的の犯罪が増加しています。こうした現実にどう立ち向かえばよいのか、富士通のセキュリティビジネスを牽引する、セキュリティイニシアティブセンター 太田大州センター長に語っていただきました。
太田大州
サービス&システムビジネス推進本部
セキュリティイニシアティブセンター
センター長
――日本の会社がサイバー攻撃のターゲットにされているのは本当でしょうか?
2013年3月20日。韓国最大の農協系銀行をはじめ複数の大手銀行と、「冬のソナタ」などで知られる公営放送局KBS(韓国放送公社)などのメディアを標的にした「サイバーテロ」が起こりました。その結果、同時多発的にシステムが停止し、再起動も行えない状況となり、銀行ではATMやオンラインバンキングサービスが停止。一部の放送局ではラジオが放送できない事態に陥りました。このサイバー攻撃によって韓国国内の約5万台のPCやサーバーが影響を受け、その被害総額は8672億ウォン(約780億円)とも言われています。
これまでスパイウェアなどで「個人情報が盗まれる」などの事件は各地で頻発していましたが、国家規模でシステムが破壊されたことで注目を浴びました。この事件をきっかけに「経営リスクとしてのサイバー攻撃」が真剣に議論されるようになったのです。
この事件の感想を求められた私は、「いつか起きると思っていました。私からすると想定内です」と発言し、非常に驚かれました。
私がお客様にお話ししているのは、日本企業の90%に近い会社で、「マルウェア」と呼ばれるコンピュータウィルス、スパイウェアなど「悪意のあるソフトウェア」が社内のネットワークに入り込み活動しているという現実です。知らない間に、「情報漏えい」や「遠隔操作によるパソコンの乗っ取り」などの被害がどんどん拡大しているのです。
日本企業はかなり前からこうした悪意のあるソフトウェアに侵入されています。そしてそれらの中には、侵入した痕跡を自ら消し、何もなかったかのように活動を続けるものもあります。
私たち富士通は、お客様にICTを使っていただくことで、お客様の利益に貢献する企業です。しかし、このようなサイバー攻撃はそのICT自体を止めてしまいます。それに対して何の提案も施策も打たないのは無責任ではないかということで、富士通では4年前からこの分野の強化を実行しています。
――気づかない間にサイバー攻撃の対象となっている可能性があるということですね。
そうです。ひとつ、こうしたマルウェアによって引き起こされた重大な事件をご紹介しましょう。ある化学メーカーの遠心分離機の制御PCがマルウェアに感染し、周波数変換装置が乗っ取られ、約8400台の遠心分離機の全てが稼働不能に陥りました。仮に同様なことが一般企業の工場で起きた場合、多額の損失はもちろん、製品の品質劣化を通じてこの企業を貶めるなど、サプライチェーン全体にも影響を及ぼします。
地震や台風などの自然災害とは違い、サイバー攻撃は、狙われた企業のみが重大な損害を被ります。つまり、サイバー対策の遅れは企業の生存にかかわる致命的な経営的リスクにつながるのです。
――対策は進んでいるのでしょうか?
こうした未知の脅威を検知し、攻撃をブロックする製品が、世界各国で開発され、市場にも多く出回っています。しかし、こうした製品を導入したからといって、サイバー攻撃から自社を守ったことにはなりません。
すでに導入した企業の担当者に話を伺ってみると、共通した二つの問題があることが分かりました。一つは「どの製品を使ってよいか悩んでいる企業や担当者が多い」ということです。開発メーカーの担当者に聞くと、どの担当者も「うちの商品が一番マルウェアをキャッチできます。最高です」と太鼓判を押す。これではどれを導入すればよいのか判断がつきません。
もう一つは「運用」です。こうした製品はマルウェアやウイルスの侵入に対し、「グレーなものはすべて遮断する」「絶対にクロと判別したものしか遮断しない」など、必要に応じて感度をチューニングすることができます。
チューニング次第では、人が追いつけないほどの数を検知したり、反対に、まったく検知しない場合もあります。けれども、多くのケースですでにマルウェアは侵入し活動していた、つまり手遅れだったという事例がほとんどです。つまり、いい製品を買ったつもりだけれど、お客様はそれを「使いこなせていない」わけです。この「使いこなせていない」という事実こそ大問題ですね。サイバー攻撃に対する防御という意味では、使いこなすための運用が大切です。
――サイバー攻撃に対する危機管理の意識を向上させるためには、どうすればよいでしょうか?
現在、サイバー攻撃対策の優先度を高くする企業が日本全体で増えています。その一方、自社にとってのリスク度合いが分からないので、必要な対策と、それをどの程度実施すべきか分からないというお客様からのご相談が増加しています。
そこで富士通では、実際にマルウェアを使ったデモンストレーションの体験・体感により、お客様にサイバー攻撃を正しく理解頂くための取り組みを始めました。
というのも、多くの方がリスクを「体感」していません。「メールの添付ファイルを開くと感染してしまう」「URLをクリックすると感染してしまう」、そういうことを頭では分かっているのですが、感染したら具体的にどのようなことが起きるのか、パソコンを乗っ取られるとはどういうことなのかが分からないのです。そのためにも、まずは体感していただくことが必要だと思い、こうしたデモンストレーションを始めました。
そこで体験された方の多くが、フォルダのデータをすべてのぞかれ、知らないうちに写真が撮られている現実に衝撃を受けます。インターネットというのは、自由社会が作り出したすばらしい産物です。しかし、こうしたサイバー攻撃に対する危機管理を徹底しなければ、インターネット自体が使えなくなってしまいます。そのことを、企業のリーダーである経営者は理解して、適切な決断をしていただくことが必要となります。
――経営者の意識の問題なのですね。なにか分かりやすい事例はありますか?
はい、サイバー攻撃に対する経営者の意識の低さが致命的なトラブルにつながった事例をご紹介しましょう。
アメリカの小売店で実際に起きた事件です。アメリカはクレジットカード社会なので、普段の買い物にもクレジットカードが多用されます。通常、クレジットカードの個人情報は暗号化されているので、仮にそのデータが社外に持ち出されたとしても読むことはできないと考えられていました。担当者は安心していたんですね。でも、ある日、その小売店のシステムがマルウェアの検出を知らせたのです。
現場の担当者はおかしいと思い、すぐさま経営陣に報告をしたのですが、「システムが間違っているんじゃないの? 大丈夫、個人情報は暗号化されているから」の一点張りでした。
ところが後日、FBIから、「御社の顧客データが抜き取られています」と指摘されました。実はそのマルウェアは、クレジットカードのリーダーが読み取った情報を暗号化される前に盗み見る新しい手口だったのです。つまり、この小売店では、クレジットカードが使われる度に、顧客情報がインターネットを通じて、攻撃者のもとに流出していたことになります。
最終的にこの企業のCEO/CIOが退陣することになりました。システム担当者のミスもあるとは思いますが、現場で個人情報を一生懸命守ろうとしても、経営する側がついていけなければ意味がない。この時、サイバー攻撃を知らせるアラートは何回も上がっていたそうです。つまりどんなに高度な感知システムを装備しても、経営者の影響力が強ければ強いほど、現場はその指示に従わざるを得ない場合が多く、こうした事態が防げなくなります。「クレジットカードの個人情報は暗号化されているので絶対に大丈夫」という経営者の過信が、衝撃的な事件に発展したと言ってよいでしょう。
――そもそも太田センター長がセキュリティ分野に関わることになったきっかけを教えてください。
私は入社して30年近くとなりますが、もともとは複合システム関係の商品開発を担当していました。サラリーマン人生の前半はいわゆるバブル景気に沸いた時代です。新しい商品をどんどん開発して、どんどん売る。それで企業も業績が上がる。とても幸せな時代でした。
ところがバブル崩壊後の1995年に阪神・淡路大震災が勃発します。これを契機にただ物を売るのではなく、例えば「防災」という分野に富士通の技術力で貢献できないかという想いから、私は消防行政における指令統制システムの開発、運用に携わりました。「119」にお客様が連絡すると市町村の消防がそれを受け、必要な台数の消防車や救急車をいち早く現場に派遣するシステムです。政令指定都市等、大規模システムを構築するのに7年間奔走しました。
2000年代に入り、アメリカ同時多発テロが発生すると、社会はますます不確実な時代に突入しました。自治体などの公共分野のみならず、民間企業の安心、安全をどのように守るのか議論されるようになりました。富士通はICTの会社なので、テロや自然災害からどうICTを守るのかという「ディザスタリカバリ」という分野に着手したのですが、近年、その成熟過程において、サイバー攻撃からどう企業を守るかが最大の課題として浮上してきたのです。サイバー攻撃が自然災害などと決定的に違うのは、その被害状況が見えないという点です。ですから私たちは、これまで企業が経験したことのないサイバー攻撃という不確定リスクの本質を、できる限り「見える化」して、その本当の危険性を問うことが必要だと考えるようになったのです。
――富士通自身はどのようなセキュリティ対策を構築しているのでしょうか?
富士通ではお客様のイノベーションを支えるために、お客様起点視点でICTの安心、安全を実現する継続的な取り組みを開始しました。それを私たちは「FUJITSU Security Initiative」と呼び、新たに体系化しました。
「FUJITSU Security Initiative」コンセプト
体系化するにあたり、社内実践で培ったノウハウを活用しております。例えば、富士通は世界各地に300社のグループ会社と、グローバルネットワークで情報を共有しています。今まではインシデントが発生した場合には、各国の担当者がその都度、対応していましたが、現在は、すべてリアルタイムで、国境を超えた対応が可能となりました。
こうしたインシデントは、いつ、どこで、どのような規模で発生するのか分かりません。各国の担当者に任されていた時代は、そのインシデントが深夜に発生した場合、その対応は早くてもスタッフが出社する翌朝でした。マルウェアの侵略は、深夜から朝にかけて、社内ネットワークを通じてすでに拡大しています。
現在は、日本のワークタイムに発生したグローバルなインシデントは、日本の担当者が担当し、その逆であれば、海外の担当者が担当することになっています。つまり、24時間、365日、世界中のどの場所で事件が発生しても、リアルタイムでの対応が可能となったのです。
特筆すべきことは、この仕組みを構築するにあたり、人員増加をしなかったという点です。これまで人海戦術でやっていたものを富士通らしくプロセスを標準化し、人手をかけることなく自動化で達成できたのです。
――今後の課題について教えてください。
専門知識が必要となるサイバー攻撃対策については、外部委託の活用を検討する企業が増加しています。この分野の課題は、圧倒的に人材が不足していることです。
そもそもセキュリティエンジニアは、単独でビジネスとして成立するかといえば、成立しにくい非常に厳しい現実があります。
同じセキュリティエンジニアでも、例えば通信機器分野が得意な人がいれば、データーベースを作りながら同時にセキュリティにも精通する人もいるでしょう。コンサルティングからスタートする人もいます。一口にセキュリティエンジニアと言っても、カバーする領域の裾野が広く、専門性も多様で、なかなか実態が分かりにくいのです。
そういう人を探し出して雇うよりも、少し勉強をしたらこの分野におけるスペシャリストになれる人材を社内から選びだす方が、社内人材の活用という点でも意味があります。そこで富士通では「セキュリティマイスター認定制度」というものを始めました。社内のどこにスキルを持った人材がいるのか「見える化」し、その人たちをマイスターとして認定することで、新しいコミュニティを作る計画です。
社内から人材を募集し、富士通のセキュリティ分野でその力を発揮できるコミュニティを形成するというものです。
社内には、様々な分野のセキュリティスペシャリストがいます。こうしたプロと積極的に交流をして、今の世の中に必要な技術はどうあるべきか議論しながら、その知識を共有できる組織運営を目指しています。これまでの縦社会に縛られた硬直した組織ではなく、グループ全体で緩やかなネットワークを作り、あらゆるトラブルの解決に挑戦していきたいと思っています。
――今後、複雑、巧妙化するサイバー攻撃に私たちはどう向き合えばよいのでしょうか?
攻撃する側にターゲットにされると、グローバルでも、社内のネットワークでも、隙を見せればすぐに攻略されてしまいます。
一番狙われるのは誰か。色々な所で名刺を配っている役員です(笑)。いずれにしても、権限のある方のアクセス・コントロールに一番注意しないといけません。
ただ、その道のプロは、メールを開いてもらうために、様々な手口を用います。例えばその会社の「お客様総合センター」に、御社の商品に対する顧客からの意見書です、という名目でメールを送付する。また、リクルートのエントリーメールなどに仕組む場合もあります。
メール以外にも「水飲み場」攻撃といって、正規のウェブサイトを改ざんし、アクセスしただけでマルウェアを自動的にダウンロードさせるという手法も増加しています。
セキュリティの分野というのは、ICTがある限りなくなりません。今後もサイバー攻撃を仕掛ける側は、より複雑で巧妙な手段を使って攻撃をしかけてくるでしょう。
気をつけなければならないのは、企業が活躍する分野が広がれば広がるほど、セキュリティ運用をしっかり実施する必要があるということです。対策や適切な運用を放置すると、とんでもない責任を背負うことにもなりかねません。最先端の技術や道具を使うのは、ビジネスにおいて非常に有効な手段です。ですから、セキュリティはICTを自由自在に活用できるように構築しなければならない。
これは富士通としての、お客様との約束事でもありますから、今後、全社員がこれを肝に銘じて、ビジネスを発展させていかなければならないと考えています。
【関連リンク】
Fujitsu Technology and Service Vision 関連リンク
認証基盤の充実、プライバシー保護、セキュリティ・インテリジェンスの三つの柱で、お客様の安心安全なICT環境の運用を支援します。
【関連記事】
「FUJITSU JOURNAL (富士通ジャーナル)」は、【ICT×INNOVATION】豊かな未来を創るビジネスやテクノロジー情報をお届けするWEBマガジンです。