アサヒグループへの攻撃から学ぶこと
━━アサヒグループの件は、相当インパクトが大きかったと思うが、あのニュースはどう受け止めたのか。
山岡:英国のJRLと同様に、国を代表するメーカーで、高度なセキュリティ対策をしていた企業であっても、サイバー被害を受け、長期化するということを、他の事業者も認識してサイバーセキュリティに取り組む必要がある。他人事と思わずに、いつ自社に起きてもおかしくない、そして、自分としてやれることがあるということを前提に対策に取り組んでほしい。
鈴木:事案の公表、経営層による会見等、関係者の方々のご尽力にはまず敬意を表したい。社会全体としては、この事案発生の原因等を他山の石として、更なるサイバーセキュリティ対策を考える必要がある。
山岡:セキュリティ対策という視点で付言すると、ランサムウェア被害を受けた企業の公表事例を分析したところ、クラウド環境は比較的レジリエント(回復力が強い)であるのに対して、オンプレミス(自社管理)の環境は被害が長期化しやすいという傾向があるように見受けている。ただ、「クラウドだから安全」というのではなく、クラウドがなぜ比較的レジリエントなのかといえば、たとえば、バックアップが非常に堅牢に取られていたり、脆弱性の管理が実効的に実施されたりしているからだと推測する。クラウドがなぜレジリエントなのか、その仕組みをしっかり分析して、今あるオンプレミスの環境に反映させることもセキュリティ対策として有効であろう。
鈴木:2022年にロシアによるウクライナ侵略が開始され、物理的破壊による被害は甚大だ。一方、ロシアのサイバー攻撃による被害はどうだろうか。ウクライナの問題は未だ継続中であり、明らかにされていないことがたくさんあるが、ロシアはかなりのサイバー攻撃を仕掛けたはずである。ウクライナ側の被害も勿論存在するが、その被害の拡大阻止・抑止には、2014年のクリミア侵攻以降のウクライナのサイバーセキュリティ対策強化等があったと指摘する向きもある。その対策の一つとしてしばしば言及されるのがクラウドだ。
━━ランサムウェア以外にいま日本に迫っているサイバー空間のリスクとして、企業、政府の両面でどういうものを意識しているか。
鈴木:概ね2010年頃までは、公開サーバへのパケット大量送信による攻撃でウェブサイト等を停止させてしまうDDoS攻撃が主であった。それが、情報システム内部への侵入、暗号化によってシステム障害を起こす攻撃に態様が変化し、身代金要求へ繋がっている。これらの脅威は現状でも継続しているが、更に指摘されているのが、有事に備えた重要インフラ等への侵入を行う「Living Off The Land」。和訳は難しいが「システム内寄生戦術」などと呼んでいる。高度な侵入能力と高度な潜伏能力を備え、有事になって初めて機能を発揮し、インフラ機能を停止させる。
━━サイバー先進国と比べ、他に日本が変えていくべきことはあるか。
鈴木:人材の確保、育成だ。
山岡:企業のサイバーセキュリティに関わっているとセキュリティ人材の不足は深刻な課題となっている。
それにもかかわらず、日本では、大学でも大学院でもサイバーセキュリティを専門とする課程がほとんどない。工学部の一部にサイバーセキュリティの講義がある程度である。
サイバーセキュリティは、技術のみならず、経営、政策、安全保障、法律が広く関わるので、工学部に限らずにセキュリティ人材を育成する環境を拡げるべきである
鈴木:防衛省は防衛大学校を持っており、私が次官の時にサイバー学科をつくるべきではと提言した。必ずしも簡単ではなかったが、最終的には、サイバー・情報工学科というものができた。また、陸上自衛隊高等工科学校も横須賀にあり、ここでもサイバー人材育成のための教育が行われている。なるべく早い段階でサイバー教育を受けたほうがよいという考えだ。
制度や意識がどれだけ向上しても、人材が十分でなければ強化は実現できない。サイバーセキュリティを担う人材の確保・育成は急務である。内閣官房の新組織「国家サイバー統括室」でも、サイバーセキュリティ人材フレームワーク検討会を立ち上げている。極めて重要な課題だ。
