「サイバーセキュリティ」 谷脇康彦 2018年 岩波新書

 読まなくっちゃいけないけれど関心の低い分野のお役人の書いた本。やっぱりつまらない。お役人だから頭が空っぽ。読み飛ばしたのは、内容が薄すぎるから。 以下はこの本の要約と引用です。


■ はじめに

 私は2013年から3年間、内閣サイバーセキュリティセンター(NISC)で勤務。2015年に「サイバーセキュリティ基本法」が施行されました。

■ サイバー攻撃の手法

 情報通信研究機構(NICT)は、使われていないIPアドレスを使って、無差別なサイバー攻撃を観測しています。

 自動車は100個以上のコンピュータを搭載。無線でソフトの書き換えも行っています。電力の消費量を電力供給網上で統合されます。

 サイバー攻撃は、攻撃側が優位。防御側の先の手を打てます。

 多くの国の情報を盗みだしている上海の中国人民解放軍61398部隊。国家が関与する攻撃は執拗で、多大な犠牲と支出をかけて継続されます。

 攻撃者は経路の情報を隠し、直前のルーターの履歴しかわからなくしています。

 攻撃用のツールやソフトウェアの虚弱性情報も売買されています。アクセスを集中させるDDoS攻撃サービスも提供されています。

 ワーム(虫)は伝搬性のあるマルウェア。「ワナクライ」はランサムウェア(ランサムは身代金)のワーム。攻撃の手法で最も多いのは、標的型メール。業務に関連がある件名、本文、添付ファイルのタイトルがつけられています。長い休暇の後など、溜まったメールを急いで処理しようとするタイミングが要注意です。

 不正送金先は115ヶ国。主に中国本土と香港の銀行。

■ 狙われるIoT機器

 十分なメモリーが無く、画面もなく気づかれにくい、パスワードが簡易なIoT機器が「踏み台」となることが急増しました。IoT機器は長期にわたって使われます。Mirai(みらい)は防犯カメラなどに仕込まれた感染端末は「ボット」と呼ばれます。

 これまでのデジタル化は領域ごとに閉じた情報化。IoTは領域を超えてネットワーク接続され、大量のデータが結合される「システムオブシステムズ」です。リスクの波及を防ぐ停止装置(キルスイッチ)や遮断ルーターを共通化し共有します。製造事業者は、ハードウェアを制御するファームウェアの更新サービスが求められます。

 なりすましでないことの認証、改竄されていないこと(真正性)の証明、イベントのタイムスタンプ機能などを一体として提供する「トラストサービス」が求められます。

 ISAC(アイザック)は、業界の脅威情報を収集し共有する組織。マルウェアに感染したPCからC&Cサーバーにアクセスしようとするとアクセスを遮断します。マルウェア配布サイトへのアクセスに対して警告を表示します。

■ 企業へのサイバー攻撃

 規模の大きな個人情報漏洩事件の多くは、サイバー攻撃事案です。

 サプライチェーン全体のセキュリティ水準を底上げするための情報共有。メールや掲示板から自動共有へと、国境を越えて進化しています。

 工場内の生産ラインなどの制御システムのセキュリティ確保。制御システムの標準化、監視拠点の集約化、外部ネットワークへの接続など標準仕様への転換が進み、サイバー攻撃が容易化しました。

 制御システムの管理は設備管理部門。情報部門と設備部門の意思疎通が問題になることもあります。情報系(IT)と制御系(OT)は一体化されつつあります。

 クラウドサービスの活用も安全性を高める選択肢の一つです。

■ サイバーセキュリティを担う人々

 2018年現在、日本国内にサイバーセキュリティ人材は28万人。13万人が不足しています。

 毎年米国で行われるデフコン世界大会。

 2016年に国家資格「情報処理安全確保支援士(登録セキスペ)」制度ができました。

 日本の場合、IT系企業にエンジニアが遍在しています。

■ 日本のサイバーセキュリティ

 偽物のメールを2割は開封してしまう。開封することを前提とした対策が必要になります。重大な危険/事故(インシデント)が発生した際の広報の確認。重要なシステムのインターネットからの分離。管理者権限を奪取されないよう、不要な管理アカウントの消去。譲歩システムの契約内容が平時の運用のみとなっていないか、などの確認が必要です。

 独立行政法人情報処理推進機構(IPA)は経済産業省のIT政策実施機関。

■ サイバーセキュリティ外交

 国境を超えたサイバー空間のルールは枠組みさえできていません。

 政府の規制は最小限とし、既存の国際法が適用されるとする西側諸国。中露と途上国は、米国企業主導のサイバー管理に反発し、国家主権の下に管理されなくてはならないと主張します。国際人道法の適用を認めません。サイバー攻撃を行っているとされ、自衛権行使の対象とされることを拒否しています。

 「ワナクライ」は、北朝鮮のラザルスグループのマルウェア。

■ インターネットの光と影

 インターネット上の活動に制約を加えている国が増加。政府にとって好ましくない情報の拡散を防ぐため、モバイル通信網の遮断。政府機関によるサイバー攻撃(偽情報の拡散)、VPNの規制強化、ジャーナリストへの攻撃(テロ)、などが行われています。

 利用者の意見に共通する内容により多く接触するエコチェンバー(反響室)効果。

 ロシア政府とつながるIRAが2016年の米国大統領選挙で使ったボットの数は4万9千。2018年米国は12名のロシア軍関係者を起訴しました。

 フェイクニュースの作成者は、多額の広告収入を手に入れます。

 ソーシャルメディア上の偽情報は、正しい情報の6倍の速さで拡散し、到達範囲も広いと報告されています。偽情報は感情に訴えます。若年層はオンライン情報を信頼する比率が高くなっています。偽情報はそれ自体は違法ではありません。

 欧州の「一般データ保護規制(GDPR)が1018年に施行。欧州全体の個人情報保護の枠組みが共通化されました。企業等が保有する個人データにアクセスする権利、個人のデータを削除する「忘れられる権利」が制度化されました。日本企業でもGDPRに対応する必要があります。

 セキュリティ対策は使い勝手を悪くします。