こんにちは、SBT ブログチームの椎名です。
2019年11月7日(木)にザ・プリンスパークタワー東京にて「2019 MPOWER Cybersecurity Summit」が開催され、当社はダイヤモンドスポンサーとして協賛いたしました。
本イベントは、コンピュータセキュリティ関連のベンダーとして世界一の規模を誇るマカフィー株式会社が主催する国内最大級のセキュリティカンファレンスで、今年で第9回目の開催となります。
全10室ある会議室では、それぞれ朝9時から夕方17時50分まで、セキュリティの専門家による講演やセッションが行われました。
SBT からは、技術統括 クラウド&セキュリティ本部 プリンシパルセキュリティリサーチャー 辻 伸弘 がマカフィーセッションで登壇。『安全からの脱出 ~脅威と向き合う道標~』と題し、本当の安心を手に入れるためには脅威とどう向き合えばよいかということを、事例を交えながら語りました。
このセッションに登壇するにあたって80枚にも及ぶ資料を作成したという辻。「今日はお話を純粋に聞いていただきたい」と、自己紹介を割愛し45分かけてたっぷり語った話を抜粋してお届けします。
セッションの冒頭で辻は、「安全と安心という似て非なる言葉があります。安全だからと言って安心できるとは限らないのです。安心を手に入れるためには物事を正しく知り、正しい情報を手に入れていく必要があります。そのためには自分の目で見て、耳で聞いて、そして自分の頭で考えることが大事です」と話しました。
セッションは3つのテーマで構成されており、いずれも内容は講演のサブタイトル通りに脅威への向き合い方についてです。
1つ目のテーマは「東京五輪に向けた辻伸弘の証言」。東京五輪の開催がいよいよ来年に迫ったわけですが、サイバー攻撃は起こらないのか?ということを、2012年に開催されたロンドン五輪のデータをもとに解説しました。
ロンドン五輪では2億件超のサイバー攻撃があったといわれています。しかし、オリンピック CIO の Gary Pennell 氏へのインタビュー記事では、何らかの判断が必要としてテクノロジー・オペレーション・センターに上げられたものは97件で、その中から最終的に危険が起きているかもしれないと CIO にまで報告が上がったのは6件だったと記されています。なぜ2億という数字を出したのでしょうか?
辻は「それは皆さんに注目してもらいたいから」といい、「このように数字に踊らされてはダメで、中身がどうだったかを知る必要があります」と続けました。
事前の準備がきちんとなされており、対応ができたからこそ、実際にロンドン五輪は滞りなく行われていました。
テーマの最後に、今後、五輪に対して沢山の攻撃が来るという話が聞かれることについて、辻は Gary Pennell 氏 のインタビュー記事を再び紹介し、Gary Pennell 氏の言う「件数だけで危ないと騒いで、それに乗っかるというようなことは、なんて馬鹿げていてナンセンスなことだ」という言葉に、心の底から同調すると証言し、締めくくりました。
2つ目のテーマは、辻が「無視不可避な存在」だと言うハクティビストについて。ハクティビストとは政治、信条的な主張を行うための手段としてハッキング活動を行う人たちのことです。
辻は2010年頃からアノニマス※1の動向を観察しており、2013年から続いているアノニマスの日本に対する活動であるオペレーション・キリング・ベイについて次のように説明しました。
「2016年から2018年の3年間で、DDoS 攻撃※2 に関するツイート件数と、攻撃者アカウント数の減少が顕著になっている。ただ、何かしらのイベントが発生するとまた攻撃が起きるかもしれない。やはり看過はできないというのが僕の結論です」
ハクティビストは攻撃が成功しそうなところを常に探しており、関連性が薄いところにも攻撃を仕掛けることがあるといいます。実際に海洋生物の保護を訴えているハクティビストが「捕獲した生き物を運搬する手段を提供しているから」という理由で鉄道会社を攻撃したことがありました。
なぜそのようなことをするのかというと、「ダウンさせて注目を浴び、自分たちの主義・主張を広められれば、極端な話ターゲットはどこでもいいからだ」と辻はいいます。
では、ハクティビストの脅威に対して私たちは一体どうすればよいのでしょうか?辻は次のように答えました。
「怖がる必要はありません。大切なのは、皆さんが守りたいものは何かということを忘れず、それをどうされたらイヤなのかを念頭に置いたうえで、当たり前の対策を粛々とやることが一番大事だと僕は考えています」
3つ目のテーマは、ランサムウェア※3 に感染してしまった会社の対応について。
2019年3月19日、アルミニウム生産や再生エネルギー事業を行っているノルウェーの Norsk Hydro という会社がランサムウェアの被害にあったのですが、「その対応が目を見張るほど素晴らしかった」と詳しく紹介しました。
まず Norsk Hydro のウェブサイトについて。Norsk Hydro は3月18日の深夜に攻撃を受けて、19日に公表しました。サイバー攻撃で被害を受けた場合、企業としては何が起きているかを把握してから発表したいというのが一般的とのことですが、Norsk Hydro は24時間以内に発表を行いました。この対応について辻は「時間が経ってから公表するよりも非常にいい対応だと僕は思います」と説明しました。
また Norsk Hydro は複数の SNS を利用していて、最初に Facebook でアナウンスを出しました。攻撃を受け自社サイトが使えなくなってしまう代わりに、コミュニケーションチャネルを複数持っていたところが非常に評価できるポイントだといい、さらに彼らの Webcast というオンライン配信ツールを使った、リアルタイムでの状況伝達について「このように配信できる仕組みを持っていることも素晴らしい準備だと思います。そして、透明性を保とうとする姿勢がしっかりと見えます」と評価しました。
このような対応ができたのは、「組織力」と「準備力」がしっかりとしていたからだと辻はいいます。
「普段から準備をしておけば、いざというときに慌てることはありません。自分たちで会社を守るためには「組織力」と「準備力」を持つことが大事です」
以上3つのテーマについて話し終えた後、辻は会場に向かって問いかけました。
「皆さんは脅威から何を守りたいんですか? 個人情報ですか? 会社の機密情報ですか? それは僕にはわかりません。皆さんが守りたいものは何なのかを決めるのは皆さんです。そのために皆さんは今、何をしていますか?」
と。そして、
「最初にも言いましたが、自分の目で、耳で感じ取ったものを頭でしっかり考える。考えたら、手を動かして実現させて行きましょう。そして、皆さんが本当に心の底から安心できる安全な状況を作り、互いに信頼できる強い組織作りを一緒にしていきましょう」
という力強い言葉でセッションを締めくくりました。