SBTのスベテ

【イベントレポート】基調講演:Zホールディングス・ヤフー 執行役員 中谷氏「デジタル社会におけるサイバーセキュリティ」

アヤベ

アヤベ

こんにちは、SBT ブログチーム 綾部です。

2019年12月18日(水)、サイバーセキュリティの現状や、クラウドの利活用に伴うセキュリティ対策をご紹介する「働き方改革を推進するクラウド活用に必要なセキュリティ対策とは」セミナーを、当社主催にて開催しました。

今回のブログでは、基調講演の内容を一部抜粋してご紹介します。
基調講演では、初代インターポール・サイバー部門トップ、現在は、Zホールディングス株式会社・ヤフー株式会社 執行役員 政策渉外・広報、サイバーセキュリティ担当 中谷 昇 氏を迎え「デジタル社会におけるサイバーセキュリティ」と題しましてお話しいただきました。

基調講演


情報は流出・漏えいするのではなく盗まれている

中谷氏は、サイバーセキュリティを取り巻く現状について、「昨今では、『21世紀の石油』と言われるほど、データの価値は上がっています。国や企業の機密情報だけではなく、個人の情報もデジタル社会では戦略物資となっています。そして、価値があるものはおのずと狙われやすくなります」と言います。
このような現状で、多くの国、企業では対応を考える必要がありますが、日本の報道によるサイバー犯罪の捉え方への影響について次のように述べました。

「米金融大手キャピタル・ワン・フィナンシャルがサイバー攻撃を受けた報道を見てみると、同じメディアでも英語版は『stole(盗まれている)』、日本語版は『個人情報流出』と表現が異なります。『情報は漏れているのではなく、盗まれている』という意識が薄いのではないかと思っています。」(中谷氏)

次に、2019年の世界経済フォーラムによるグローバルリスク報告書では、2018年に続きグローバルリスクトップ5にサイバー攻撃がランクインしており、その中でも「データ・金銭の搾取」と、企業の経営にとって大きなリスクとなる「オペレーションやインフラの破壊」の2つがランクインしていることを挙げました。

国だけではなく、企業もサイバーセキュリティの主体であること、サイバー攻撃の被害者、加害者は誰なのかというような本質を踏まえなければ、総合的な対策を講じることはできない、と言います。

盗まれている


テクノロジーが犯罪シーンを変えている

現在のサイバー犯罪の特徴としては、現実空間からサイバー空間に移行しており、たとえば、セキュア通信を乗っ取られるサイバー銀行強盗や、ランサムウェアに狙われるデータの暗号化技術、DDoS 攻撃に悪用される IoT など、テクノロジーがサイバー犯罪のあり方を変えていると言います。

「現実での銀行強盗統計をみてみると、日本では未遂も入れて1992年には115件でしたが、2017年には26件に減っています。シンガポールにいたっては、2004年から5件です。
しかし、オンラインバンキング詐欺により、日本では2015年が最も多く1495件、被害額約30億円が銀行から盗まれています。2018年には322件、被害額約4億円と減少しましたが、残念ながら2019年では増加の傾向にあります。」(中谷氏)

また、2016年にはバングラデシュの中央銀行が SWIFT(国際銀行間通信協会)を利用したサイバー銀行強盗により、現実空間では持ち運ぶことが出来ない約90億円という莫大な金額が不正送金されました。他にも SWIFT に加盟している世界中の銀行へのサイバー攻撃が多発していると言います。

データの暗号化技術を狙うランサムウェアの現状としては、2016年にサンフランシスコの公共交通機関のゲート、券売機のシステムが感染したことで3日間乗車無料となった攻撃や、2019年には米国で地方公共団体に広まっており、ニューオリンズではサイバー攻撃による非常事態宣言を発表した例を挙げ、社会に及ぼす影響の大きさを述べました。
また、IoT を悪用する DDoS 攻撃については、今年の東京オリンピック・パラリンピックに関する懸念点を次のように述べました。

「Mirai が使われた2016年のリオオリンピックでは、500Gbit/秒、同年、Netflix、Twitter などに基盤システムを提供している米国企業 Dyn への攻撃では1.1Tbit/秒に上りました。
この規模の攻撃への対応は困難です。しかし、東京オリンピック・パラリンピックは、アスリートの祭典であるが、ハッカーの祭典ともいえますので、相当の対応策が必要となります。」(中谷氏)

犯罪シーン


サイバーセキュリティにおける3つの重要事項「TPP」

日本では ISMS の普及率は高く、脆弱性の特定・予防を行っている企業は多いと考えられるが、重要なのは「サイバー攻撃への気づき」であると中谷氏は言います。

「FireEye社の発表によると、サイバー攻撃に気づくまでの日数は、アジア太平洋地域は262日、南北アメリカ大陸は46日、ヨーロッパ、中東及びアフリカは61日です。
アジア太平洋地域は特に時間がかかっており攻撃側に時間を与えてしまいます。日本で考えられる自前主義ではなく外部サービスを利用し効率的な対応が必要です。」(中谷氏)

また、米国国防総省が請負業者に定めた新たなセキュリティフレームワーク「NIST SP800-171」について、米国請負業者と取引のある日本企業へも準拠を要請、また、日本でも2020年度に防衛省がセキュリティ対策を NIST SP800-171並みに引き上げていく方向に進んでおり、準拠しなければ取引できない企業となるので対応が必要である、と続けました。

中谷氏は、新たな基準が加わり個別の対応が困難な中、押さえるべきポイントとして「Technology」「Process」「People」の3つを挙げました。

「『Technology』においては、脅威を見つけるための SOC の活用、本人認証の強化における FIDO の検討が必要になります。『Process』においては、セキュリティファーストの考えを浸透させるべく、セキュアプログラミング、セキュリティアセスメントの実施が不可欠です。そして、『People』においては、CISO の設置によるリーダーシップと、従業員の訓練・教育が重要となります。」(中谷氏)

最後に、デジタル社会におけるサイバーセキュリティにおいては、自ら発信することにより企業が信頼を得て価値を上げることができるよう、自らのルールについてステークホルダーに説明するプロセスの確立が重要である、と締めくくりました。



さいごに

サイバー攻撃による影響や、企業が準拠すべき基準を考えると、各企業における対応が多くあり、業務の負担が大きくなることは必至です。働き方改革も求められる昨今、ぜひ外部サービスもご検討いただけたらと思います。当社では、セキュリティ専門アナリストによる運用監視サービスや、セキュリティ対策に関するソリューションもございますので、効率的および高度なセキュリティ対策をお考えの企業様は、ぜひご相談ください。



関連リンク

マネージドセキュリティサービス(MSS)
セキュリティソリューション一覧

【総合】お問い合わせ

ソリューションに関する全般的なお問い合わせはお気軽にご相談ください。

ピックアップ

セミナー情報
クラウドエンジニアブログ
clouXion
メールマガジン登録