特別対談

サイバーレジリエンス時代に求められるネットワークフォレンジックス

2020年、我が国は東京オリンピック・パラリンピック開催を7月に控えていますが、昨今のオリンピックでは開催国を標的とした大規模なサイバー攻撃が発生しています。
もはや他人事ではないサイバー攻撃から、あなたの会社を守る方法はあるのでしょうか?
今回は、サイバーセキュリティ分野の第一人者である門林教授に、当社サイバーセキュリティ研究所長の藤原がサイバー攻撃の背景やその対処法への考え方、将来の展望などを伺いました。

【 この対談は2019年10月に開催され、記事内容は当時のものです。何卒ご了承ください。 】

画像

01サイバーレジリエンスとは

藤原
門林教授は、サイバーセキュリティに関する研究や、国際機関でのサイバーセキュリティ標準化などの活動で非常に著名です。
2017年には奈良先端科学技術大学院大学で、「サイバーレジリエンス構成学研究室」を立ち上げられました。
最初にお伺いしたいのは、あまり馴染みがない「サイバーレジリエンス」という言葉についてです。これはどのような概念でしょうか。また、先生はこれまで「サイバーセキュリティ」を中心に研究を進められてこられましたが、なぜ今、「サイバーレジリエンス」なのでしょうか。
門林
20年以上、サイバーセキュリティを研究してきましたが、研究していて思ったのは、どうしても数年に一回、大事故は起きてしまう。例えば、10年以上前になりますが「ワーム事件」、近年であれば「Wannacry事件」などがありましたよね。このように数年に一度は大事故が起きる現状を目の当たりにし、サイバーセキュリティ事故は「事故」と言うよりも、地震や台風といった大規模災害のような側面が強いのではないかと思うに至たりました。
これまでは、「セキュリティを頑張れば事故は起きない」「事故が起きない様にセキュリティを頑張る」といったアプローチでした。 ところが、例えば暗号化やセキュア開発など、セキュリティを頑張っても、現実には数年に一度、前述の様な大事故が起きてしまう。安全安心を維持するために、セキュリティを頑張るだけでは語れない領域に来ていると思うのです。
最近では、キャッシュレス決済での事案が象徴的ですね。事故の結果としてサービスを取り止めることになってしまいました。「お金が盗まれ、お客様に迷惑をかけてしまい、信用問題も含めて守りきれない」ということで、ビジネスそのものを止めてしまう。実は、こうしたセキュリティ事故の場合、海外では会社そのものがなくなってしまうケースが少なくありません。こうした事故は「事業継続性の脅威」と言えます。
組織にとって一番良いのは「安全安心な状態」ですが、その一方で「事業継続性も立ち行かないほどの酷い状態」があり、その間を行き来しているのが実情だと思います。
例えば、「USBメモリをなくしてしまいましたが、情報漏洩はないと思います」「業務PCがウイルスに感染してましたが、他のPCへの感染はない筈です」「詐欺メールに引っかかったんですがお金が盗まれるなどの実害はないはずです」みたいな会話は、皆さんの組織でもあるのではないでしょうか。
藤原
それらを繰り返すうちに、大きな事故につながってしまうということでしょうか。
門林
そうです。いかに大きな事故につながらせないか、事故にあっても事業継続が不可能な状態に陥らせないかが大切なんです。そこで「レジリエンス」という考え方が出てきます。
レジリエンスには、「事故が起きた時のしなやかさ」「強靭さ」といった意味があります。つまり「事故は起きるもの」としても、事業継続が不可能にならないように回復させること。理想的には、安全安心な状態に回復させることが、レジリエンスの考え方です
藤原
セキュリティは安全安心を確立する技術ですが、それだけでは安全安心でない状態に陥ってしまう場合がある。レジリエンスは、その時にいかにして安全安心な状態に回復させるのか、という捉え方ですね
門林
セキュリティの専門用語はどうしてもカタカナが多くなってしまうのですが、「インシデントレスポンス」という用語があります。「インシデントレスポンス」とは「セキュリティ事故の対応業務」にあたりますが、事業継続性をゴールとするならば、事業が維持できていれば、極論、インシデントレスポンスを行わなくても良いということになります。例えば、先ほどのキャッシュレス決済で言えば、新しく安全に作り直した同じようなサービスを立ち上げても良いのです。
いかにして安全安心な状態に回復するかについては、いろいろな方法がありますので、それを学問として研究するために「サイバーレジリエンス構成学研究室」を立ち上げました。

02「セキュリティは経済格差」という問題

藤原
セキュリティは技術的側面が非常に強いイメージがありますが、レジリエンスでは経営観点から、事故からの回復も含まれるイメージでしょうか。
門林
経営観点もありますが、地政学的観点もあります。例えば、「迷惑メール」。皆さんもメールアドレスを持っている限り「迷惑メール」が送られてきていると思います。技術的には、もうかれこれ30年ぐらい対策が練られていますが、「迷惑メール」は無くなっていませんよね。なぜかというと、それは「経済格差の問題」でもあるからなんです。
具体的には、発展途上国には迷惑メールを一通送る毎に0.1円、手元にお金が入る人たちがいるのです。日本の物価感覚だとビジネスにはならないですが、現金収入に乏しい発展途上国だと大事な収入源となるのです。
藤原
そうした意味で、「地政学的な理由」が入ってくるのですね
門林
経済格差を含めて考えると、その迷惑メールを書くことで生計を立てている発展途上国の人がいる。あるいは、ニュースにもなりましたがフェイクニュースを書くことで学費を稼いでいる東ヨーロッパの学生がいる。これらは人の行動なので技術的な制御は難しく、彼ら彼女らが経済的豊かにならない限りは無くならないのです。
藤原
機械が相手であれば技術的な対処ができますが、人間が相手となると技術的な観点だけでは対処が難しいという意味ですね。
門林
世間の秀才は、「セキュリティだけやれば良い」「犯罪者を捕まえれば最終的に犯罪はなくなる」「その結果、世の中は安全になる」という発想ですが、現実は甘くない。まず、世界中の人々がインターネットを通じて繋がっている現実があります。
1日1万円使っている人が存在する一方で、1日10円で生活している人がいるという経済格差があります。0.1円を稼ぐことがビジネスになる国と、ならない国があるのです。
こうした経済格差の問題もそうですし、イデオロギーの対立や宗教の対立など、様々な価値観の対立もありますよね。そういったものがすべて、インターネットという空間では現れてきますので、かなり厄介です。
藤原
我々は普段、日本で生活をしていて、夜間、外出してもそれほど怖い思いをすることはありません。つまり「安全な国に住んでいる」イメージを持っています。
しかしながらインターネットを通じて、安全でない国と直接的に繋がることで、地政学的リスクやサイバー特有のリスクなど、我々が思ってもいない様々なリスクに曝されているということですね。
門林
表裏一体なのです。表側では、インターネットを使い世界中と繋がることで、オフショアで開発したり、国をまたいで製品を製造したり、世界中に物を売ったり、世界中からYouTubeの動画を見てもらうことがビジネスになったりと、スケール感のある数多くの事ができるようになりました。その裏側で、発展途上国との経済格差や価値観の対立のようなリスクに曝されるわけです。
結論的には、インターネットなりサイバースペースの利益を享受する限りは、「リスクはなくならない」という認識を持つ必要があります。迷惑メールでさえ、この30年なくならないのですから。
セキュリティを頑張るけど、相手はセキュリティを脅かすことでお金を稼いでいるので、手を変え品を変え攻撃を仕掛けてくる。だからこそ事故はなくならないし、問題もなくならないのです。

03ウイルスの大規模感染は防げるのか

藤原
2017年5月、ランサムウェア(身代金要求型ウイルス)の「Wannacry」が非常に脅威となりました。様々な組織のPCが「Wannacry」に感染し、PC内のデータが暗号化されたことでシステムが止まるなどの被害が発生しました。特に、海外の病院では医療業務が停止するなど、人命に関わる事態が起こったと記憶しています。
2017年ですから、サイバーセキュリティに関しての意識向上や、対策は前進していたと思いますが、それにも関わらず致命的な事象が起ってしまいました。
これに対し、防御策はあったのでしょうか。何が足りなくて、今後どのような対策が必要でしょうか。
門林
イギリスのNHS(国民保険サービス)のWannacry大規模感染事案に関しては、イギリスの会計検査院から報告書が出ています。それによるとパッチ(ソフトウェアの脆弱性を修正する更新プログラム)を適用していれば感染を防げたそうです。しかしながらイギリス各地にあるNHSの拠点には、パッチが適用できていないといった不備のある拠点も数多くあったそうです。
藤原
セキュリティのためにパッチを適用することは、コンピュータを使っている方であれば常識になりつつあると思います。それにもかかわらず、なぜ人命を扱う病院で適切に行われてなかったのでしょうか。
門林
報告書によると、あの事故は防げたという結論です。事前にNHS Digital(国民保険サービスのデジタル部門)が警告を発していましたし、CareCERTという医療向けのCERT(コンピュータのセキュリティ事案に対応する組織)もあり、そこからも警告は出ていました。
ただ病院では、業務の優先順位があります。人命救助が第一で、コンピュータのパッチ管理は二の次三の次になりますので、それが原因だったのではないかと言われています。
もう一つは、サイバー攻撃に対する演習を行ってなかったことが挙げられています。こうした事故が起きることを想定し、防災訓練の様な演習を行っていれば、責任の所在が不明確にならず、もう少し早く対処できたのではと言われています。
藤原
病院で使われるシステムは、医療機器として認証機関の承認を受ける必要があります。パッチを適用すれば事故が防げるとしても、医療機器としての機能に影響がないのかなど、パッチの適用が難しいシステムだったのかもと想像しています。
そういったパッチを適用することが難しいシステムは、どのようにして対策すれば良いのでしょうか。
門林
パッチを適用できないシステムに関しては、「隔離」という方法があります。
工場ではよく見かけますけど、システム的に完全隔離した環境の中で、古いWindowsが動いているケースがありますよね。ただ、それが本当に完全隔離されているのかは、検討ポイントになります。よくよく調べてみると、隔離されているはずなのにメンテナンス回線が外部に繋がっていた…などということもあります。
日本の病院では、回線を3系統ないし4系統に分離して隔離しているはずですが、よくよく調べると現場の都合で外部と繋がっている…などということも考えられます。
藤原
例えば、医師がUSBメモリでデータを持ち歩いていて、何気なしに近くにあったPCに接続してしまうこともありえますよね。
門林
医師にも、正しくリスクを伝えれば理解いただけるとは思いますが、セキュリティについて頭の片隅で理解しつつも、データを持ち歩くことで人命救助への時間が短縮されるとなれば、医師向けの対策は難しいですよね。分かりやすく、無意識に対策できるようにしなければなりません。
藤原
人は「急いでいる」とか、ちょっとした誤解などで、安全でない行為を無意識に行ってしまいますよね。そこは、システムが上手くサポートしたり、できないような仕組みにしていく必要がありそうです。
門林
医療機器に関して言えば、日本の厚生労働省にあたるFDA(アメリカ食品医薬品局)が、サイバーセキュリティの「市販前ガイダンス」と「市販後ガイダンス」を出しています。
市販前には正しく脆弱性検査をしなさいとか、セキュアプログラミング(ソフトウェアを安全に開発する方法)をしなさいとか、セキュアバイデザイン(セキュリティを前提としたソフトウェアの設計)を採用しなさいといった内容が、2016年あたりから述べられています。
また、去年(2018年)出た市販後ガイダンスでは、パッチ管理をやりなさいとか、セキュリティアップデートをやりなさいといった内容を、医療機器を作るベンダーに対して求めています。
藤原
一度、医療機器の認証番号を取ったら放置するのではなく、パッチ監理やアップデートを行うことでセキュアに運用できるようにすることを、ベンダーも求められるようになってきたということですね。

04レジリエンス文化を広める

藤原
私は2011年が、日本国内でサイバーセキュリティに対する認識が変わった年だと捉えています。2011年は、アノニマスよるゲーム機メーカーへの大規模な個人情報漏洩事件と、防衛関連企業に対する標的型サイバー攻撃の事案が、連日のように報道されました。そうしたことで、潮目がガラッと変わったという印象を持っています。弊社もその状況をうけ、2012年に「トーテックサイバーセキュリティ研究所」を立ち上げ活動しています。
2019年現在、「レジリエンス」という言葉が使われ始めていますが、このレジリエンスという言葉が重視されるようになったキッカケはあるのでしょうか。
門林
2012年の世界経済フォーラムで「Partnering for Cyber Resilience(サイバーレジリエンスのためのパートナーシップ)」というドキュメントが出ました。その頃から、海外のサイバーセキュリティ業界関係者の間で、レジリエンスが意識され始めました。
私も、2013年から2015年まで、EUと日本の国際共同研究のプロジェクトにおいて、サイバーレジリエンスのための研究開発プロジェクトを、国内外10機関と連携して進めました。よって、2012年頃から海外では「サイバーレジリエンスは主要な課題である」と理解されていたと思います。
それから日本にどの様な形で飛び火してきたかは分かりませんが、私は研究室を立ち上げる際、わざわざサイバーレジリエンスという日本国内ではあまり馴染みのなかった言葉を選び研究室を立ち上げましたので、レジリエンスという概念を広めることに少しばかりは貢献できたのかなと思います。
藤原
先生が日本に持ち帰り、種をまかれたということですね。
門林
「私が」というとおこがましいですが、2012年にドキュメントが出ていますので、「みなさん忘れてないですか」という問いかけですね。
藤原
アメリカでは、2001年の9.11テロを受けてサイバーセキュリティの重要性が認識されました。2003年に「National Strategy to Secure Cyberspace(セキュアなサイバースペースのための国家戦略)」が出されたことで「サイバーセキュリティ」は浸透していきました。 少し間をおいて、日本にもその認識が伝わり重要性が理解されていったのですが、レジリエンスに関しても、ちょうど今、そういった状況にあるということですね。

05リスクベースアプローチの考え方

藤原
今までのサイバーセキュリティは、技術的対策で安全にすることで事故が起こらないようにするということでしたが、事故の種が繰り返されているうちに、いずれ大きな事故へと発展する事は避けられない。一方、レジリエンスは、そういった大きな事故にならないように、もしくは事故が起こっても事業継続性が損なわれないようにするため、回復力をつくっていこうという考え方でした。こうした意味で、サイバーレジリエンスは「事故前提型」と言えると思います。
この事故前提型の対策を実現していくためには、どのような取り組みが企業に求められるでしょうか。
門林
「事故前提型」は日本語として馴染みやすいので、事故前提型で考えていただければ良いと思います。加えてもう一つの考え方として、「リスクベースアプローチ」があります。端的には、個々のリスクを評価して、適切な対応をするということです。
これまでの発想だと、「ファイアウォールを買いましたので、事故は起きません」ということになってしまっていました。よって情報漏洩は考えず、ウイルス感染も考えない、といった思考停止状態に陥っていたのです。
その背景には、日本のセキュリティ業界が、「事故の悪影響は上流で堰き止められるので、御社は大丈夫です。情報漏洩もウイルス感染もDDoS攻撃も何もありませんよ」といった雰囲気で、ビジネスをしてきてしまった部分が少なからずあります。逆に考えると、そのようにお客さんがベンダーに言わせていた部分もあるのです。「これを買ったらリスクはなくなると言ってくれ。言ってくれないと買いません」と。
藤原
それは、「技術的な安全を買っていた」というよりは、「心理的な安心を買っていた」という状況に見えます。
門林
そうですね。 そういう状況もあって、組織内で一度、ウイルス感染事故が起ると、顧客はベンダーに対し「コレを買ったら大丈夫だと言ったじゃないか。なぜ事故が起るんだ」と、自組織内の体制の問題をベンダーに対して責任転嫁してしまうことも少なくありませんでした。
このように、セキュリティを売る側と買う側、双方の問題ではあるのですが、そういう現場が沢山あることもあって、日本のセキュリティはすごく歪んでしまっているのだと思います。
これに対して、「リスクベースのアプローチ」とは、「結局リスクは無くならない」という発想なんです。
例え話として「従業員が100人出社したとして、その100人のうち二日酔いの従業員が何人いますか」という問いかけをしたとします。まず答えられません。でも、昨晩の酔いが醒めていない従業員も朝、メールを見ますよね。二日酔いなのに正しい判断ができるでしょうか。
二日酔いで判断に不安がある従業員が会社に何人かいて、メールの添付ファイルを不用意にクリックしている。セキュリティ事故が起こった時に、「なぜそんなファイルをクリックしたんだ」と問い詰めても、従業員は「二日酔いでした」とは言えないですよね。
藤原
現実的に営業担当者がお客様と夜遅くまで飲みに行くとか、日常的にあり得る話ですよね。事故が起こった時に、その営業担当者に全ての責任を負わせることは難しいでしょう。
門林
スマートフォンにしろパソコンにしろ、「あなたは二日酔いだから、この端末に触れることはできません」とは言わないですよね。コンピュータは常に人間の言うことを聞く様に設計されているので、怪しげな添付ファイルでも、クリックして「開けろ」と人間が指示をしたら、コンピュータは添付ファイルを開けてしまうのです。
ちなみに、サイバーセキュリティで事故が起きる入り口の9割は、フィッシング詐欺のメールと言われています。標的型攻撃など攻撃手法は様々ですが、そもそもの入り口は従業員が騙されたところがキッカケとなっているのです。
藤原
9割ですか。二日酔いは極端な例としても、「あっ!やっちゃった!」みたいな事は、人間ですからありますよね。疲れている時や、意識が集中できない時なども少なからずありますので、ミスや誤認を完全に避けることは難しいかと思います。
門林
だから人間のミスによる事故はなくならないものなのです。ミスや誤認が入り口で、標的型攻撃や情報漏洩などの様々な事案が起きていることが現実ですよね。
そういった意味のリスクベースで考えると、まず不注意な従業員がリスクですし、詐欺に騙されるとか、色んなリスクがあるということです。
藤原
こう言った事故が起こる背景には、ほぼ人が関わっています。従業員の普段の業務の中に、多くのリスクが潜んでいるということですね。
門林
「従業員だけを悪者にすることは、けしからん」という話ではなく、そういうリスク感覚を身に着けることが大事という話なんです。
例えば、営業担当者が社用車でお客様先を回りますが、不注意でクルマをぶつけ、車体を凹ませてしまうことがありますよね。貰い事故とか煽り運転に巻き込まれるといったトラブルもあります。だからといって「従業員だけが、けしからん!」という話にならないし、社用車の使用を止めるという話にもならないですよね。
車を使ったら車体に傷がつくことがあるのと同じくらいの感覚で、ウイルスメールを踏むこともあるし、フィッシングをクリックするかもしれない。そういう捉え方が必要なんです。
藤原
車に乗る時は、安全運転を心がけなければならないですが、心がけていても事故は起きてしまうし、貰い事故もありえる。だからこそ安全管理をどうするのか、法律的にも定められていますし、組織全体で事故が起こりにくい運用の仕方を日々考えないといけないということですね。こうした安全運転が、同じようにITに関しても重要になりますね。
門林
安全運転は大事なのですが、それでもウイルスメールを踏んでしまう人もいます。よって次は、踏んだ時に何が起きたのか把握するということが大事ですね。
車でいえばドライブレコーダーがありますよね。昨今、煽り運転の立件にもドラレコが活用されていますが、本来は事故が起きた際、何が悪かったのかを明らかにするためのツールです。
例えば保険金の支払いに関しては、ドラレコがついているクルマだと、何が原因か情報があるため保険が下りやすくなると聞きますね。

06インシデントレスポンスからサイバーレジリエンスに向けて

藤原
サイバーセキュリティに関わる事件事故のことをサイバーインシデントと言い、その対処をインシデントレスポンスと言います。今までのサイバーセキュリティで考えていた「インシデントレスポンスのあり方」から、「サイバーレジリエンスの観点から考えた場合のインシデントレスポンスのあり方」は、どのように変わっていくのでしょうか。
門林
事件事故が極々稀にしか起きないとか、そもそも起きてはならないものとしてしまうと、いざ事件事故が起こると、起こしてしまった人が悪者になってしまいますよね。「この人が踏んじゃいました」、みたいな感じで。
当然、起こしてしまった人も「すみません、すみません」といった感じで恐縮を重ねることになりますし、周囲も「あの人が悪い」という話から、「再発防止にはどうしたらいいのか」「二度と事故を起こしてはいけない」、という雰囲気でルールを厳しくしていくことになります。結果、業務で使うパソコンがやたらと使いにくくなり、ノートパソコンは持ち出せなくなってしまう。このように、事故が起こるたびに厳しくなって、使い勝手が悪くなってしまった職場は、少なくないと思うんですよね。
藤原
どんどん仕事に対するモチベーションが下がりますね。
門林
「社用車はあるけれど、危ないから外を走るな」みたいな話になってしまっているのですよね、IT全体が。「ノートパソコン持ち出し禁止」みたいなルールは、「外でぶつけて危険だから社用車に乗るな」という話と同じですから本末転倒ですよね。
ビジネスで今、言われているのは「攻めのIT」ですよね。営業担当者がノートパソコンを外に持ち出し、どんどんITを活用し提案力をあげ顧客満足度をあげてなんぼだと思います。
藤原
活用することが第一ということですね。
門林
活用すれば事故は起きます。それこそ社用車を擦るのと同じ感覚で、ウイルスに感染することもあれば、詐欺メールにひっかかることもあります。そういった現状を踏まえた上で、事故を起こしてしまった人を悪者にせず、事故が起きるたびに使い辛くしないようにするためには、対応力を付けていくことが大切です。
本人のせいにして、二度と起きないようにリスクを受容しない方向に行くのではなくて、そのリスクを受容する。当然、ある時は少し危険な状態になるけれども、すぐ「安心安全な状態に戻るから大丈夫」というように、リスクからの回復を目指していくべきなのです。
藤原
「受容すべき危険な状態」は軽微なものも含め常にあるので、「安心安全」をいつでも取り戻せるようにしておくと。
門林
そういった日々の対応力が問われるのが「レジリエンス」だと思いますね。
セキュリティの発想では「セキュリティをガチガチにすれば大丈夫」といった感じで考えてきました。言葉は悪いですがルールでがんじがらめにして「セキュリティごっこ」をしてきたわけですが、もうそのような時代ではない。
藤原
「セキュリティごっこ」ですか。大変な言葉を聞いた様に思いますが、多くの現場を経験された先生が言われると、説得力があります。
門林
対応力があれば、別に営業用にノートパソコンを持ち歩いても構わないんです。近年では「サイバー保険」も整備されているので、ドラレコみたいなものと、対応するチームの合わせ技でいけば、レジリエンスは上手くいくと思います。
その点で、トーテックアメニティさんは「NetRAPTOR」という製品を開発・販売されていますね。
藤原
ご紹介いただき、ありがとうございます。その点については、後程、詳しくご紹介させていただきたいと思います。

Contact

資料請求、 デモ・無料評価版申込、 お見積り、 各種お問い合わせは、 こちらのフォームから承っております。

03-5657-3206  [受付時間] 平日 9:00~18:00