HOME > 公開資料・報告書をお探しの方 > JNSA セキュリティ十大ニュース

セキュリティ十大ニュース選考委員会委員長 大木 榮二郎
今年の十大ニュースから、セキュリティ対策の取り組みの格差、セキュリティデバイドが広がっているのではないかとの強い危機感を感じる。
今年のトップニュースは日本年金機構の漏えい事件だが、特筆すべきはさまざまな角度からの検証が、年金機構、NISC、そして厚生労働省によって行われ、詳細な報告書が公表されて多方面でさまざまに生かされたことにある。新たなサイバーセキュリティ戦略の策定や、CSIRTの取り組みの活発化など、今年のニュースに登場する項目にも大きな影響が見て取れる。
情報セキュリティにおける「事故前提」は、事故が起きることは避けられないからと悲観的に捉えられるケースが多いが、この思想の真意は事故に学びさらに進んだ対策に生かすことにある。この視点から今年のニュースを見ると、事故に学びさらにセキュリティ対策を進化させ得る人や組織と、それができない人や組織との間の格差(セキュリティデバイド)が広がっているとの懸念が強くなる。
最善のセキュリティ対策は脅威からの隔離にあるとの考え方がまだ根強いが、これだけでは標的型攻撃などには対抗できない。生物の世界でも、経済の世界でも、社会の様々な脅威に対して保護政策をとると、保護されたものが弱体化し世の中から取り残されてしまいかねないことは常識である。
セキュリティデバイドへの取り組みは、政府をはじめ社会全体で取り組んでいくことが重要であるが、まずは個々の人や組織が主体的に取り組んで、取り残される組に入らないように努力することが何よりも肝心であることを強調しておきたい。

【第1位】6月1日 日本年金機構で125万件の個人情報が流出
【第2位】1月9日 サイバーセキュリティ基本法全面施行
【第3位】9月25日 米中サイバーセキュリティ合意はサイバー戦回避
【第4位】2月2日 解消されないセキュリティ人材不足
【第5位】9月11日 国がCSIRTの実効ある体制強化を勧告
【第6位】7月28日 9億5千万台のスマホに影響をあたえる脆弱性が発覚
【第7位】7月11日 Flash Playerに対する脆弱性攻撃の増加
【第8位】10月26日 標的型サイバー攻撃相談件数6倍に
【第9位】10月5日 マイナンバー制度施行、通知カードの送付も始まる。
【第10位】6月9日 SECCON 2015の開催概要を発表、CTF盛況
<2015セキュリティ十大ニュース>選定委員・解説
委員長・大木榮二郎/青嶋信仁/織茂昌之/片山幸久/岸田 明/小屋晋吾/
小山 覚/杉浦 昌/竹内和弘/下村正洋/樋口 健/森 直彦
【第1位】 6月1日 日本年金機構で125万件の個人情報が流出
〜詳細な調査結果を公開、事故前提社会に向けた情報共有の先例となるか〜
日本年金機構から、機構が保有する個人情報約125万件が、不審メールに起因する不正アクセスにより外部に流出したとの報道発表がなされた。流出件数の多さもさることながら、年金情報という厳重に管理されていたはずの個人情報が標的型攻撃メールにより漏洩した事案として報道などで大きく取り上げられただけでなく、政府のサイバーセキュリティ戦略への影響など社会的な影響が大きな事件であった。
この事件に対して8月20日、21日に、当事者の日本年金機構のみでなく、サイバーセキュリティ戦略本部、厚生労働省から原因究明に関する調査報告書が相次いで公開された。これら内容についてはネット等で種々取り上げられ評価・分析などがなされておりここでは触れないが、これら調査結果等を踏まえ、9月11日にサイバーセキュリティ戦略本部長から厚生労働大臣に対して、サイバーセキュリティ基本法第27 条第3項に基づく勧告が行われている。この中では、CISO、CSIRTなどの体制整備、情報システムの分離などの技術的対策、役割に応じた責務遂行のための教育・訓練の3つの側面から勧告がなされた。
年金情報の大規模漏洩という起きてはならない事件ではあったが、その原因を詳細に調査・分析して課題を明らかにし改善措置につなげることにより政府機関全体のサイバーセキュリティ向上を図る、また、得られた教訓を公開することにより民間含めて情報を共有するという取り組みは、事故前提社会という避けられない状況に対応するためのアプローチの一つの実践事例という前向きなとらえ方ができるのではないか。もちろん何でもかんでも情報共有するというわけにはいかないが、今回の事例が、必要かつ有益な情報についての情報共有の枠組みの確立につながることを望みたい。なお、このような枠組みの中で、情報を受け取る側においては、自組織の実情やリスクをよく分析・把握し情報を咀嚼した上で対策の見直しなどセキュリティ向上に活かすという真摯な取り組みの姿勢が重要と考える。
【第2位】 1月9日 サイバーセキュリティ基本法全面施行
〜期待の基本法の施行、今後の推進が課題〜
我が国の今後のサイバーセキュリティの方向性を規定する「サイバーセキュリティ基本法」が全面施行された。それまで情報セキュリティに関する法律は、不正アクセス禁止法、個人情報保護法等があったが、サイバーセキュリティを国の根幹をなす重要課題としてとらえた本法は、諸外国に比べやや遅きに失した感はあるものの、画期的な法律として高く評価したい。
また第1位の「年金機構情報流出事案」の発生を受けて見直しに時間がかかったが、8月19日「新たなサイバーセキュリティ戦略〜政府機関等のサイバーセキュリティ対策の抜本的強化〜」が発表された。本戦略により内閣官房サイバーセキュリティセンター(NISC)の法的裏付けと機能強化、CSIRT体制強化を含む政府機関における取組強化、対象組織の独立行政法人等への段階的拡大、重要インフラに関する取組強化等列挙されている各項目は、期せずして本10大ニュースの項目にほぼ該当する内容になっている点を銘記すべきであろう。
しかし法律は単なる条文にすぎず、そこに盛り込まれた問題意識や各種施策を具現化するのは各府省庁で、非常に重い責任を負っているだろう。ただ各府省庁といっても、その予算規模、人材など千差万別である。具体的な対策をとるにしても限られた予算をやりくりしている府省庁ではセキュリティ対策費を今以上に捻出するのは困難だろう。また人材の増強にしても2〜3年で部門を異動する現在の公務員制度ではエキスパートを育成するのは無理がある。
NISCは強力な権限を与えられたのであるから、これらの諸問題に対してトップダウン的に指導と実践をし、解決をしてもらいたいと思う。またこのサイバーセキュリティ戦略は国の機関のみに適用されるべき戦略ではなく、地方公共団体においても全く同様に取り組まなければいけない課題である。ただ地方公共団体においては、その推進は更に困難になり、団体を超えての業務やサーバの集約化、SOC/CSIRT機能の集約化など抜本的なアーキテクチャやインフラの見直しが必要と思われる。
【第3位】 9月25日 米中サイバーセキュリティ合意はサイバー戦回避
〜サイバー戦争が国の安全保障問題のひとつになる時代に突入〜
米国のオバマ大統領と中国の習近平国家主席の首脳会談で、両国は相互にサイバー攻撃を行わないことで合意した。これは2011年7月米国防省が陸、海、空、宇宙に次ぐ「第5の戦場」と宣言したサイバー空間における一種の不戦合意で、サイバー空間における攻撃が人命含めた国家レベルの被害になりうると米中両国家で相互確認された結果であると考えられる。この動きは今後、核軍備管理における核拡散防止条約のように、多くの国家間での合意や条約化として進んでいくのではないだろうか。
サイバー空間は、戦争(攻撃)を仕掛ける者にとって非常に都合のよい場所であることは誰もが認めるところであろう。戦争に必要な人・物(兵器・食料等)を確保、輸送する必要もなく、匿名性が高く、さらに自分たちが傷つく恐れもない。そして、今や世界中のどこでも攻撃可能である。また、標的も国家や軍事の施設・システムだけではなく、ネットにつながる個人(の機器)となりうる点がサイバー戦争における防御側の難しさを物語っている。今年2月にハクティビスト集団「アノニマス」がイスラム国に対し宣戦布告を行ったが、これはサイバー戦争ゆえ成立する構図と見て取れる。
つまり、サイバー戦争は他の国で起こっていること、自分の組織、身の周りでは発生しないことと悠長なことは言っていられない時代にきていると感じるのである。現に米国では、このようなリスクを考慮してか、通話以外ほとんど機能を持たない「フィーチャーフォン」(日本で言うところのガラパゴス携帯)しか持たないエグゼクティブの数も増えていると聞く。
今から15年前、「コンピューターの西暦2000年問題」として、コンピューター機器の暴走のリスクに対して、個人のレベルまで含めて全世界で一丸となって、対策、危機管理を行った経験を我々は持っている。今、この時と同じような認識、意識で各組織・個人はセキュリティ対策・管理に取り組む必要があるのではないかと筆者は強く感じる。
【第4位】 2月2日 解消されないセキュリティ人材不足
〜許すまじ、攻撃者の快勝〜
日本情報システム・ユーザ協会(JUAS)は、「企業IT動向調査2015」(速報値)<セキュリティ人材編>を発表した。それによると、調査に回答した国内上場企業及びそれに準ずる企業約1100社のうち、インシデント対応者、セキュリティ機器の運用者など6つに分類したセキュリティ人材カテゴリのすべてにおいて、6割から8割の企業が「人材が不足している」と回答したとのことである。
セキュリティ人材については、情報処理推進機構(IPA)が2012年に発表した「情報セキュリティ人材の育成に関する基礎調査」報告書で約2万人が不足しているとされたことから(その後、2014年に追加分析の結果として8万人の不足に修正)、各方面で大きな課題となっていた。今回のJUASによる調査の結果は、企業にとってセキュリティ人材の不足感が解消されていないことを改めて示した。5年後に迫った東京オリンピック・パラリンピックを狙うサイバー攻撃への対策など、企業におけるセキュリティ意識の高まりがその背景にあると考えられる。
セキュリティ人材を数多く育てるには、何が必要なのであろうか。まず、人材を送り出す側(教育機関)では、技術面ばかりでなく法制度や倫理面も網羅した優れたカリキュラムと、それに基づく教材や現実に起きるインシデントなどを体験できる実践的な演習設備が必要である。また、講義や演習などを通してセキュリティ人材の意義と魅力を伝えることができる優秀な講師も求められる。人材を受け取る側(企業など)では、セキュリティ人材を適切に評価し育成する仕組みやキャリアパスの整備が欠かせない。それには、経営層がセキュリティを正しく理解し、重要な経営課題ととらえ、社内制度の整備や社員の意識向上に努めることが肝要である。
今後も社会はICTによって支えられていくことに変わりはなく、セキュリティ人材へのニーズは続くと考えられる。攻撃者に対抗するために必要十分なセキュリティ人材が輩出される世の中になることを願ってやまない。
【第5位】9月11日 国がCSIRTの実効ある体制強化を勧告
〜CSIRT構築はゴールではなくセキュリティ活動の出発点〜
内閣のサイバーセキュリティ戦略本部は、日本年金機構の個人情報流出事故をうけ、厚生労働大臣に対して情報セキュリティ対策の改善を勧告した。その中で、CSIRT(Computer Security Incident Response Team:情報セキュリティインシデント対応チーム)の実効ある体制強化など、情報セキュリティの確保及び情報セキュリティ事案の対処のための省内体制の見直しを指示した。
この事案にみるように、CSIRTの構築や強化が多くの組織でなされるようになっている。CSIRTはその名の通りコンピュータセキュリティのインシデント(事件・事故)に対処するための組織の総称である。有志のCSIRTが加盟する団体「日本シーサート協議会」は、設立当初の2007年は会員数6団体であったが、現在は会員数106団体、協賛会員1団体を擁している(12月1日現在)。CSIRTの重要性、必要性が広く社会に認識されるようになり、大変望ましい動きである。
しかし一方で、CSIRT組織は作られたものの、十分に機能しない事態となることを心配する声もある。セキュリティ対策は、発生してから行動するのでは遅い。平時から情報を収集し、分析し、発生する可能性のあるセキュリティ事象とそれにより引き起こされる事態を予想し、事前対策、事後対策を検討し、具体的なアクションプランを策定し、体制を整備し、組織内への普及啓発活動を行う必要がある。このためには、高度な専門技術をもって粘り強い取り組みを継続して行わなければならない。
CSIRTの構築はセキュリティ活動のゴールではない。出発点なのである。そのことを、我々は肝に銘じたい。
【第6位】7月28日 9億5千万台のスマホに影響をあたえる脆弱性が発覚
〜どうなる?どうする? IoTデバイスに深刻な脆弱性が見つかった時〜
世界中のほぼ全てのAndroidデバイスに影響をあたえる脆弱性に関する情報がCERTより発表された。標準搭載されているメディア再生エンジン「Stagefright」にバグが見つかったのだ。Android 2.2以降5.1.1まで、対象となるデバイス数は9億5千万台におよぶという。
Googleはすぐに対応パッチをリリースした。が、問題はデバイスベンダによるセキュリティ対策が施されたファームウェアの配布に時間を要したり、古い機種については対策が施されない場合も多いことだ。デバイスベンダは、次々に新しい機種を開発しているため、過去に販売したすべての機種に対し検証を実施したファームウェアを提供することは現実的には不可能である。このような問題はスマートフォンを含む組込システムに共通の課題である。
昨年あたりから急激に注目度が上昇している「IoT」という言葉が、今年は様々な業界で注目されるようになった。あらゆる「物」が組込システムとしてネットワークに接続される時代がやってくる。その時にむけ、IoTデバイスの脆弱性に対するセキュリティ対策技術への取組みを加速させる必要がある。期せずしてこの12月15日には、警察庁からIoTデバイスを標的とした攻撃の観測の報告と注意喚起がでている。日本においてもIoTデバイスの脆弱性は「今そこにあるリスク」なのである。
冒頭のAndroidの脆弱性がどのように悪用され、実際にどのくらいの被害があったかは定かではない。しかし、iOSデバイスも含めスマートフォンを狙ったマルウェアの数は急増しているという。非正規のアプリストアからはアプリをインストールしない、SNSやメールの情報からのアプリのインストールは十分注意するなど、利用者が自ら気をつけることが、被害にあわない・被害を広げないための第一歩であることはPCの場合と同じである。
【第7位】7月11日 Flash Playerに対する脆弱性攻撃の増加
〜デファクトのディフェクト(欠陥)で大苦闘〜
Facebook社Chief Security OfficerであるAlex Stamos氏は、自身のTwitterで「Adobe SystemsはFlashの終了日を宣言し、その日を最後に全ブラウザでFlashを無効化すべき」と発言して話題を呼んだ。2015年に入ってFlash Playerの深刻な脆弱性が次々と明らかになり、この脆弱性を突いたサイバー攻撃が爆発的に増加したのがその背景にある。9月4日にIBMが発表した調査レポートによれば、2015年に発生した「ドライブ・バイ・ダウンロード攻撃(Webサイトを閲覧したユーザに不正プログラムをダウンロードさせる攻撃)」のうち、実に99%がFlash Playerの脆弱性を利用していると言う。
この問題に対してFlashの開発元であるAdobe Systems社は根本的な対応方針を示していないが、専門家の間ではFlashのアーキテクチャそのものが構造的に脆弱で、問題解決のためにはFlashを捨ててHTML5に移行すべきという意見が大勢を占める。
96年にMacromedia社(現在のAdobe Systems社)がリリースした「Shockwave Flash」は、動画やアニメ、ゲーム等のリッチ且つインタラクティブなWebコンテンツのプラットフォームとして全世界に普及、日本でも多数の「Flash職人」が誕生した(余談だが、04年の大ヒット曲「恋のマイアヒ」も、元はFlashアニメで制作された動画が口コミで広まって火がついたもの)。WebコンテンツのデファクトスタンダードとなったFlashがサイバー攻撃者の標的になるのは或る種の「必然」と言え、一昨年から昨年に掛けて集中攻撃を受けた「Java Runtime Environment(JRE)」と同じ状況である。
今後FlashからHTML5への移行が進むとしても、それは同時に攻撃者のターゲットがHTML5に移行することを意味する。即ち、サイバー攻撃全盛の今日においては「セキュリティ強度が低いプラットフォームは、例えデファクトとして普及したとしても、早期にライフサイクルの終焉を迎える」という厳しい現実が示されている。今後IoT(Internet-of-Things)の進展に合わせて、新たなプラットフォーム技術が次々に登場するだろう。JREやFlashの教訓をしっかりと噛み砕き、セキュリティに十分配慮した息の長いプラットフォーム技術が開発・実現されることを強く期待するものである。
【第8位】10月26日 標的型サイバー攻撃相談件数6倍に
〜正月に 不審なメール アケマシテ〜
IPAが発足させた標的型サイバー攻撃の被害拡大防止を支援するサイバーレスキュー隊(J-CRAT)が、2015年上半期(4月~9月)の活動状況を発表した。それによると、「2015 年度上半期の支援件数は昨年の同時期(2014 年 4 月〜9 月)と比較すると、相談件数、レスキュー支援件数がおよそ 6 倍、オンサイト支援件数もおよそ 5 倍となった。特に、公的機関の情報漏えい事案のあった 6 月以降は大幅な増加が見られた」とある。この数字は単純に標的型攻撃が6倍になったというわけではなく、年金機構の事案を受けて調査あるいは指摘を受けた組織からの相談が増えたのではと推測できる。さらに4月~6月の間に公表/報道された組織内ネットワーク侵入・情報侵害事例を見るとその93%が外部からの指摘により感染・情報漏洩に気づいたということが見てとれる。
つまり標的型攻撃の多くは自組織でその侵入に気づいておらず、情報漏洩その他の兆候を外部から指摘されて初めて気が付くことが多いということである。標的型攻撃がその存在を人々に知られてから数年がたつ。多くの組織が対策を行っていることもまた事実である。しかしこの結果を見るに対策が効果をあげているケースとそうでないケースがあるように感じる。
第一に「攻撃が巧妙になっていること」があげられる。標的型攻撃メールのタイトルや文面の工夫、未公開脆弱性をついたゼロデイ攻撃の利用、正規サイトを改ざんする水飲み場型攻撃等、手口は洗練されてきている。
第二に「対策が追い付いていないこと」。ウイルス対策ソフトはこの状況でも非常に大切なツールであるが、一般的に利用されているパターンマッチング方式だけでは標的型攻撃の侵入の阻止には心もとない。入口出口の対策に加え、ネットワーク内部の監視や、疑わしい挙動をあぶりだすツールや仕組みの実装が急務だ。
そして最後に「セキュリティ基礎体力の欠如」があげられる。組織の長がセキュリティに対しコミットし、組織の構成員のすべてがセキュリティについて自分が何をするべきか理解し実施することでセキュリティに対する組織の基礎体力が向上する。脅威に対してツール(薬剤)をパッチワーク的に投与しても耐性菌(新種ウイルス・新手口等)が生まれセキュリティは脅かされる。この基礎体力の向上の成否が今後さらに熾烈になると予想されるサイバー攻撃に対してセキュリティデバイドとなるのではないだろうか。
【第9位】 10月5日 マイナンバー制度施行、通知カードの送付も始まる。
〜社員のマイナンバーをクラウドに預けて放置すると、一発くらうど〜
内閣府・警察庁・特定個人情報保護委員会・消費者庁・総務省・国税庁が連名で注意喚起を行った。マイナンバー法は個人情報保護法と比較すると罰則規定が厳しく、不正に漏洩した場合は4年以下の懲役又は罰金200万円以下が課せられる。この事が「不正な勧誘や個人情報の取得」に繋がっているとの指摘もある。
一方で、マイナンバー登録等の運用プロセスを、クラウドサービスを利用することで社内にマイナンバー情報を保持しない仕組みが人気を集めている。クラウド環境は安く利用できるメリットもあるが、社内でマイナンバーを扱う責任を回避したい企業の姿勢が透けて見える。
しかし、クラウドサービスを利用した場合も、マイナンバー情報が漏洩した場合に免責されるわけではなく、情報管理に対する企業の考え方が厳しく問われることに変わりはない。税・年金以外のマイナンバー活用の広がりと会社業務との関係が不透明な状況で、他人にマイナンバー情報を預けるリスクをどう評価するか、まさに企業の姿勢が問われている。
【第10位】6月9日 SECCON 2015の開催概要を発表、CTF盛況
〜セキュリティのいいとも増やそう、正義の輪!〜
特定非営利活動法人 日本ネットワークセキュリティ協会(JNSA)は、世界の情報セキュリティ分野で通用する実践的情報セキュリティ人材の発掘・育成を最終目標とした国内最大規模のコンテストである「SECCON 2015」の開催概要を発表した。今回から、CTF for ビギナーズがスタートしたほか、「攻殻機動隊 REALIZE PROJECT」と共同で女性限定のCTF大会を開催など、新しい取り組みも増えて大きく注目された。
また、大規模や大都市での実施だけではなく、WAS Forum主催による沖縄でのHardening Projectの競技大会や、神戸、会津等において、任意団体、地域コミュニティや有志主催によるCTFも活発に行われるようになった。これら多くのCTFはセキュリティ人材不足が叫ばれる中、セキュリティ人材の新しい発掘にも役立てられており、サイバーセキュリティの強化のための力として期待されている。
更にCTFは国内だけではなく、日本とASEAN諸国によるCyber SEA Game 2015や単独企業主催のTrend Micro CTF Asia Pacific & Japan 2015など、海外中心で実施する大会も新たに開催されており、運営者も参加者も、海外との交流が盛んになった年ともいえる。また、大会開催側だけではなく、海外のCTFにオンラインで挑戦する国内からの参加者も毎年増加しており、国境の垣根が低くなりつつあるといえる。
このような交流を経験したセキュリティ人材が増えることで、国内だけでなく、サイバーセキュリティには欠かせない海外との情報交換もより活発に行いやすくなる。CTFを通じていろいろな刺激を受けることにより、近い将来、日本が世界のセキュリティのトップレベルになることを期待したい。
編集後記 JNSA事務局長 下村正洋
今年の選考委員会は大変スムーズに進み、票が割れることもなく、1位から10位までが決まりました。選外になった件数は19件あり、昨年の14件よりは増えましたが、特に議論が白熱しませんでした。これは、サイバー空間が安全になってきたのでしょうか、否、そうでないことは自明のことで、もしかしたらテーマが大きく重くなり迷う余地が無く、選考がやり易くなったことに起因するのかもしれません。そして、数年前ならば入選していたマルウェア感染やサイバー犯罪が取り上げられなくなってきたように思われます。これは、セキュリティに関係する事件や事案が残念ながら非日常から日常になってきているのかもしれません。
選外になったニュースには「パソコンや開発ツールに潜り込んだ脆弱性(サプライチェーン問題)」、「ランサムウエアの流行」、「不正送金」、「ハッカーがハッキングを受けた」などがあり、これらのうち幾つかは従来なら選外にならなかったのかもしれません。他に、サイバーセキュリティでは無いのですが、情報セキュリティ企業の社員によるSNS炎上もありました。
それでは、いつものことですが、来年の10大ニュースには明るいニュースがたくさん入ることを祈念して、編集後記を終わります。