HOME >  公開資料・報告書をお探しの方 > JNSA セキュリティ十大ニュース

セキュリティのプロが選ぶ! JNSA 2020セキュリティ十大ニュース〜コロナが見せつけた大変革時代の幕開け〜


2020年12月25日
セキュリティ十大ニュース選考委員会委員長 大木 榮二郎

2020年は、新型コロナ ウイルス感染症(COVID-19)が爆発的に世界に広まり、パンデミックとなって 8000万人の感染者と 170万人を超える死者を出し、世界経済や市民生活、さらには世界の政治体制にも大きな影響を及ぼした一年であった。このパンデミックは、まだ収束するに至らず現在進行形でさらに大きな被害をもたらすと、WHOや各国政府からたびたび警告が発せられ、ロックダウンなどの措置も引き続きあちこちで検討されている。来年の東京オリンピック・パラリンピックがパンデミックに打ち勝った証として開催できることを祈りたいが、このパンデミックは、単に一時的な流行にとどまらず、その後の世界のありように大きな影響を与え、結果として世界に大変革が起きるのではないかと考えられている。COVID-19それ自体が大変革をもたらすというよりも、あちこちに潜んでいた変化の芽が一斉に姿を現すと表現するほうが正確であろう。

変化の芽をいくつか挙げると、一つには民主主義の在り方への疑問符がある。今年行われた米国大統領選挙での非難の応酬や深刻な国内対立には、もはや世界の模範として君臨したよきアメリカの面影は見られない。また、COVID-19の終息に向けた中国のやり方、国家権力がプライバシーを超えて対策をとる手法が、個人の自由を尊重する米国トランプのやり方よりも、感染拡大を抑えるという意味に限ればはるかに効果的であったことも事実である。民主主義を代表する米国が生んだトランプ主義がこのような状況であることを踏まえれば、民主主義の進化が求められていると言って過言ではあるまい。

もう一つ上げるとすれば、COVID-19は確実に経済弱者に多大な被害をもたらすことから、現代社会の富の著しい偏在にも厳しい目が向けられている。GAFAを代表とするデジタル産業の覇者にみられるWTA(Winner Takes All)勝者の一人勝ちの状況は、アメリカンドリームとして称賛された資本主義の行き過ぎた側面を見せつけており、富の再分配機能も見直しが必要であろう。おりしも、米中対立が先鋭化している中でのこのような兆しは、今後に大きな影を落としそうに思える。

日本国内に目を向ければ、COVID-19対策を進める中でデジタル化の遅れが目も当てられない状況にあることが国民に明らかになり、デジタル庁を新設する一因になった。これは2001年に政府が掲げたe-Japan戦略の宿題にやっと本腰で取り組むことになったと理解できる。デジタル化の遅れは日本の国際競争力の低下(IMD世界競争力ランキングで2020年は34位)に直結しており、ハンコやPPAPの廃止など目先の細事にこだわらず、本質的な部分にメスを入れなければならない。戦略を大きく変更すれば、組織もその戦略に沿って編成しなおすのが常道であるが、日本政府の日本再生に向けた大胆な省庁再編の声はあまり聞こえてはこない。デジタル庁を付け加えるだけでは、e-japanで戦略本部を立ち上げたと同じで、大きな変革は望めないのではないかと危惧される。

民間企業のデジタル化の遅れも深刻である。これまでのIT投資が負の遺産となって2025年の崖に向かっているとする経産省の分析は、COVID-19でどのように変化するのであろうか。DX(Digital transformation)の推進に、コロナ対応がプラスの力を発揮するように望みたい。三密を避けるテレワークの推進はその動きの一つとして歓迎され、働き方改革とも整合して、今後の企業活動の在り方に大きな影響を与える。中心部のオフィスを縮小し、テレワークやワーケーションなどの働き方が今後定着していくかもしれない。今後のデジタル投資がその後に負の遺産となることのないように、本質をたがわずに取り組んでもらいたい。

このような大きな世界背景が、今年のセキュリティ十大ニュースに影を落としている。個々のニュースを個別にみれば、大きな変化とは受け取れないかもしれないが、その背景にあるものをつなぎ合わせてみると、大変革時代の幕開けに違いないと受け止めることができるのではないだろうか。

この十大ニュースが、今後の取り組みを考える一助にでもなれば幸いである。

2020セキュリティ十大ニュース

【第1位】4月7日 新型コロナウイルス感染症 七都府県に緊急事態宣言
〜 問われるテレワークのセキュリティと働き方 〜



【第2位】9月8日 ドコモ口座サービスで不正利用発覚
〜 信頼されてきた銀行でも甘かった認証、ドコモ利用者以外にも不安を引き起こす。 〜



【第3位】9月18日 「デジタル庁」21年に設置へ
〜 デジタル庁 みんなの期待 ショウキアリ? 〜



【第4位】10月1日 東証システム障害で終日売買停止
〜 危機対応の評価分かれる、IT装置産業のレジリエンスに問題提起 〜



【第5位】9月4日 進化を続けるマルウェア「Emotet」の感染急増
〜 EmotetはEメールコミュニケーションを死にいたらしめるか? 〜



【第6位】2月12日 防衛関連企業、不正アクセス事案の調査結果 を公開
〜 周到に計画された「国家が支援するサイバー攻撃」の衝撃 〜



【第7位】10月29日 GoTo利用し無断キャンセル 千葉のホテル、被害63万円分
〜 急ごしらえでも不正はフセイでいこう! 〜



【第8位】6月12日 期待のISMAP運用開始
〜 クラウドサービス選定に新たなスタンダード 〜



【第9位】11月16日 カプコン、標的型ランサムウェアで最大35万人の個人情報流出か
〜 サイバー攻撃対策も新型コロナ対策も、的確な判断のための計画づくりが重要 〜 



【第10位】11月5日 経産省、IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定
〜 フィジカルとサイバーをつなぐIoTのセキュリティ対策が動きだす 〜


<2020セキュリティ十大ニュース>選定委員・解説
委員長・大木榮二郎/織茂昌之/片山幸久/唐沢勇輔/岸田 明/小屋晋吾/
小山 覚/杉浦 昌/下村正洋/竹内和弘/丸山司郎/持田啓司


【第1位】4月7日 新型コロナウイルス感染症 七都府県に緊急事態宣言
   〜 問われるテレワークのセキュリティと働き方 ~

新型コロナウイルス(COVID-19)は、1月6日に中国・武漢で原因不明の肺炎が確認され厚労省が注意喚起し、1月16日には日本国内で初めて感染者が確認された。2月3日には乗客の感染が確認されたクルーズ船が横浜に入港したものの上陸が拒否され、4月7日ついに七都府県に「緊急事態宣言」が発せられた。生々しい記憶が蘇るが、2020年の全てはCOVID-19に始まり、また終わろうとしている。COVID-19は、我々の人生の価値観、生活様式の変容を促す自然界からの警告であるが、勤労者/組織にとっても働き方の革命が求められ、2020年はテレワークが急速・劇的に浸透した年であった。

テレワーク自体は1990年代に入って、インターネットの普及と同時に提案された働き方だ。当時はインフラやプラットフォーム/アプリケーションの能力不足、勤労者/管理者の保守的なメンタリティ等があり、当初期待されていた程は浸透していなかった。しかし今年に入ってCOVID-19の急激な感染拡大によって、各組織ではいやが応にもテレワークで対応せざるをえない状況になった。首都圏企業ではそれ以前から他府県に先んじて導入されつつあったが、全国的にも4月7日の緊急事態宣言により急速に導入が進んだ。ただこの導入は、文字通り緊急導入で、テレワークに関する懸念事項として、「情報セキュリティ」が各種アンケートでも上位を占めている事実がある。脅威の解説や対策の考え方は総務省を始めIPAなど公的機関がたくさん出しているし、また具体的なソリューションも多くのベンダーが提案している。

ただ我々は1年間、止むに止まれず目先の対応に追われていたけれど、そろそろ振り返ってみる時期に来ているのではないかと思う。そもそもテレワークのインシデントは、その運用形態から非常に発見され難いもので、例えば社内ネットの様にログを集めて見ることはできない環境であることが多い。言い尽くされているが、基本的なセキュリティ対策を押さえることに加えて、再度自組織におけるテレワーク環境下の「リスク分析」を行ってみる必要があるのではないか。更に、視点を替えると、テレワークが浸透して来てこなかった事実の裏には、人間や組織の本来的な特性があるのであって、勤労者の心の問題を考慮した働く場づくり、成果の評価の考え方まで含めた労務管理や組織論など、COVID-19は総合的に「働くこと」に関して、幅広く再考する必要があることを示唆している。

 



【第2位】9月8日 ドコモ口座サービスで不正利用発覚
   〜 信頼されてきた銀行でも甘かった認証、ドコモ利用者以外にも不安を引き起こす。 〜

9月8日にドコモより、一部銀行の口座情報を使用したドコモ口座の不正利用についての発表がなされた。犯罪者は何らかの手法で、被害者の口座番号、名義、暗証番号等の情報を入手して被害者名義でドコモ口座を開設し、このドコモ口座を、これら不正入手情報を用いて被害者の銀行口座と連携することで不正利用が可能となる。連携する銀行口座からなりすまして開設したドコモ口座にチャージすることで、d払いで商品を購入して現金化できるというわけである。ドコモは9月10日の記者会見で、ドコモ側の本人確認が不十分だったことが原因と謝罪した。当初はドコモ回線を契約する利用者向けのサービスだったが、利用者を増やすべく、ドコモ回線を持っていなくてもメールアドレスのみでアカウントを作れるようにしたため、結果的に他人名義のアカウントを不正に作り易くなってしまい、「認識が甘かった」と述べている。

一方、銀行側に対しては、ドコモ口座と紐づけて口座振替サービスを利用する際に、口座番号・暗証番号・生年月日・電話番号などを登録することでサービス利用が可能となっていたとのことであり、連携の際の銀行側の認証が不十分だったと指摘されている

10月25日時点では、被害にあった銀行が11行、被害件数129件、被害総額2,891万円である。不正利用の被害額はそれほど大きくはないが、ドコモという大手通信事業者と銀行との組み合わせで提供されるサービスでこのような事態が発生し、しかも、ドコモを利用していない無関係の銀行利用者までもが被害者となる可能性があるということで、世の中に不安を引き起こした事案と言える。

利便性も重要であるが、安全性が犠牲にされるとサービスそのものが成り立たなくなるという事案が今年も繰り返されてしまった。サービスを提供する上での基本対策についてのガイドライン等は様々な分野で策定されている。これらが策定された理由を、規模の大小を問わず全てのサービス提供事業者が真摯に受け止めて、設計段階からセキュリティを確保することの重要性をあらためて認識してほしい。今年も事件発生により、この常識が強調されることになってしまったのは残念である。

 



【第3位】9月18日 「デジタル庁」21年に設置へ
   〜 デジタル庁 みんなの期待 ショウキアリ? 〜

9/16に発足した菅内閣は、コロナウイルスの感染拡大で露呈した政府・自治体のデジタル化の遅れに対処すべく、21年秋までに「デジタル庁」の新設を発表した。前IT政策担当大臣であった平井氏をデジタル改革相に任命したうえ、全閣僚でデジタル化を推進するよう指示をしたと聞く。菅内閣の目玉政策といえよう。

時をさかのぼること20年、森喜朗内閣総理大臣が所信表明演説で発表した「E-ジャパンの構想」のちに「e-Japan戦略」と呼ばれたIT国家戦略は、一部のインフラ拡充以外成功したとはいいがたい。失敗の理由は多々あると思うが、各省庁、さらには各課が個別にIT施策を推進し、小さなITシステムが乱立したこと。またそれらシステムが連携することを考慮していなかったことが大きな要因であったのではないだろうか。

本年6月にスイスのIMDが発表した「2020年版世界競争力ランキング」において、日本は昨年の30位からさらに後退し、過去最低となる34位に沈んだ。1992年までは首位にいた日本、この20年で「ビジネスの効率性」「企業の俊敏性」に関する評点を大きく落としている。その要因のすべてが企業のIT化の遅れとは言えないが、IT利活用の未熟さもその要因の一つとなるのではないだろうか。

平井大臣は10月に開催されたイベントにおける講演で「デジタル庁は規制改革の象徴。別々の役所が別々のサービスを提供していた状態を国民目線で1つのサービスにということであれば、とてつもない権限をいただく必要がある。総合調整ではなく、予算やシステムを設計して作っていくための権限は、全部ほかの省庁から頂く必要がある」と発言されていた。そこに勝機ありというところだろう。国民の期待を一身に背負う「デジタル庁」では、e-Japan戦略失敗の教訓を生かし、国民に利便性の高い行政システムの提供を目指すと同時に、日本全体のDXの進展においての司令塔の役割を果たし、官民ともに俊敏で効率性の高い運営をできるようITを通じて導くことを期待するところだ。

 



【第4位】10月1日 東証システム障害で終日売買停止
   〜 危機対応の評価分かれる、IT装置産業のレジリエンスに問題提起 〜

2020年10月1日、世界第3位の証券プラットフォームである東京証券取引所においてシステム障害が発生し終日売買を停止した。当初、サイバー攻撃の可能性も懸念されたが、ハードウエア起因の障害であることが判明しており、市場運営の責任者として、11月30日に宮原社長が辞任している。

日本の証券市場は年間570兆円の取引があり、東証の取引が終日停止したことで約3兆円規模の売買機会が失われたと言われ、さらに証券取引所はリアルタイムで世界経済とも連動していることから、社会に及ぼす影響は甚大である。33ページにわたる調査委員会の詳細な報告書が公表されており、取引を再開した場合に、証券会社によって売買注文の不整合に50%以上が対応にできないことから、取引を終日停止せざるを得なかったとある。2018年に発生したシステム障害への再発防止策として、「証券会社との接続仕様を明らかにし、障害テストの企画と実施を行う」とあることから、事業継続という観点からは、前回の反省が活かされていないのではと言われても致し方ない。

一方で、東証経営陣による危機対応について、システム障害の発生後、市場が開く9時前に速やかに公表していること、当日中には記者会見を開き一般の人にもわかるように説明していること、経営者がシステムやベンダーに責任転嫁をせず自社の運営責任であると言い切った点などの危機対応は、I T関係者などに SNS上で高く評価されている。

調査委員会の報告書や記者会見には以下のようにある。
「「ネバーストップ」のスローガンについては間違ってはいないが、それが強く出過ぎて、止まることが現実に起きた。ネバーストップとは言っても、(障害発生時に)どう再開するかという仕組みが脆弱だった」、「金融商品取引所はITの装置産業であり、ベンダー任せにせず、自社内におけるシステム監理機能の向上、IT研究部門の創設、人員強化に向けた抜本的なIT体制改革を検討するが望まれる。」

東証のような金融取引所を始めとして、ITシステムが経営上きわめて重要な企業(事業)は増えていくだろう。そのような企業では、今まで開発ベンダーに任せきりにしてしまっていた部分も含めて見直し、自組織でシステムを把握し、インシデント対応を正しく行えるようにしなければならない。IT部門の能力を増強し、事業とシステムのレジリエンスを確立していかなければならない時代になった。

 



【第5位】9月4日 進化を続けるマルウェア「Emotet」の感染急増
   〜 EmotetはEメールコミュニケーションを死にいたらしめるか? 〜

9月4日、JPCERT/CCからEmotetの感染 拡大を確認しているとの発表があった。Emotetの活動は、昨年12月に検出数のピークが観測され、本年2月以降鎮静化していた。それが、7月の活動再開後に手口 の巧妙化が みられるとも報告している。感染元から窃取した正規のメールの無害な添付ファイルとともに感染を引き起すWord形式のファイルを 添付する、さらにはパスワード付の暗号化zipファイルを添付する、といった手法が確認されているとのこと。

Emotetの主要な感染経路は添付ファイル付メールであり、その感染手段は、添付ファイルを開かせた上でファイルに仕込まれた悪意のあるマクロを実行させるという、古典的な手法である。しかし、頻繁に修正が行われるなどにより巧妙にウイルス対策製品の検出を擦り抜け、感染した端末から盗んだメールを利用することで、あたかも正当な送信者からの自然なメールを装い添付ファイルを開かせる、といった非常に高度な手口が強力な感染力の要因となっている。

このマルウェアは、上記の手口により感染を拡大させボットネットを構成する。情報の窃取とともに、攻撃者の指令にもとづき、さらなるマルウェアを送り込む 。まさにマルウェアの配信プラットフォームともいうべき存在になっている。 ランサムウェアを 送り込みたい 犯罪グループへ、これをサービスとして提供しているという。

Emotetに対する感染対策は一般的な ウイルス対策とかわらない。が、メールに添付されたファイルやURLを安易に開くな、と注意喚起を徹底しても、巧妙なソーシャルエンジニアリングによりうっかり騙される人をなくすことはできないだろう。Eメールというオープンなコミュニケーション手段自体が脆弱性を抱えているということかもしれない。参加者登録型のクローズドなビジネスチャットの活用が盛んになってきたが、Eメールが使われなくなる日が来つつあるのかもしれない。その昔インターネットの黎明期にEメールの便利さに魅かれてICT業界に入った身としては寂しい気もするが、ワクワクするようなネットワークコミュニケーションツールのさらなる進化に期待したい。

 




【第6位】2月12日 防衛関連企業、不正アクセス事案の調査結果を公開
   〜 周到に計画された「国家が支援するサイバー攻撃」の衝撃 〜

河野太郎防衛相(当時)は1月 31日「しっかりと公表すべきだ」と記者会見で述べ、2月 12日 三菱電機から攻撃手法を含む詳細な調査結果が公開された。三菱電機についで、NEC、神戸製鋼所、パスコなどの防衛関連企業への不正アクセスが明らかになり、セキュリティ関係者に衝撃が走った。

攻撃を受けた被害者は「また狙われる」リスクや、評判を落とす「責任問題」が頭をよぎるため、情報公開には相当の勇気が必要だ。しかしメディアが間接的に攻撃事例を紹介するよりも、実際に被害に遭った当事者が説明する言葉は重く、我が身に置き換えて受け止める企業は多い。三菱電機の英断に称賛を送りたい。

同社情報には、攻撃者が「ウイルス対策サーバー」の「未公開の脆弱性」を突いて侵入し、「アップデート機能」が悪用されたとある。これを読み替えれば「企業が導入したセキュリティ対策基盤の脆弱性が侵入の糸口になり、さらに攻撃基盤として悪用された」と解釈できる。企業が信頼するセキュリティ基盤がゼロディ攻撃されると、検知することは難しい。思わず唸ってしまう遣り口である。

攻撃集団はこの攻撃を成功させるために、あらかじめ企業が利用しているシステムやセキュリティ対策を調査し、そっくりな環境を構築したうえで不正アクセス手法を研究しているに違いない。標的を徹底的に研究する手法は、10年前に報道されたStuxnetを彷彿とさせる。

Stuxnetと呼ばれるマルウェアは、イランの核関連施設のウラン濃縮用の遠心分離機を破壊し、同国の核開発に一定の影響を及ぼしたと言われている。このマルウェアを開発するためには、イランの核関連システムの一部を正確に再現しなければならず、そこまでしてマルウェアを開発するのかと、企業の目線では非現実的なアプローチにも思える。

しかし軍事作戦の一環で行われる攻撃とすれば、何百億円もかかるミサイルなどの武器開発と比べて費用対効果が高い作戦と言わざるを得ない。つまり今回のような周到に準備された高度で執拗な攻撃が企業を狙い続ける可能性は高く、自社IT環境が再現され攻撃方法が研究されていることを前提にした対策のギアチェンジを行わなければならない。

もちろん防衛関連企業は、国家が支援するサイバー攻撃を想定しセキュリティ対策を進めているはずだが、課題は防衛関連企業を頂点としたサプライチェーンにおけるセキュリティ対策ではないだろうか。中小企業や個人が狙われた場合は攻撃に気づくことすら難しい。自社を含むサプライチェーンのリスクが、国家安全保障の重大問題に発展する可能性があることを、関係者が再認識し取り組まねばならない。

 




【第7位】10月29日 GoTo利用し無断キャンセル 千葉のホテル、被害63万円分
   〜 急ごしらえでも不正はフセイでいこう! 〜

コロナ禍における感染症対策や経済対策では様々な政府施策がスピード感をもって導入された一方で、制度上の穴を突いて様々な不正が発生した。例えば、Go To トラベルを利用して予約した上で無断キャンセルして 電子クーポンを不正受給する手法、Go To イートで少額だけ利用してポイント分を儲 ける「トリキの錬金術」と呼ばれる手法、あるいは事業実態のない者が個人事業主を装って申告して持続化給付金を不正受給したような問題である。スピード感をもって施策を実行する必要性があったためある程度の不正は想定内だったかもしれないが、SNS等で不正の手法が拡散され、犯罪が誘発されたのは現代的だったと言えるだろう。

また、コロナ禍においてもっとも使われるようになったソフトウェアの1つがビデオ会議ツールだが、ここでも不正利用が発生し、問題になった。悪意をもった参加者によるビデオ会議への妨害「Zoom爆弾」である。その他にもZoomそのものの脆弱性が 発見されるなどしたが、Zoom社が「90日プラン」を立ち上げて次々と問題を修正し、セキュリティの体制を整えていったのは見事だったと言えるのではないか。

感染症対策として急ぎで導入された 仕組みとしては 接触確認アプリ「COCOA」がある。COCOAはOSSとして開発されたソースコードを厚労省が採用してアプリとしてリリースするという、今までの政府システムでは見られない形で開発が進められた。スピードが重視されていたためベータリリース直後から不具合も発見されたが、きちんと修正されていたのは良かったのではないか。また、リリースされたベータ版に対してセキュリティ関係者がボランティアで解析し、問題が報告されたことも良い方向性だと考える。もちろんリリース前に修正されるに越したことはないが、ゼロリスクを求めると何もできなくなる。関係者の努力に敬意を表したい。

なお、一部セキュリティ関係者 から開発者に対する個人攻撃ともとれる指摘があり、開発者コミュニティからは「セキュリティクラスタ(=セキュリティ関係者の意)は怖い」と不評を買ったことが知られている。開発とセキュリティは協力関係にあるべきであり、決して対立すべきものではない。セキュリティに携わる 一人として、個人攻撃となるような言動は慎むべきと改めて感じた次第だ。

いずれにしても、急激な変化に対応するために急ごしらえでリリースするということはよくある話であり、DXの推進という文脈でも、頻繁にリリースしながら修正していくという流れは加速するだろう。こうした環境の中で、いかにスピードを殺さずにセキュリティを確保するかということは、我々セキュリティに携わる者にとってますます真剣に取り組まなければならないテーマなのではないか。

 




【第8位】6月12日 期待のISMAP運用開始
   〜 クラウドサービス選定に新たなスタンダード 〜

コロナ禍で在宅勤務が常態化していた6月、日課のセキュリティ情報の収集をしていると、ISMAP運用開始のニュースが目に入った。本制度ISMAP(イスマップ)の日本語名は、「政府情報システムのためのセキュリティ評価制度」であり、英語名の頭文字をとった通称である。

制度の目指す姿は、政府機関等で統一的なセキュリティ基準を明確化し、実効性・効率性のあるクラウドのセキュリティ評価制度を構築するものである。令和2年5月25日にISMAP運営委員会を設置、翌5月26日に第1回同委員会が開催されたことで運用が開始された。今年10月からクラウドサービスの登録申請が開始されており、審査に通ったサービスを登録した「ISMAPクラウドサービスリスト」(以下「ISMAPリスト」という。)が来年2月には公開予定である。

今後、各政府機関がクラウドサービスを調達する際は、ISMAPリストに登録されたサービスから調達することになる。つまりは、あるクラウドサービスが政府調達の対象となるためには、ISMAPリストに登録されていることが必須になるのである。

ところでこのISMAPリストは、政府機関の調達要件ではあるが、民間企業にとっても有用だ。テレワークの推進や働き方改革とも連動して、官民問わずクラウドサービスの利用はより一層加速することから、今後は、クラウドサービスを選定する際の新たなスタンダードとなっていくものと思われる。

さらにはクラウドサービス事業者にとっても体質強化の転換点と考えられる。ISMAPの審査基準を参照し、さらにセキュリティ要件を強化することで、国際競争力が強いサービスにしていくことができるだろう。事業者としての向き合い方も問われることとなって来る。

このISMAPが目指す姿に向かって運用をされ、登録されるサービスの量と質が上がることによって、クラウドサービスの安心・安全な利用が進んでいくことが期待されている。

 




【第9位】11月16日 カプコン、標的型ランサムウェアで最大35万人の個人情報流出か
   〜 サイバー攻撃対策も新型コロナ対策も、的確な判断のための計画づくりが重要 〜

今年はランサムウェアによる企業・組織への攻撃がいままでとは異なる形で行われている。 6月9日には自動車メーカー・ホンダがランサムウェアによるサイバー攻撃を受け、世界的に業務の支障が出ただけではなく、海外の工場が停止したと報じられた。11月16日にはゲーム大手カプコンは「ランサムウェア(身代金 ウイルス)による不正アクセス攻撃を受け、個人情報の流出が発生した」と発表した

両社のランサムウェアに共通しているのは、その企業用にカスタマイズされたランサムウェアによって攻撃されたことである。また、カプコンに至ってはランサムウェア脅迫だけではなく、機密情報暴露の脅迫まで行われている。日本経済新聞の調査では、今年に入ってこの暴露型 ウイルスの被害が今年に入って1,000社を超えたものであることが分かった

このようにどんどん変化(進化?)しているサイバー攻撃に対して企業・組織が遅れをとらずに対応できることがより重要な時代になってきた。もともとサイバー戦争は、攻撃側が有利と言われ続けてきた。だとすれば、どこに注力する必要があるのだろうか。

標的型攻撃に対して重要なポイントは異常を検知するということと考える。昨今のサイバー攻撃は(時間をかけて)標的を調べあげ、つまりスパイ行動したうえで攻撃してくるパターンがほとんどである。これは実戦争でも同様である。言い換えれば本格的な攻撃までに隠れた時間が費やされている。この時点で異常(インシデント)を検知できれば、攻撃を阻止もしくは被害の極小化が図れる。もちろん、その変化をとらえるための準備や防御対策が取られていることが重要なのは言うまでもないが、『平時のモニタリング、分析』が重要になってくる。このような態勢をつくったうえでエンドポイント・デバイス、通信、(特に特権アカウントの)アクセスに気をつける必要がある。これはゼロ・トラスト(・アーキテクチャ)に通じるものである。通信に関しては多くの企業で対応できていると思われるが、昨今のリモートワークやクラウド化といったIT環境の変化にも対応しているか確認しなければならない。

また、標的型サイバー攻撃に不幸にして見舞われた場合の対応方針、計画を事前に準備しておくことも重要であり、その判断を的確にできるように整備、関係者間で合意しておくことも重要なポイントとなる。

新型コロナ ウイルス対応において適切なタイミングで判断できないどこかの国と同じように迷走しないためにも。

 



【第10位】11月5日 経産省、IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)を策定
   〜 フィジカルとサイバーをつなぐIoTのセキュリティ対策が動きだす 〜

経産省がIoTセキュリティ・セーフティ・フレームワーク(略称IoT-SSF)を発表した。IoT機器が多様な特性をそなえ、さまざまなシステム構成や環境下で用いられることに配慮した、セキュリティ及びセーフティ対策のフレームワークとなっている。

IoTはサイバー空間とフィジカル空間を結ぶ要であり、超スマート社会Society5.0や新たな価値創造産業Connected Industriesを支える重要な構成要素の一つである。しかし、機能面・性能面・費用面での制約も厳しく、それゆえにセキュリティ対策は難しい。

近年は監視カメラや産業用制御機器などのIoT機器に対する脆弱性が報告されており、実際にインシデントも発生している。このため、事態の深刻さが広く認識され、さまざまな対応の動きがみられるようになってきた。

海外に目を転じれば、たとえば米国カリフォルニア州では、IoT機器の製造業者に対してセキュリティ対策を義務付ける、通称「IoTセキュリティ法」が2020年1月1日付で施行されている。英国では消費者向けのスマートデバイスに対するIoTセキュリティの要件を課そうという動きがある。

また、産業オートメーションや計測制御の分野ではあるが、フィジカルとサイバーの接点である制御用機器を対象とするIEC62443シリーズ制定のような動きもある。

今回の日本のIoT-SSF策定も、このようなフィジカルとサイバーとが重なり合う領域のセキュリティ対策への動きの一つと言える。

IoTのセキュリティ対策はまだ始まったばかりである。今後も、利活用とセキュリティ対策を共に進めていく必要がある。


編集後記                                        JNSA事務局長 下村正洋

今年も十大ニュースを発表できたことを大木委員長並びに委員各位に感謝いたします。

今年の選考会はもちろんオンラインでした。オンライン開催が決定した時、真っ先に考えたのは、あのワイワイガヤガヤの選考会ができるのか。つまり、従来では会議室に集合し、Post-itを使って、各委員が候補をホワイトボードに貼りつけ、それを全員で見ながら、ああでもない、こうでもない、ここは同じカテゴリーだとか何とか、議論しながら候補を数十に絞り込み、あとは投票で決着します。これをWeb会議でどうするのかと心配していると、選考会当日に、小屋委員が事前に委員が提出した候補をPowerPointでPost-it形状の図形を作ってきました。その図形を動かして整理、そしてExcelを使って投票と従来と変わらない雰囲気で選考が進みました。なんと瞬時に集計ができるではないですか。Web会議も捨てたものではない!うっ、それはオフラインでもできたのでは・・・なんて野暮なご指摘は無用です。人間って追い込まれないと慣習は打破できないのですね。大木委員長が前書きで述べられているようにe-Japan戦略がやっと進むことになりそうであるとの指摘と同じく、本格的に進まなかったテレワークが4月から常態化したことと同じです。みんなで渡れば怖くない、少々の不便も知恵と工夫が解決する。人類はこのように進歩するのですね。小さなことで実感した次第です。

さて、初のオンライン選考会の模様はこれぐらいにして、選考の中身ですが、今年は投票の候補となったのが20件、その中から10件を選出しました。選出において、あまり票は割れずにすんなりと決定した次第です。選外になった中には「クラウドデータ消失(これはその後バックアップ発見で復旧の目途が立ったようです)」、「なりすましメールや偽サイト誘導」がありました。この十大ニュースをまとめている間にも、タレント系オンラインショップのクレカ情報の漏洩、ソフト更新を狙った米政府等へのサイバー攻撃などが発表されています。ますます巧妙化するサイバー攻撃と劇的に変化している社会環境を考えると、過去に決めたセキュリティポリシーを見直して、最新の技術を積極的に取り入れることを早急に検討する必要があるのではないかと思います。

今回のコロナ禍にあって、皆様ご自身のご健康をお祈りしつつ、また、図らずも罹患された方々の早期のご快復と、そして、不眠不休で戦われている病院関係者や対応されている関係者の方々にエールを送りつつ、編集後記を終わります。

来年のいつか、憂いのない明るい空の下で、楽しく過ごしたいものです。
それまで、今一度の辛抱! 頑張りましょう!

 


※本内容は、必ずしもNPO日本ネットワークセキュリティ協会(JNSA)の見解を示すものではありません。

■セキュリティ十大ニュースバックナンバーリンク集■
2001年 2002年 2003年 2004年 2005年 2006年
2007年 2008年 2009年 2010年 2011年 2012年
2013年 2014年 2015年 2016年 2017年 2018年
2019年          
JNSAソリューションガイド