本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
今回からサイバー攻撃対策で重要な「攻撃者の視点」について述べていきたい。このテーマはよく言われるものの、実は「言うは易く行うは難し」だ。なぜなら、一般の人はもちろん、セキュリティ対策の専門家でも、サイバー攻撃の実行者との接点は全くないか、あってもごくまれにしかない。
筆者の知る範囲では、SBテクノロジーでセキュリティのエバンジェリストを務める辻伸弘さんが、Twitterのダイレクトメッセージを通じて攻撃者と会話をしたくらいだ。そして、なぜか辻さんを気に入ってしまった攻撃者が、なぜか日本の脆弱なウェブサイトの一覧表を送ってくれたという。なお、その情報は辻さんが然るべき機関に通報して、適切に対応されたとのことだ。
また、実際にサイバー攻撃を受けた際、守るべき情報の選別と管理やシステムの運用に携わる人なら、痕跡から攻撃者側の手法や何をしていったかなどを把握できるだろう。ただ、攻撃者の意図までくみ取ることは非常に難しい。そのため、ITに携わっていてもシステム運用などに関係のない立場では、サイバー攻撃の脅威をいろいろ説明されても、なかなか理解されないと思われる。そこで、「攻撃者がなぜ攻撃してくるのか?」ということについて述べる。
免罪符になりがちなセキュリティ対策
「セキュリティ対策は重要です」「機密情報や個人情報は守られるべきです」――このような総論的な声がけが重要だと、セキュリティ専門家のみならずほとんどの人が賛成するだろう。それにも関わらず、企業や組織でセキュリティ対策がそれほど進んでいるようには見えない。この理由は何だろうか。
恐らく、サイバー攻撃者の意図をきちんと抑えてないことから、自分たちがどのような攻撃を受けるのかも想定できておらず、攻撃パターンと、それに対する防御方法をどうするべきかを想定できていない状況なのだろう。こうなると、攻撃を検知できたとしても、その攻撃を実際に受けた場合にどう対処すればいいかが分からない。これでは、万全なセキュリティ対策をしているとは言えない。
それでは、せっかくサイバー攻撃の動向を調査し、有効な製品やサービスを選択し、それを導入するための予算を申請し、実際に高額なセキュリティ製品やサービスを導入する。このような組織内の障壁を幾つも超えてセキュリティ対策を実施しても、残念ながらサイバー攻撃を防げないという事実が続くことになる。
その結果、十分な効果を発揮させることを目的としてないアリバイ作りのようなセキュリティ対策が一定の割合で存在することとなる。これは、「手段が目的化している」とも言い換えられるもので、とてもではないが、実効性は見込めない。少々厳しい表現になるが、筆者はこのことを「免罪符型のセキュリティ対策」だと表現することがある。
多額のコストをかけた根拠のない神頼みのようなセキュリティ対策は、本来なら営利組織である企業などで許されるものではない。しかし、インシデントが起きていないか、その事実にすら気づいていない企業にとって、何かが起こった場合の言い訳として、「一定のセキュリティ対策をしていました」という状況にしておくということ以上のモチベーションがないのだろう。そのため、このような状況を根絶するのは、なかなかに厳しい。