本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
これまで「ざんねんなセキュリティ」シリーズとして、「機能しないIDS/IPS」「名ばかりCSIRT(Computer Security Incident Response Team)」「流行のゼロトラスト」について述べた。これらは本来の仕様や目的に沿って適切に運用されていれば、十分に有効なサイバー攻撃への対策だった。対策そのものは非常に有効なソリューションだが、それが機能しない運用に問題があった。もちろん、いろいろな事情があっただろうが、結果としては想定通りの動きにならなかった。そのために起こった「ざんねんなセキュリティ」の事象だったと言える。
特に前回のゼロトラストに関しては、これまで築き上げた境界防御型の仕組みを組織自ら壊してしまうような状況になることも想定され、そもそも「境界」という概念がなく、PCなどのエンドポイントが“裸”に近い状態でインターネットに接続するような状況になるからだ。まだ問題は顕在化していないが、「ざんねん」という言葉では済まされない由々しき事態に陥らないことを願うしかない。
「サイバー攻撃の巧妙化・高度化」の真偽
サイバー攻撃の被害があると、メディアで「サイバー攻撃の巧妙化・高度化によってインシデントが数多く発生している」と報道されることが多い。もちろん、実際にこれまでとは異なる新しい攻撃手法によって、被害が拡大するということもある。
しかし、セキュリティ人材がなかなか育成されないのと同様に、サイバー攻撃者側も巧妙な手法を考案する人材の数が決して多くはないと思われる。
そもそも、現在のサイバー攻撃の目的は、ほとんどが金銭的な利益の獲得だと言われ、攻撃者のモチベーションは、「お金を稼ぐ」という一点に尽きるだろう。だから、攻撃者が巧妙な手法を幾つも考案することは考えにくい。新しい攻撃手法は、それが有効ならとんでもない利益を生む可能性がある反面、本当に有効かは、やってみなければ分からない。そのため、ほとんどの攻撃者は確実に利益を得る方法を選ぶはずだ。
サイバーセキュリティの研究者らは、ダークウェブ(インターネットの闇サイト)などでサイバー攻撃のターゲットとなるソフトウェアなどの脆弱性の情報や、攻撃を実行するためのツールキットなどが販売されていると指摘している。そのためサイバー攻撃が簡単になり、実行のハードルは下がっていると見られる。それらを駆使できる情報リテラシーさえあれば、サイバー攻撃の専門知識はほとんどいらない。
その結果、サイバー攻撃は世界的なビジネスと言える状況となっており、その裾野は広がってしまっている。この状況が「サイバー攻撃の巧妙化・高度化」と言われるわけだが、実際にはその表現は間違いで、むしろ「サイバー攻撃の効率化の徹底」と表現した方が現実に即しているだろう。