本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
前回の記事では、総務省と情報通信研究機構(NICT)によるIoT機器調査「NOTICE」の概要と、この発表に対するマスコミの「通信の秘密を侵害している」「検閲にあたる」ことを主旨とした報道について述べた。また、日本の国民性から本来は国家に自分自身を守ってもらおうという傾向が強い一方で、近代日本の歴史的な経緯から、幾つか過剰に反応しやすい部分も併せ持ち、NOTICEがその部分に抵触してしまったことなどについて考察した。
今回は世界的なサイバー攻撃の現状を踏まえて、「政府は本当のところ何がしたいのか」について、また、法的な観点では法律家の意見などを交えて述べていきたい。
サイバー攻撃の現状と脆弱なIoT機器
世の中のセキュリティ製品やサービスを提供するベンダーは、「サイバー攻撃の脅威は絶えず高まり続けている」「昨日のセキュリティ対策はもう時代遅れで、最新のセキュリティ対策が必要となる」などという主旨のメッセージを発することが多い。筆者もセキュリティ対策の代名詞のような企業に所属していることもあり、講演などの場でこうした主旨に近い意味の話をすることもある。
しかしながら、読者の皆さんもご存じの通り(もちろん全てとは言わないが)、それらのメッセージには各ベンダーの営業トークと呼べる要素が多分に含まれている。実際に脅威が高まり続けているかはさて置き、相当数の被害が存在する。それにも関わらず、残念ながら攻撃を行っている犯罪者たちのほとんどは逮捕されていないというのが現実だ。このように現在のサイバー空間は、攻撃者にとって非常に都合の良い環境であり、サイバー攻撃はリスクが低く、もうかる可能性が高いビジネスと言えるだろう。
多くのユーザーが利用しているインターネットは、実はこのように危険な世界だ。さらに、インターネットには人間だけではなくモノも勝手につながり始めており、それらは「IoT機器」と呼ばれる。IoTの普及は、インターネット接続機器の数を加速度的に増大させ、それらのすべてはサイバー攻撃の脅威に晒されることになる。この増え続けるIoT機器は台数も種類も膨大なため、ユーザーがセキュリティを保ちながら管理することは難しくなっている。つまり、世の中には脆弱なIoT機器が溢れるようになったのだ。
脆弱なだけで攻撃者に狙われる
セミナーなどの講演の場で、筆者はしばしばサイバー攻撃は二極化の傾向が強いと説明している。実は、この二極化はサイバー攻撃に限った話ではなく、ビジネス全般に置き換えることができるものだ。例えば自動車の場合、日本市場は軽自動車と外国産の高級車やSUVに二極化している。スーパーマーケットなどの販売店も、安さを重視した店舗と高級感や専門性を持つ両極端の店舗に人気が集中しているなど、このような傾向は市場のあちこちで散見される。
そのため、サイバー攻撃も高額で売却できることが分かっている機密情報や一攫千金が狙える仮想通貨などが狙われるか、非常に脆弱なウェブサイトなどが狙われるか。これもサイバー攻撃市場の二極化だ。前者の攻撃は一般に「標的型攻撃(当たれば利益は大きいが、リスクは高い)」などと呼ばれ、後者の攻撃(コツコツ利益を稼ぎ、リスクは小さい)で狙われる脆弱なシステムの代表がIoT機器と言える。
IoT機器は、用途や金額などによって異なるが、その数の多さからどうしても管理が行き届きにくく、脆弱なまま放置される。場合によっては、ユーザーは設置したことも忘れていわゆる「野良IoT機器」になっていることも少なくない。このような脆弱な機器は、1台ではそれほど攻撃者に利益をもたらさないが、数千~数万台の機器が攻撃者によって自由に操作できるようになると、不正侵入の際の踏み台にすることができ、大規模なDDoS(分散型サービス妨害)攻撃なども可能になる。まさに、「ちりも積もれば山となる」ということわざの通りだ。
攻撃者にとってサーバやPCはもちろん、小さなIoT機器もそれを見つけて乗っ取ることができれば、一つひとつは小さくても、それらを束ねることで大きな利益を得られる可能性がある。脆弱なIoT機器は世に溢れており、攻撃者は苦労せずそれを探すことができるはずだ。そして、残念ながらIoT機器のユーザーはもちろん、IoT機器を提供するベンダー側ですら、必要なレベルの運用ノウハウや知識を持つとは言えないのが現実だ。こうなると、もはやその脅威を受容するか、さもなければユーザーでもベンダーでもない“誰か”が対応しなくてはならない。これがIoTを取り巻くサイバー攻撃の現状であり、2020年の東京オリンピック・パラリンピックの開催も控え、この深刻な脅威をできる限り低減させる必要がある。
このような状況から、総務省とNICTがNOTICEを実行することになったのだろう。しかし背景や経緯を知らない国民にはあまりにも唐突であり、議論が不十分な部分もあったかもしれない。それでも、政府側は「そんな悠長なことをしていては日本を守るための時間がない」という考えが強かったのだろう。そこには「通信の秘密を侵害し、検閲をすることで国民を監視したい」というような思惑よりも、この脅威を少しでも早く取り除きたいという意識が強かったと思われる。
