本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。
前回まで、サイバー攻撃の「攻撃者視点」の重要性とともに、被害に気づくことの難しさや孫子の「兵法」の故事などを引用して具体的な攻撃手法についても述べてきた。今回は、サイバー攻撃者の実像に少しでも近づくため、彼らを取り巻く環境や活動について述べていく。
サイバー攻撃人材の育成は進んでいるのか?
「サイバー攻撃人材」と書くと、「セキュリティ人材の間違いではないのか?」と感じる読者の感性はとても正しい。犯罪であるサイバー攻撃を行う人間の育成は反社会的な活動になるからだ。それはもっともだが、ここではあえて「サイバー攻撃人材の育成」としている。また、その理由を後述する。
セキュリティ人材が足りないことと、それによってセキュリティ人材の育成の重要性が、もう10年以上も前から叫ばれている。そして、政府の推進や大手ベンダーのセキュリティ分野への人材シフト、セキュリティ知識を学習する環境の整備などによって、少しずつだが、セキュリティ人材が増えてきている。
しかし、それでもセキュリティ人材が充足したとは言い難い状況であり、サイバー攻撃の被害は多くの対策を実施しているのにも関わらず一向に減っている様子が無い。その結果、「サイバー攻撃対策の人材を上回る勢いでサイバー攻撃の人材育成が進んでいるのではないか?」という疑問すら浮かんでくる。ただ、このような仮定は恐らく間違いだ。なぜなら、クラックキング技術などの攻撃スキルは一朝一夕に身に付くものではなく、効率的に金銭獲得などの目的を達成したい攻撃者側が、わざわざ手間暇をかけて地道に人材育成をしているというのも考えにくいからだ。結論として、高度な技術を持つという前置きが付くようなセキュリティ人材と同様に、サイバー攻撃人材の育成も進んでいないと思われる。
筆者の推測ではあるが、サイバー攻撃に関与する人間自体は確実に増えているものの、高度な技術を持つ攻撃者などは、それほど増えていない。それでも結果的に、セキュリティ対策をくぐり抜けるサイバー攻撃が増え、さらに対策を繰り返さなければならない状況は続く。また、セキュリティ対策もそれなりに高度化しているので、攻撃者には技術的な研さんが必要なはずだが、数多くの攻撃者がそうしているとは思えない。それでもサイバー攻撃が減らないのは、サイバー攻撃を実行するためのサプライチェーン的な支援スキームの存在があるからだと筆者は考えている。
分業化され効率化を追求するサイバー攻撃ビジネス
現在のサイバー攻撃は、世界的なビッグビジネスになっている。例えば、産業スパイが狙うような、大企業が多くの研究開発費をかけて練り上げた知的財産には、数十~数百億円の利益を稼ぎ出すビジネス価値がある。また、約580億円相当の暗号資産が流出した事件なども過去にあり、このような大きな被害が複数発生している。
これらは、サイバー攻撃が非常にもうかるビジネスということを示しており、被害規模も個人が対処できるレベルを遥かに超えている。そして、このような規模の利益を見込めるサイバー攻撃は、個人の手作業で簡単に実行できるものではない。なぜなら、ITが大きな価値を伴うようになって数十年が経っており、そこにある価値を守るセキュリティ対策は少なくともそれなりに堅牢だからだ。
だが、大きな被害を伴うサイバー攻撃が発生している。これはどういうことなのだろうか。その答えは、多くの傍証とそれをつなぐ推測の部分も少なく無いが、サイバー攻撃自体が個人のハッキングスキルにそれほど依存していないという点に尽きると筆者は考えている。
既にサイバー攻撃は、組織や体制、その他のさまざまなスキームによって裏付けされたビジネスとなっている。その内情も効率的にサイバー攻撃が実行するための仕組みが整備され、その仕組みの中で数多くの人間がサイバー攻撃を実施していると思われる。つまり、サイバー攻撃の裾野が広がり、それを実施するハードルも低くなっているということだ。