標的型サイバー攻撃による大量情報の流出被害が報告され、社会を騒然とさせている。そうした現状を憂慮しながらも、「今日の状況は特別のものではなく、攻撃は必ず受ける、侵入はいつか許すという前提に立つことが大切です」と、Yahoo! JAPAN リスクマネジメントのプロ、高 元伸氏は言い切る。
2013年、Yahoo! JAPANもサイバー攻撃の標的となり、Yahoo! JAPAN IDの管理サーバが外部から不正にアクセスされ、最大2200万件のIDを「流出した可能性がある」との報告を余儀なくなくされた。そうした経験から同社がたどり着いたのが、「攻撃ありき」「侵入ありき」の対策だ。果たして、それはどのようなものなのか──。今回は連載3回目として、施策を指揮する高氏にZDNet Japan副編集長の田中好伸が話を聞いた。
サイバー攻撃は必ず受ける
――2013年のインシデント以降、セキュリティ対策にどのような変化があったのでしょうか。
高 元伸氏
ヤフー株式会社
コーポレート統括本部
コーポレートインテリジェンス本部
リスクマネジメント室
プリンシパル
サイバー攻撃に対する意識は一変しました。正直、攻撃を受けるまでは、「サイバー攻撃を受けるかもしれないが、可能性としては低い」と思い込んでいました。それが攻撃を受けた後は、「サイバー攻撃は基本的にあるもの」「必ず受けるもの」という意識へと変わりました。また、サイバー攻撃を仕掛けてくる相手は人間です。ですから、自然災害のように「発生確率」でリスクの高低を論じるのは無意味で、攻撃者に攻撃の意志があるかぎり、弱みを見せれば必ず襲ってくると考えるようになりました。結果、攻撃を受けることを前提に対策を打つことが基本路線となったわけです。
――そうした考えになった背景、攻撃の経緯をもう少し詳しくお聞かせいただけますか。
サイバー攻撃の手法は変化します。理由はシンプルで、攻撃者が人だからです。人には失敗から学んだり、創意工夫を凝らしたりする能力があり、こちらが対策を講じても、その対策を擦り抜ける次の一手を打ってきます。
2013年に我々が受けたサイバー攻撃では、4月と5月の2回にわたりYahoo! JAPAN IDを管理するサーバへの不正アクセスがあり、初回の攻撃については情報流出を防げたものの、2回目の攻撃については情報流出の可能性があると判断せざるをえませんでした。なぜ、2回目の攻撃が防げなかったのかと言えば、攻撃者がデータの抜き方や利用するツールを変えてきたためです。
――つまり、攻撃者は初回の失敗から学び、防御を突破する一手を講じてきたと。
そう見ています。このように攻撃者は、攻撃対象の対策を観察し、その粗や弱点を探し当て、防御を突破しようとします。ですから、サイバー攻撃対策には終わりなく、攻撃者と果てしない戦いを続けなければなりません。また、セキュリティ対策に柔軟性を持たせ、攻撃者が繰り出す新たな攻撃に対処するスピードを上げていくことも大切だと考えています。
