ICT徒然草 第5回 サイバーセキュリティ(1)

ジャパンデータストレージフォーラム(JDSF)理事  落合 正隆

前回は、ICTが私達の生活にどんな関わりを持ち、今後どんな世界を見せてくれる可能性があるのかを、ビジネスパーソンの生産性向上および障害者へのサポートを例に、社会貢献という視点から考えてみました。さて、ICTが非常に身近なものとなった現在、社会に多くの恩恵がもたらされている反面、様々なリスクも存在しているのが実情です。その中でも一番注目されている「サイバー攻撃」について、今回から2回に亘って考えてみます。

今やICTは好むと好まざるとに関わらず、私たちの生活に深く入り込んでいます。例えば、総務省「通信利用動向調査」によれば、スマートフォンの個人保有率は、2017年時点で既に60.9%(前年比4.1%上昇)に上っており、2019年現在の保有率は更に高くなっていると思われます。このコラムの読者の皆様には申上げるまでもありませんが、スマートフォンの実体はコンピュータに他なりません。しかもこのコンピュータは例外なくインターネットに接続されています。またスマート家電と呼ばれる家電製品もコンピュータ(マイクロプロセッサ)を内蔵しており、その多くはインターネットに接続されています。他にも例は少なくありませんが、要は事程左様に私達の身の回りには数多くのコンピュータが存在しており、インターネットに接続されているという状況になっているのです。

その結果、企業の生産活動のみならず、個人でもライフスタイルの向上や多様化等、様々な恩恵がもたらされている一方で、その恩恵を受ければ受ける程、これらのコンピュータは、そのコンピュータをターゲットとした様々な攻撃、即ち「サイバー攻撃」に晒される事になるのです。ここで注意しなければならないのは、サイバー攻撃のターゲットであるコンピュータが、これ程まで広く身近に存在している事実を、世間一般では余り認識していないのではないかという事です。日々使用しているスマートフォンや家電製品がその攻撃目標になって危険性に晒されている事実を、どれ程の方が認識しているのでしょうか?

サイバー攻撃自体の危険性や被害は、マスコミで大きく報道される事もありますので多くの方が認識していると思われますが、そもそもサイバー攻撃とは何でしょうか? ウィキペディアに拠れば、サイバー攻撃とは、ネットワークを通じてコンピュータシステムへ不正に侵入し、破壊、データの窃取、改竄する等、コンピュータを不正に利用する「クラッキング」を行う事です。因みに、クラッキングは、しばしば「ハッキング」と同一視されますが、ハッキングそのものは「高い技術レベルを必要とするコンピュータ利用」といった意味であり、善悪の要素を持ちません。その内、破壊等を伴い他者に迷惑をかけるものや、秘匿されたデータに不正にアクセスする事等、悪意・害意を伴うものの事を特に「クラッキング」と呼び区別し、これには明確な否定的意味があります。

サイバー攻撃は、特定の組織や企業、個人を標的にする場合や、不特定多数を無差別に攻撃する場合がありますが、その目的は (1)自己承認欲求を満たす目的、(2) 金銭を手に入れる目的、(3) 政治的/軍事的な目的、と大きく3つに分類できます。承認欲求を満たすための攻撃は多くの場合、個人単独によるものですが、金銭要求や政治的/軍事的な意図の場合、攻撃者の得られる対価も大きい事から、組織的、計画的、かつ綿密に進められ、その対策はより困難になります。何れにしても、この様な攻撃者の目的を理解し狙われやすいターゲットを予め予測する事が、効果的かつ効率的な対策を講じる上で重要だといえます。

サイバー攻撃には様々な種類がありますが、その大半は、多層的な構造となっているコンピュータシステムの、それぞれのレイヤーにほぼ必ず存在している「脆弱性」を狙ったものです。それでは、この「脆弱性」とはそもそも何でしょうか?しばしば、バグと脆弱性は同様に見做されがちですがイコールではありません。開発側のミスの内プログラム上の欠陥と見做されるものをバグ、それに対し開発プロセスで見過ごされた瑕疵の内、何らかの被害をシステムに生じさせる可能性があるもの全般を脆弱性と呼びます。そのため、脆弱性はソフトウェアだけに存在する訳ではなく、人間が構築した「仕組み」に脆弱性が潜んでいる事も少なくありません。仕組みやルールが形骸化してしまう事も脆弱性の一つといえるでしょう。最大の脆弱性は「人間」といわれる所以です。しかし、ルールの形骸化やうっかりミスといった人間に起因する脆弱性は外部からだと判り難い部分でもあります。そのため、サイバー攻撃では、OS、ソフトウェア、ウェブサイト等の外部からでも認識できる脆弱性を狙うものが殆どです。但し、攻撃で得られる対価が増大の傾向にある昨今、今後は内部に何らかの方法で入り込み、人間部分の脆弱性を掌握した上で複合的に攻撃を仕掛ける事が一般化して来る可能性も否定はできません。

サイバー攻撃の歴史はコンピュータ活用の歴史と表裏一体です。コンピュータ誕生以前は、そもそもサイバー攻撃という概念すら存在していませんでした。第二次大戦中に開発された世界初のコンピュータ「ENIAC」の第一の目的は弾道計算でした。大戦終結後、コンピュータに関する技術は民間に転用され技術革新が進む事になりますが、この「コンピュータ黎明期」にはコンピュータ間の相互接続はなく独立して稼働していたため、物理的に隔離する事によって悪意ある攻撃から防御する事ができました。その後、コンピュータはLANで接続される様になりましたが、組織内部での犯行を防ぐ予防策を講じれば、基本的なリスクは回避する事ができました。その様相は、インターネットの登場で一変する事になります。

次回は、サイバー攻撃の歴史を振返ると共に、あるべき対策について考えてみます。

落合正隆

参考文献:サイバー攻撃とは?その全体像を理解する 2019/1/10
https://eset-info.canon-its.jp/malware_info/special/detail/190110.html?utm_source=digest_201901_1&utm_medium=email&utm_content=20190123_2