ランサムウェア『LockBit2.0』の脅威

おはようございます。情報セキュリティ相談センターです。

セキュリティの話になると耳にする機会の多いランサムウェアですが最近、新たなランサムウェアの被害が増えていることをご存じでしょうか。

トレンドマイクロは、日本や海外でランサムウェア「LockBit 2.0」による脅威が拡大する恐れがあるとして注意を呼び掛けております。データの不正な暗号化と暴露の手口により、企業や組織に多額の身代金の支払いを要求するランサムウェアの手口です。

広がりを見せたタイミング

 同社によると、LockBit 2.0は、ロシア語のアンダーグラウンドフォーラムで確認されているサイバー犯罪者グループが展開していると見られ、そのグループはランサムウェアを使ったサイバー犯罪をサービスとして提供しており、6月の更新でLockBit 2.0を導入したとされております。旧バージョンのLockBitによる手口は、犯罪者グループがデータを窃取、暗号化して、被害者が身代金を支払わない場合にデータを暴露するものだでしたが、LockBit 2.0では、特定の動作に他の暴露型ランサムウェアの特徴を取り入れた様子がうかがえるといいます。

 トレンドマイクロは、7月1日~8月15日にチリとイタリア、台湾、英国などで関連攻撃の試みを検知したという。日本国内ではNHKが8月24日の報道にて、建設コンサルタント会社のオリエンタルコンサルタンツが被害を受けた攻撃に、LockBit 2.0が関係した可能性を報じました。

ランサムウェア「LockBit 2.0」の脅迫画面


感染経路や攻撃の流れ

 これまでの分析でLockBit 2.0は、侵入先のシステムからネットワークスキャナーを使ってネットワークの構造を確認し、拡散などに悪用するドメインコントローラーを標的にします。さらに、Process Hackerなどのツールを使ってシステム内で動作するプロセスやサービスを終了させます。

Active Directoryのグループポリシーを悪用して、組織内のWindowsドメイン全体の端末を自動的に高速で暗号化します。さらに攻撃者がリモートデスクトッププロトコル(RDP)アカウントを悪用して、被害システムを遠隔操作することも可能とし、VPNなどのネットワークシステムの脆弱性を突いた攻撃事例も確認されているといいます。

1ランサムウェア「LockBit2.0」の攻撃の流れ(トレンドマイクロより)



実際の被害事例

 ここは田舎だから、小さな会社だから大丈夫という言葉を発する中小零細企業の経営者から未だによく聞きますが、そうではないことがよく分かる非常に悲惨な被害事例もでています。

徳島県つるぎ町立半田病院が10月末、サイバー攻撃に遭い、深刻な事態に陥っている。データを勝手に暗号化し、復旧と引き換えに身代金を要求するコンピューターウイルス「ランサムウエア」に院内のシステムが感染。患者約8万5000人分の電子カルテが見られず、診療費の会計もできなくなった。

外来患者の新規受け入れを全面的に停止し、診察内容は手書きでカルテに記録するなど対応に追われている。現時点で復旧の見通しは立たず、病院関係者は「もはや災害だ」と頭を抱える。

県北西部に位置し、吉野川右岸から山あいに広がるつるぎ町は人口約8200人(今年9月末)。半田病院は120床の総合病院で、平日には1日250~300人の患者が訪れる。過疎高齢化が進む地域で、中核医療機関として住民の命を守ってきた。  

病院が異変に気付いたのは10月31日未明。患者らが寝静まった午前0時半ごろ、十数台のプリンターが一斉に大量の紙を吐き出し始めた。「データを盗んで暗号化した。身代金を払わなければデータを公表する」。紙には英文でこう記され、印刷は紙がなくなるまで続いた。驚いた当直の看護師はシステム担当者に連絡。午前3時ごろから回線を遮断するなどの対応を始め、午前9時ごろ県警に通報した。県警はコンピューターウイルス犯罪に適用される不正指令電磁的記録供用などの疑いで捜査している。 被害は大きかったメインのサーバーのみならず、バックアップ用のサーバーもウイルスに感染。電子カルテは閲覧できず、氏名や年齢、治療内容、投薬歴など診療の基本情報が把握できない。約10年前に電子カルテに切り替え、紙の記録は残っていない。電子カルテと連動していた診療費の計算もできなくなった。  

31日朝以降、対応に追われた。患者の受け付け、カルテは全て手書き。入院患者の経過などは倉庫から引っ張り出した旧型パソコンに入力した。氏名や治療経過などを一から聞き取るため、普段の倍以上の時間がかかる。町の病院事業管理者を務める須藤泰史医師(泌尿器科)は「これまでの処方や検査結果、検査画像などが全て見られない。災害時の体育館で診療しているようなものだ」と話す。  

病院は被害直後から新規の外来患者は断り、予約が入っていた診療のみに制限。会計ができないため診療費の請求は後日に延ばした。11月に3回予定していた休日の当番医は近隣の病院が肩代わりした。一方、県西部で出産できる医療機関は半田病院だけで、妊婦の定期健診や出産への対応は続けているほか、人工透析も受け入れている。ランサムウエアによるハッカー集団の攻撃は、大手ゲーム会社「カプコン」などが被害に遭って広く知られるようになった。半田病院が感染したウイルスは、脅迫文の内容などから国内外で被害が報告されている「LockBit(ロックビット)2・0」とみられる。現時点では具体的な金銭の要求などはない。ウイルスの侵入経路は調査中という。  

半田病院にとって今回の「災害」は想定外だった。地震や水害に備えてメインのサーバーを1階、バックアップ用のサーバーを2階に設置していたが、両サーバーは同一の回線でつながっていた。丸笹寿也事務長は「自然災害を想定しており、ウイルス対策としては不十分だった」と苦渋の表情を見せる。  

病院は専門会社にデータ復旧を依頼しているが見通しは立っておらず、中園雅彦院長は「患者さんや周囲に迷惑がかかり心苦しい。職員も長期戦で疲れている。一時間でも一分でも早く復旧させたい」と話した。【国本ようこ】

◇専門家「患者の生死に関わり深刻」  サイバー攻撃に詳しい神戸大大学院・森井昌克教授(情報通信工学)の話 治療に関する情報が使えないことで患者の生死に関わる。大変深刻なケースだ。ランサムウエアは個人や企業など区別なくばらまかれている。特定の病院を狙ったわけではなく、災害と同じで、いつどこでこうした事態が起こるか分からない。今回は異変に気付いて対応するまで数時間たっており、この間にバックアップデータまで暗号化されたと思われる。セキュリティーが甘かったと言わざるを得ない。感染した際の行動マニュアルを作り、実際に訓練しておくことも重要だ。

毎日新聞11月12日記事

今後の備え

トレンドマイクロは、組織が保有するシステムや端末、ネットワークなどのIT資産と利用状況を把握して異常を検知することや、システムの利用や管理などのための権限を最小にして使用状況を監視すること、システムなどを最新の状態に維持して脆弱性をできる限り解消しておくこと、データバックアップなどの復旧策を準備しておくといった広範な対策を実行する必要があると注意喚起しております。

まとめ

今後の備えについても非常に難しい言葉でどうしたら良いのか分かりづらい方も多いと思います。下記を最低限行うことからまずは再度点検してみてください。

・ITリテラシーの向上(従業員に情報セキュリティ関連のセミナーや勉強会を行う)

・感染させない仕組み作り(UTMの設置、セキュリティソフトのインストール、Windows含むアプリの最新バージョンアップ、USBメモリの禁止等)
・感染後に広めない仕組み作り(セキュリティHUBの設置)

・感染してもデータを守る仕組み作り(バックアップはオンプレとクラウド上に2重に取る) 上記4点を再度確認して自社の情報資産を自社で守っていけるようにしましょう!

CEATEC AWARD 2021 アジア最大規模のイノベーション展示会

おはようございます。情報セキュリティ相談センターです。

今年本国で開催された東京オリンピック2020は、ほとんどの競技が無観客開催でした。

新型コロナウイルスの感染拡大による1年の延期や無観客開催と、前代未聞の大会となりました。

オリンピックだけではありません。ライブも、コンサートも、イベントも、あらゆることが制限されるようになってからもうすぐ2年が経ちます。

家でテレビを前に応援しているわたしたちの声は、リアルタイムで選手たちに届くことはありません。静まり返った競技場は、普段熱気と声援に包まれている選手たちにとってひどく味気ないものだったかもしれません。

彼らはトップアスリートですから、応援の有無に関わらず練習を重ねてきていますが、しかしそれはそれとして応援というものは大きなパワーになります。

わたしも学生時代に長いことスポーツをしていましたからそのパワーがよくわかります。

スポーツ観戦が好きな人たちも、そのスポーツや選手の活躍はさることながら、会場の雰囲気が好きという方も多いのではないでしょうか?仕方がないとはいえ、なんとも寂しいですよね。

現在どうしても抑制されがちなコロナ禍での娯楽ですが、そんな中で少しでも楽しむための工夫がなされています。

10月19日~22日、IT技術とエレクトロニクスの総合展示会「CEATEC」が開催されました。昨年同様にオンラインで開催されたこの展示会の「CEATEC AWARD」グランプリのひとつに、そんな抑制されてしまった娯楽を楽しむためのものが選ばれていました。

CEATEC AWARDとは、学術的・技術的観点・市場性や将来性等の視点から、イノベーション性が高く優れている、と判断されたものを表彰するものです。

本年はやはりウィズコロナDXを意識したものが多かったですね。

本日は「CEATEC AWARD」の中から、何点かピックアップしてご紹介します。

DXでオンライン応援

冒頭でお話ししたのは、ニューノーマル社会への提案・競争カテゴリー、デジタルトランスフォーメーションDX部門グランプリの、リモート応援システム「Remote Cheerer powered by SoundUD」です。

こういったコロナの環境下、あるいは別の様々な理由で現場に行けないスポーツファンが、オンライン上でリアルタイムに選手を応援するプロジェクトで、Jリーグやプロ野球などと共創しながら、新しい応援の文化を創出しています。

スポーツの中継はなにも珍しいことではありませんが、この「Remote Cheerer」は従来の「現地に行って応援する」か「中継で見る」といったスタンダードな2種類のスポーツ観戦の、新しいかたちを実現します。

いうなれば「オンライン応援」でしょうか?オンライン観戦といえば今まで通りですが、こちらは応援付きです。

スマホをタップしたり振ったりすることで、現地に設置されたスピーカーから声援や拍手が流れるのです。システムはいたってシンプル。シンプルですが、とても「今っぽい」ですよね。

アイドルオーディションやミスコン等で近年利用される配信ツールでも、ファンはスタンプやプレゼントで画面を華やかにすることで応援の意を表すことができます。かたちのないものを可視化することで、モチベーションの向上に繋がります。

スポーツだって同じです。たとえ無観客でも、スピーカーから音がすることで「応援されている」ことを可視化します。(見えてはいないですが)

他にも、トークルームやチャットルーム機能で同じ試合を見ている人と交流するといった、SNSに近しい機能もあり、ひとりではなくみんなで応援する「現地観戦」に近いものを体感できます。

隣のシートの見知らぬサポーターと盛り上がる…といった、現地ならではの楽しみに近い楽しみ方もできそうです。



量子暗号で理論上最強のセキュリティ

莫大な情報であふれ、それが資産となる現代社会において、重要とされるのはその情報の活用の仕方です。あるだけの情報は何の役にも立ちません。情報の分析、活用、共有、それが現代社会での戦い方です。では、その情報はどうやって守りますか?

オープンカテゴリー、ソリューション部門では「東芝の量子暗号通信で安全なオンライン社会を実現」が、“理論上”突破されないセキュリティ要素として準グランプリを受賞しました。

詳しく話すととても難しい話になるのですが、光の粒子がなにかに触れると、必ず状態が変化するという量子力学的な性質を利用した暗号鍵の技術です。

なんで理論上証明されているのかというのはいまここで解説しませんが、ざっくり言えば、鍵の情報が変化している場合は「なにかに触れられた」可能性が高いため、危険だから使わないようにする…ということです。

………わかりますか?難しいですよね。まぁ、極端な話、家のカギに知らない人の指紋が付いたら鍵を変えようね、みたいな感じです。

この情報社会、そしてIoTの時代に、データ通信の安全性はますます重要視されています。

現状理論上安全が保障されているこの量子暗号技術は、まだまだ通信速度や距離といった制限、そして技術の進化による「セキュリティ突破」の懸念等、問題もありますが、しかしそれでも、現段階では大いに期待できる技術です。

次々と新しい技術、そして進化が繰り返される現代です。制限や懸念を拭い取り、超スマート社会へ向かうこの世界の、セキュリティ業界を牽引するのもそう遠い話じゃないかもしれません。

スーパーでスマートな未来都市へ

少子高齢化、インフラ老朽化といった地域課題に直面する中で、「スーパーシティ・スマートシティ」の取り組みが広がっています。スーパーシティとは、最先端の技術で地域課題を解決し、快適で便利な未来都市の実現を目指す構想のことをいいます。

ニューノーマル社会を先導するスーパーシティ/スマートシティの実現に向け、社会と暮らしの全般における先進的サービスやデータ連携・活用などが求められている今、ニューノーマル社会への提案・共創カテゴリースーパーシティ/スマートシティ部門でグランプリを受賞したのが「NECが目指す未来のまち ~スーパーシティ~」です。

防災、観光、医療福祉といった、複数の分野にまたがる地域の課題に対して横断的にサービス・データを流通させるクラウドサービス「NEC都市OS」をベースに、容易かつシームレスにスーパーシティへと取り込むこの構想は、総務大臣賞も同時に受賞しています。

防災面ではAIを利用した防災予測、被害情報などで、逃げ遅れゼロを目指し、観光面ではこのコロナ禍でも安心・安全に快適な旅を提供します。世界ナンバーワン精度の顔認証や混雑度検知や群衆行動解析を組み合わせ、地域活性を実現します。

開発コストの低減、地域の特性やニーズに合わせたシステム構成、そして現代求められているスーパーシティに即した点が評価され、グランプリとなりました。

想像にとどまらないNECが目指す未来のまち、どんな人も安心して生き生きと暮らし続けられるまちは、もうきっとすぐそこにあるのではないでしょうか。

本日のまとめ

いかがでしたでしょうか?

CEATECオンライン、実際にわたしも入場させて頂きました。むずかしい話が多くはじめはしり込みしましたが、知れば知るほど面白く期待に胸が高まるものばかりです。

オンラインになったことで、参加が容易になったのもわたしにとってはうれしいポイントでした。

ニューノーマルな社会はすでにもう始まっています。最新テクノロジーの上に成り立っているわたしたちの生活の、新しい一歩のそのつま先を体験できたいい機会になりました。

オンラインでも応援をリアルに届ける、理論上最強のセキュリティ、そしてスーパーでスマートな未来都市。

他にも、たくさんの技術が、開発が、今繰り広げられています。これからのわたしたちの未来は、きっとスーパーでスマートへとどんどん近づいていくのでしょう。



<参考サイト>

CEATEC2021 webサイト

SOUND UD webサイト

NEC webサイト

脱パスワード?当たり前のセキュリティをバイオメトリクスに

おはようございます。情報セキュリティ相談センターです。

「asdfghjkl」って、何の羅列だと思いますか?「1q2w3e」は?「1qaz2wsx」は?

一見なんの法則性もない適当な英数字の羅列ですが、入力してみれば「あっ」となるんじゃないでしょうか。

…気が付きましたか?

「asdfghjkl」はキーボードの真ん中の列を左から順番に並べたもの、「1q2w3e」は右上から2段づつ3列並べたもの、「1qaz2wsx」は右上から下に順番に2列並べたものです。パソコンで入力すればすぐに気が付きますよね。

情報通信企業「Nordpass」が発表した、よく使われるパスワードランキング2020年版に、上に挙げました3つの羅列がランクインしています。

わたしたちは1日に何回パスワードを求められるでしょうか。このサイトあのサイト、あのアカウントにこのアカウント、1日何十回とパスワードを求められますよね。パスワードをかけることは、セキュリティにおける当たり前の第一歩です。

しかし、それが当たり前になりすぎていませんか?難解なパスワードを覚えるのは面倒くさいし、それぞれ別のパスワードを使ったら覚えきれないし、結局いつも使うわかりやすいパスワードで統一していませんか?

本日はそんな、当たり前になりすぎておろそかになりがちなパスワードのお話です。


ごく当たり前のセキュリティ

冒頭でも挙げましたが、パスワードをかけることはセキュリティを守る「当たり前」の行動です。

利用している通販サイトにパスワードをかけて、登録してあるクレジットカードを第三者に使われないようにする、といったごく当たり前のことです。

つまり、誰かに知られてはいけないし、推測できるものでもいけません。銀行やクレジットカードで使われる4桁の暗証番号を登録するとき、「1111」や「1010」といったぞろ目や連続した羅列、あるいは誕生日といった簡単に推測できる数字は禁止されています。どんなサイトであろうと、それは同じことで、ごく当たり前のことです。

Nordpassのパスワードランキングでは、1位に「123456」、4位に「password」、6位に「111111」がランクインしています。読んでくださっている方の中にも、これらのパスワードを使ってる人がいるんじゃないでしょうか?

危険だとわかっていても、それでも「覚えやすくわかりやすい」ことを優先してしまう人が多くいます。

不正ログインの手口はいろいろありますが、中でも有名なのはやはり「ブルートフォースアタック」です。総当たり攻撃ともいわれ、言葉の通り考えられるパスワードを総当たり的に試していく方式です。

また、パスワードに利用されがちな単語を体系化したデータベースを利用する「辞書攻撃」もよく使われる手段です。対象が明確であれば、誕生日や電話番号などからさらに絞り込むことが可能です。

では、みなさんが不正ログインをする側にたったとして、半角英数字のパスワードをなにかしら入れるとしたらなにを入れますか?やはりぱっと思いつくのは「111111」や「password」じゃないでしょうか。どちらにしても、すぐに暴くことができてしまうパスワードです。

ブルートフォースアタックは、まず「aaa」を入力し、ダメなら「aab」、「aac」、「aad」というように、少しづつずらして入力する方式ですから、「1」のぞろ目なんてものの数分でログインされてしまいます。

辞書攻撃でも、辞書を開かずともまず「password」と入れてみたら一発でログインできてしまうかもしれません。そうでなくとも、好きなもの、例えば「apple」や「basket」といった単語から、ログインできるかもしれません。

これらの方法は途方もない作業のように思えますが、理論上はいつかパスワードに行きつきます。途方もなくなって諦めざるを得なくなるくらい、複雑で難解なパスワードでなければいけません。

他にも、別のサイトで使用していたパスワードを入手し、目的のサイトで試す、といった方法もあります。だって、アプリ、サイト、アカウントごとにパスワードを変えている人が何人いますか?アプリもサイトもアカウントも、ことあるごとにログインを求められる時代です。全部なんてとてもじゃないけど覚えてられないですよね。

ごく当たり前のセキュリティを、ごく当たり前に機能させるには、「推測されにくい複雑な羅列」かつ「複数アカウントで同じパスワードを使わない」ことが重要になってきます。

理想と現実の現状

とはいえ、複雑な羅列を何種類もIDやアカウント名と紐づけて覚えることは簡単なことではありません。それで忘れてしまってログインできなくなったら元も子もないですからね。

Windowsは、8文字以上かつ大文字小文字数字記号の4種類をすべて含み、名前やユーザー名、一般的な単語を含まない、の条件を満たしたものを強力なパスワードの基準としています。

そんなパスワードを何種類も管理するなんて無理な話です。しかし不正ログインは怖い…。

どこかにメモしておけば確かに管理することは可能です。しかしそのメモはどうやって管理しますか?

そのメモを失くしたら、ログインできなくなるうえに全てのパスワードが漏洩してしまったことになります。管理ツールを使っても、じゃあ管理ツールのパスワードはどこで管理しますか?

たとえセキュリティのためとはいえ、求められているものに少し現実味がないですよね。

そうなるとやはり、覚えやすくてある程度統一されたパスワードを使わざるを得なくなり、しかしセキュリティ面で不安が残る…堂々巡りです。

パスワードは当たり前のセキュリティですが、現状、あくまで最低限なものになってしまっているのです。

入力しないパスワード

では、どうやってセキュリティを高めていけばいいのでしょうか。

ようは本人であることが証明できればいいわけです。実は身近にある人も結構いるのではないでしょうか?

iPhoneはSE(第2世代)、iPhone8から指紋認証を、iPhone10から顔認証を搭載しました。それぞれTouch ID、Face IDと呼ばれているものですね。

情報が資産となる現代において、パスワードの管理不備及び漏洩は大きな影響を及ぼしかねません。

そんな中、米マイクロソフトはアウトルックやチームズといった自社アプリで、顔認証などの生体認証を標準としました。

指紋や顔、あるいは声紋、虹彩を利用した認証方法をバイオメトリクス認証と言います。

生体認証であれば、脅威である「パスワードが外部に漏れる」おそれを、そもそも根本からなくすことが可能になります。

増え続けるサイバー攻撃、不正アクセスに、パスワードではもう限界が来ています。

パスワードが漏れることで流出した情報はなかったことにはできませんし、信用も失います。在宅勤務も増え、働き方が変わっていくまさにその過渡期にいます。情報の管理には、一番に気を使わなければいけません。

セキュリティは、企業を支える大きな柱の一つになっているのです。

マイクロソフトの生体認証化を皮切りに、多くの企業が脱パスワードを考えていかなければいけなくなっています。

本日のまとめ

バイオメトリクス認証がすべて優れているというわけではありません。まだまだ精度が低いものもありますし、不便な時もあります。それこそコロナ禍でのFace IDとか、ちょっと面倒くさいですよね。マスクだと反応しなくて。

しかし、その精度はどんどん上がっています。きっと、マスクにもすぐに対応するでしょう。

実際にiPhoneでは、パスワード入力などもバイオメトリクス認証でスキップできるようになりました。

「脱パスワード」は、気が付かないところで進んでいるのです。

好きな映画に、問題を解決するために敵組織のシステムに入らなければいけなくなるシーンがあります。その時主人公は、どこでシステムに入るためのパスワードを入手したと思いますか?

……敵組織のボスが座っていた椅子の手元です。手元に、メモを残していました。パスワードの意味がまるでありませんよね。

そんなことにならないように。パスワードの管理は適切に!そして脱パスワードへ。

<参考サイト>

NORDPASS

日本経済新聞

Cyber security for All 誰も取り残さないサイバーセキュリティ

おはようございます。情報セキュリティ相談センターです。

9月の終わり、首相官邸でサイバーセキュリティ戦略本部が開かれ、次期「サイバーセキュリティ戦略」が決定されました。2015年に内閣で定められ、3年ごとに戦略を更新していくものです。

7年目となる今年、「Cybersecurity for All ~誰も取り残さないサイバーセキュリティ~」をコンセプトに、「自由、公正かつ安全なサイバー空間」の確保を目標とする戦略案が公表されました。

さて、難しい話から入ってしまいました。

みなさんは、サイバーセキュリティといわれたらなにを思い浮かべるでしょうか?ウイルス対策ソフトとか…複雑なパスワードを設定するだとか…そんな漠然としたイメージはあるものの、具体的に説明するとなると言葉に詰まってしまうのではないでしょうか。

テストで40点くらいの答えは出せるんですけど、100点満点となるとなかなか難しい…。

デジタル化、IT化、DX、この世界の技術が進めば進むほど、漠然とした「40点程度はわかる」ものが増えていくような気がします。実際、40点程度あれば十分機能してしまうのも、技術が進んだ結果なんですよね。

本日は、そんな漠然としたサイバーセキュリティとその戦略についてお話しします。

70点のサイバーセキュリティ

そもそも、サイバーセキュリティと言われて100点満点の答えを出せる人はいますか?

 「サイバーセキュリティ」とは、電子的方式、磁気的方式その他人の知覚によっては認識することができない方式により記録され、又は発信され、伝送され、若しくは受信される情報の漏えい、滅失又は毀損の防止その他の当該情報の安全管理のために必要な措置並びに情報システム及び情報通信ネットワークの安全性及び信頼性の確保のために必要な措置が講じられ、その状態が適切に維持管理されていることをいう。

サイバーセキュリティ基本法

これが100点満点です。まぁ、今すぐ100点を取る必要はありません。理解できていればそれで大丈夫です。

本日のお話は、だいたい60~70点が取れるようになるのを目標とします。

サイバーセキュリティとは、要約すれば「知覚で認識することが不可能な方法で、情報が漏洩しないように、防止および情報の管理に必要な措置がされており、その状態が適切に維持管理されている」ことを言います。

う~ん、ぎりぎり70点…!

ともかく、「サイバー攻撃から情報を守る体制」のことです。定義はそんな認識でいいんじゃないでしょうか。

ではなにが正しいサイバーセキュリティなのか、大事なのはそこです。

2021年からの3つの方向性

サイバーセキュリティ戦略では、目標である「自由、公正かつ安全なサイバー空間」を確保するため、今後3年間の方向性を提示しています。

サイバー空間とは、グローバルな拡張・発展を遂げ、国境を越えて質・量ともに多種多様な情報・データを自由に生成・共有・分析することが可能かつ流通する場、つまり、わたしたちを当たり前のようにとりまくインターネットの世界のことです。

(1)デジタル改革を踏まえたデジタルトランスフォーメーションとサイバーセキュリティの同時推進

(2)公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保

(3)安全保障の観点からの取組強化

以上の3つはそれぞれ「経済社会の活力の向上及び持続的発展」、「国民が安全で安心して暮らせる社会の実現」、「国際社会の平和・安定及び我が国の安全保障」に向けた取り組みに対応するものですが、もちろんすべて意識されるべきことです。

それぞれざっくり、70点を目指して解説します。

DX with Cybersecurity

(1)デジタル改革を踏まえたデジタルトランスフォーメーションとサイバーセキュリティの同時推進

今年9月、デジタル後進国と言われる日本にようやく「デジタル庁」が設置されました。今まさに日本がデジタル化を大きくすすめる絶好の機会です。

デジタル化が進めば進むほど、サイバーセキュリティの重要度は増していきます。デジタルトランスフォーメーション、DXが推奨されている今、デジタル投資とセキュリティ対策は同時に進行していかなければなりません。

DXが進めば進むほどサイバー空間に強く結びついていきます。人々の生活を革新的に、豊かにより良い方向へと変化するために行われるDXですが、そこに結びついたサイバー空間に穴があっては意味がありません。逆に、セキュリティを強めたサイバー空間だけがあっても、そこに結びつくものがなければ意味ないですよね。

例えば、たくさんの物(情報)を大きな箱(サイバー空間)に入れられるシステム(DX)があっても、その箱に穴が開いていれば使えませんし、逆にたとえ頑丈な箱があっても、その箱を開ける術がなければただのがらくたですよね。………こんな感じです。なんとなくわかりますでしょうか?

「経済社会の活力の向上及び持続的発展」のために、DXは必要不可欠です。DXの推進のために、サイバーセキュリティも必要不可欠なわけです。

モノのインターネット時代

(2)公共空間化と相互連関・連鎖が進展するサイバー空間全体を俯瞰した安全・安心の確保

「連接融合情報社会」という言葉があります。IoT(Internet of Things)、「モノのインターネット」という言葉が身近になった現代で、あらゆるモノがインターネットに接続され、実空間とサイバー空間が高度に融合した社会を指す言葉です。

サイバー空間は社会の中に溶け込んでいます。サイバー空間を基盤として処理されるものが、この世にはあふれています。

つまり、「国民が安全で安心して暮らせる社会の実現」における「社会」というのは、実空間とサイバー空間の両方を含むわけです。

サイバー攻撃は大きいものから小さいものまで毎日ひっきりなしに行われ、被害は1日に1万件以上と言われています。サイバー攻撃は、簡単に言ってしまえばパソコンやスマートフォン端末という他人のプライベート空間に侵入し、なにかしら価値のあるものを盗むような行為です。実空間で他人の家に侵入し、金品を盗むことは立派な犯罪ですよね。それが1日1万件も行われていたらとてもじゃないですが安全安心とは言えません。

サイバー攻撃の脅威は増す一方で、経済社会が抱える脆弱性が顕在化しています。サイバー空間を実空間と変わらず「公共空間」とし、安心・安全を確保していかなければいけません。

そのために、国、企業といった組織単位ではなく、一人一人が意識し、国一丸となってシームレスな対処態勢が必要です。

目に見えない戦争、目に見えない戦場

(3)安全保障の観点からの取組強化

サイバー空間は陸、海、空、宇宙に次ぐ5つ目の戦場となりつつあります。

先に挙げましたサイバー攻撃の例は、あくまで個人及び小組織を想定した例え話でしたが、国家がその対象になることだってもちろんあります。

かつてはSFと呼ばれ架空の存在だった「サイバー戦争」は、すでに現実のものになっています。映画や小説のようなフィクションだったら娯楽ですが、現実ではれっきとした戦争であり、国を脅かすものです。

サイバーセキュリティ戦略では、中国、ロシア、北朝鮮の関与が疑われるサイバー攻撃が増えたと明記されました。

サイバー攻撃は目に見えない攻撃です。その戦場も目に見えません。言ってしまえば、その戦果も、失ったものも、目に見えないのです。

目に見えないだけで、戦火はわたしたちの頭上を飛び交っています。

「国際社会の平和・安定及び我が国の安全保障」のために、純粋な武力だけではなく、サイバー攻撃に対する防衛力や抑止力が求められる時代になっています。

本日のまとめ

なんだか信じられないですよね。数十年前、サイバー攻撃は確かにフィクション上の娯楽だったはずです。

目に見えないからこそなんとなくでしか意識できません。しかし目に見えないからこそ怖いんです。

あ、そうそう、最後にこちらのサイトをご紹介します。

CYBERTHREAT REAL-TIME

https://cybermap.kaspersky.com/ja

サイバー攻撃をリアルタイムで見ることができます。

目に見えない攻撃は進化し、激化しています。それでも、目に見えない攻撃を目に見えるようにする技術も進化しているのです。

この国のこれからのサイバーセキュリティ、なんとなくわかりましたでしょうか?

冒頭でも言いました、100点の回答はなかなか難しいです。もちろん、全員が満点取れるくらい理解していればセキュリティはぐっと高まります。だからといっていきなり難しいこと言われてもピンとこないから難しいんですよね。

少しずつ、少しずつ学んでいきましょう。40点の知識を60点に、70点に。もちろんわたしも勉強中ですから、一緒に学んでいきましょうね。

見えないサイバー空間も、きっと少しずつ見えるようになります。そのお力になれれば幸いです。

<参考サイト>

NISC(サイバーセキュリティ戦略)

日本経済新聞

e-GOV(法令検索)