メルトピア

経営基盤を強化するIT戦略

三菱電機メルトピア。様々な事例がご覧いただけます。

  • 巻頭特集

  • 経営基盤を強化するIT戦略
  • 2017年 12月号(No.232)
  • 社会的な影響が広範囲に及ぶ
    情報セキュリティー上の
    脅威とその対策

IT は、現代社会にとって欠かせないインフラとなりました。一方、その便利さを悪用して反社会的な行為を行うサイバー攻撃も増えています。最近では、社会の隅々にまでIT が普及しているため、情報漏えいや改ざんにとどまらず、サイバー攻撃によって工場などが停止する物理的な被害も出ています。こうした脅威から情報システムを守るためには、最新のセキュリティー技術と組織的な対策が欠かせません。ここでは、社会的な影響が大きい現在の情報セキュリティー上の脅威とその対策方法を紹介します。

▲ ページトップに戻る

技術や環境の変化に合わせて変化する
情報セキュリティー上の脅威

 情報システムに対する脅威は、技術の進化と普及に沿って常に変化してきました(図1 )。パソコンやインターネットが普及する以前、情報システムがまだクローズドな環境であった時には、脅威の中心はデータの盗聴や改ざんといったものが中心で、攻撃対象も政府機関などに限定されていました。やがて技術がオープン化し、パソコンやインターネットが普及するにつれ、公的機関だけでなく企業から個人まで、あらゆるユーザーがサイバー攻撃の対象となりました。さらにコンピューターウイルス(マルウエア)が登場してからは攻撃の手口は高度になり、データ漏えいや破壊、システムを人質に取る(ランサムウエア)など、被害の内容も多様化しています。また、ネットワーク上を行き交う情報の価値が高まったことで、攻撃を実行する主体も愉快犯からプロの犯罪者集団に変わりました。
 現在、懸念されている新しい脅威がIoT 機器に対する攻撃です。IoT 時代の到来によって、車両、家電、工場の機械、さらに街のインフラなど、ありとあらゆるモノがインターネットに接続されようとしています。IoT は新しいビジネスチャンスを生み、生活に大きな利便性をもたらすことが期待されています。その一方で、IoT 機器は新たなサイバー攻撃の対象となり得ます。IoT 機器にネットワークから侵入することで、外部から機器を不正に操作することが可能になるからです。

刻々と変化するセキュリティーの脅威とその対策

■図1 刻々と変化するセキュリティーの脅威とその対策
情報セキュリティー上の脅威とその対策は、技術の進歩ともに常に変化している。
現在はネットワークのセキュリティーが中心だが、IoT 時代には機器のセキュリティーも重要となる。

▲ ページトップに戻る

企業にとって最も大きな脅威
となる「標的型攻撃」

 2017 年現在、企業の情報セキュリティー上、最も大きな脅威となっているのが、「標的型攻撃」と呼ばれるサイバー攻撃です。標的型攻撃とは、特定の企業や機関などを狙って組織的・計画的に行われるサイバー攻撃を指します。不特定多数を狙う場合と比べて、より高度で巧妙な技術や手段が使われます。最近の情報流出などの被害のほとんどが標的型攻撃によるものと言われています。
 典型的な標的型攻撃は、例えば以下のような手順で行われます。まず、標的となる企業の従業員にマルウエアを添付したメールを送りつけます。メールのタイトルや文面はビジネスメールを装い、添付ファイルは一見すると請求書や資料に見えるように偽装します。メールを受け取った従業員が、うっかり添付ファイルを開くことで、その端末がマルウエアに感染します。ここでいう感染とは、マルウエアのアプリケーションが密かにその端末にインストールされ、ユーザーの知らない間に動作している状態のことを言います。
 マルウエアは、端末内の情報を収集するだけでなく、ネットワーク上の他の機器やサーバーの状態も調査します。さらに、マルウエアの多くは攻撃者のサーバーと密かに通信を行い、収集した情報を送ったり、指令を受け取ったりします。攻撃者は逆探知の困難な端末からマルウエアをリモートで制御しながらシステムの奥へと侵入していきます。
 侵入時に、多くのマルウエアはシステムやネットワークの“脆弱性”を狙って攻撃します。脆弱性とはセキュリティー上の弱点となるシステムの欠陥や問題点です。脆弱性を突かれると、システムを自由に操られたり、重要な情報が丸見えになるといった事態に陥ります。OS やアプリケーションベンダーは、自社製品に脆弱性が発見される度に、それを修正するアップデート(パッチ)を配布しています。しかし、アップデートを迅速に適用していないユーザーも多く、攻撃側は常に脆弱性の残っている端末を探しています。まだ一般には知られていない脆弱性を攻撃側が使った場合には、対策がさらに難しくなります。

▲ ページトップに戻る

セキュリティー対策の進化によって
安全で便利なIT社会を維持

 こうした標的型攻撃に対して、企業や組織は様々な防御手段を講じてきました。以前は、とにかく水際でマルウエアの侵入を食い止める手法が主流でした。マルウエア対策ソフトによるチェックはその代表です。しかし、マルウエアの種類は1 日に100 万種以上も増えていると言われており、すでに侵入を完全に防ぐことは非現実的になっています。
 そこで最近では、水際での防御だけでなく、侵入を許すこともある、という前提での防御策を取ることが主流になってきました。もし、マルウエアが侵入したとしても、できるだけ早期に発見して被害を防ぎます。そのためには、自社の端末やネットワーク内で、マルウエアの活動を検知できる仕組みが必要になります。最近のマルウエアは、正常なアプリケーションやユーザーの操作を装って活動するため、その検知には高度な技術が必要になります。三菱電機では、攻撃者が目的達成のために実施せざるを得ない活動をログ分析によって検知するサイバー攻撃検知技術を新たに開発、これを使った「標的型攻撃対策サービス」の提供を開始しました。こうした防御策を講じることで、万が一、マルウエアの侵入を許した場合でも、被害の発生や拡大を食い止めることが可能になります。
 攻撃側の変化に合わせて、防御策も日々進歩を続けており、こうした努力によって、安全かつ便利なIT 社会が維持されていると言ってよいでしょう。

 

▲ ページトップに戻る

IoT時代に求められる
開発プロセスでのセキュリティー対策

 IoT 時代にはインターネットに接続された様々な機器がサイバー攻撃の対象となりえます。もし、自社製品に脆弱性があり、それによってユーザーがハッキングなどの被害に遭った場合に、その製品を開発した企業が何らかの責任を問われる可能性もあるでしょう。そのため、これからIoT 機器を開発する企業では、自社製品に脆弱性が生じないよう、あらかじめ開発プロセスの中にセキュリティー対策を組み込むことが求められます。安全で便利なIoT 社会を実現するためには、セキュリティー対策にかかる費用や時間を、社会全体が受容する必要があります。これには公的な啓発活動も重要になります。
 また、実用的なセキュリティー対策のためには、正しいリスク評価に基づく、利便性と安全性のバランスを取ることが大切になります。必要以上にリスクを恐れると、技術や社会の進歩を止めてしまいます。これからの製品開発においては、専門家のリスク評価に基づいて、そのリスクをどこまで許容できるかを的確に判断できる能力が求められるでしょう。

 

▲ ページトップに戻る