ソフトウェア開発事業者を主な会員とする業界団体「一般社団法人コンピュータソフトウェア協会(CSAJ)」の内部組織として、主にソフトウェアに関するセキュリティの課題解決に向けた連携や情報交換を行う「Software ISAC」が2018年に発足して以来、外部に向けてもさまざまな情報発信を行っている。
今回はその一環として、主に初心者向けの「企業に対するサイバー攻撃の実態と、最初に実行すべき対策の考え方」をテーマとした対談動画がYouTubeに投稿された(各回10分程度・全4本)。
ほとんど毎月のように有名企業に対するサイバー攻撃被害がニュースになる中、攻撃の手口もそのための対策方法も多岐にわたり、十分な予算や人材を確保できない企業にとっては悩みのタネが尽きない。
そうした中でもはじめの一歩を踏み出すには、どのような考え方に基づき、何から始めれば良いのか。Software ISACの共同代表2人が語り合った対談の内容を、一部変更・省略を加えたうえでお届けする。
構成:神田桂一 写真:神保勇揮
萩原健太
グローバルセキュリティエキスパート CSOインターバルリンク 代表取締役
undefined
襟川芽衣
コーエーテクモホールディングス取締役
undefined
企業へのサイバー攻撃のほとんどは「お金目当て」
襟川:まず最近のサイバー攻撃について教えてください。
萩原:サイバー攻撃の手口は、技術の進歩によってより巧妙になってきています。ウイルス付きのメールが来て、それを開いたら感染するという内容はよく知られていますが、攻撃はそのメールを送る前から始まっていることも多いです。
企業を攻撃する目的はとてもシンプルで、お金目当てなんですよね。例えば襟川さんの会社をもし攻撃するとなれば価値ある開発中のゲームデータなどを盗んで、それを公開するとか、売るとかして形にしたりするんです。
襟川:なるほど。私のいるゲーム業界でも、確かに昨年サイバー攻撃を受けて開発中のゲームデータを盗まれて「お金を払わないとデータを公開するぞ」という事件がありまして、人質ではなく“データ質”と言うんでしょうか。決して他人事ではない身近なものであると感じました。
そうしたサイバー攻撃に対してどのように戦っていければ良いのかについて、このあとお聞きできればなと思っております。よろしくお願いします。
萩原:それではサイバーセキュリティの特性からお話させていただきたいと思います。
写真左が襟川芽衣氏(コーエーテクモホールディングス 取締役)、写真右が萩原健太氏(グローバルセキュリティエキスパート CSO、インターバルリンク 代表取締役)
最近ではサイバーテロリズムとか、サイバー戦争なんて言う人もいるぐらい、日夜攻撃が繰り広げられています。「MITRE ATT&CK(マイター・アタック)」というアメリカ政府の支援を受けている研究団体があるんですが、そこによると現在110の犯罪グループがあると言われています。また、その構成員は国をまたいだ分業が進んでいます。ウイルスを作る人、お金を受け取る人、攻撃メールを送る人など。匿名性が高いので特定は難しいですけれど、分業が進んでいることもあってそもそも攻撃されていることが発見しにくいし、なかなか収まることがない特性があるんじゃないかと。
襟川:一つの組織で大体何人ぐらいで構成されているかはわかるんですか?
萩原:それはグループによって違うと思いますし、見えないところが我々にとって脅威だと思いますね。
襟川:見えない敵という意味でも脅威ですね。では、実際にどういった攻撃があるのでしょうか。
萩原:ひとつが「ばらまき型」です。不特定多数の会社や個人に攻撃を仕掛けるようなウイルス付きのメールを送ってみるフィッシングなどが行われます。
襟川:最近のメールは巧妙さがすごくて、アドレス保有者の名前がちゃんと書いてあるんです。ただ内容をよく見ると、身に覚えのない買い物に対して確認してくれとか、半角のスペースがよく分からないところに入っているとかっていう不自然な部分が多々あるので、フィッシングだとわかるんですけど。
萩原:最近のメールは翻訳機能がだいぶ強化されていて、フォントが日本語っぽくないものでも巧妙なので日本人が見ても判断がつきにくい。
襟川:巧妙化することで脅威がものすごく身近になってきている印象があります。
萩原:昨年「Emotet」というウイルスが出てきて、攻撃の仕方の一つとして襟川さんのメール情報を先に盗んじゃうんです。そうすると襟川さんがどういう人とやり取りしているか調べて、返信するような形で送られてくるんです。そうすると絶対開くじゃないですか。
襟川:確かに開きます。
萩原:そういったかたちで手口もどんどん進化しているので、おそらく普通の人は気づきにくくなっている現状だと思います。
まずは「一番重要な資産」を明確化することが必要
襟川:それはどうやって防げばいいんですか?
萩原:メール受信を受け付けなくするようなメールセキュリティにしているところもありますし、「サンドボックス(砂場)」という、隔離された専用の仮想空間を用意してそこでウイルスを一回実行させ、ウイルスかどうか判定する形になってきています。
襟川:勉強になります。
萩原:次に「標的型」の話をしていきたいと思いますが、標的型は最初から特定の組織や業種を狙っているタイプです。
襟川:先ほども話を出しましたが、ここ最近ゲーム業界が狙われているんです。業界の方にお聞きすると、ゲーム業界は「サイバー攻撃がありました」とニュースになると派手に見えて注目されやすい。攻撃者側からすると自分たちの存在を強くアピール出来る。今ゲーム業界は巣ごもり需要で業績が非常に良いという状況で、そういった会社に攻撃を仕掛けることで注目を浴びられる。サイバー攻撃集団というのは注目を浴びたいものなんでしょうか?
萩原:浴びたい人と浴びたくない人の両方がいます。当然ながらより厄介なのは「浴びたくない人」の方です。ゲーム業界が狙われるのはきっと新しいゲーム情報や重要なデータといった、盗むとわかりやすく目立てる資産がいっぱいあるからでしょうね。
襟川:新作の情報といったものですね。あとはeスポーツ大会など派手にイベントをやっているところに攻撃が入ってゲームが中断しスムーズな大会運営ができなくなるなど、とにかく引っ掻き回されている感じはします。
萩原:大きなイベントではそうした攻撃が実際に行われているので、今後確実に準備が必要ですね。
襟川:弊社でもオンラインゲームを手掛けていたので10数年前からセキュリティにはかなり力を入れて取り組んではいるんですけど、いたちごっこで終わりが見えなくて大変だなと思っています。
萩原:何でもかんでも守るというのは多分無理ですよね。大切なのは「何を守りたいか」を明確にさせることなんです。
襟川:そうですよね。
萩原:例えば極端な話、1万円しか入っていないお財布と100万円入っているお財布、それぞれ守り方が違いますよね。今は、何でもかんでもセキュリティ対策して、とりあえず守らなければいけない、とりあえずセキュリティ製品を導入しなければならないとなっているのが現状だと思うんです。本来は何を守りたいのかをきちんと把握した上で強弱をつけて守っていくっていう形にしないと、それこそずっと多額の投資をし続けなければならないです。
無料でできる「OSの設定見直し」だけでもかなりの対策が可能
襟川:どういう対策が必要なんでしょうか。
萩原:まずはウイルス対策ソフトで最低限守る。これは人間の予防接種のワクチンと同じです。
襟川:対策ソフトは当然入れるとして、他の初期対策はあるんでしょうか?
萩原:ネットワークに繋がった末端の機器、つまりPCやタブレット、スマホなどの「エンドポイント」のレベルなのか、ルーターなどの「ゲートウェイ」なのか、ネットワーク全体を指すのかで、それぞれに必要な初期対策があります。
その中でもエンドポイントで最も重要なのはウイルスメール対策です。企業に来るメールは9割が迷惑メールだというデータもあるぐらいなので、特定条件以外のメールが届かないような設定にするというのも一案です。
次に大事なのはセキュリティ製品を入れるのではなくて既存の資産を使うということですね。多くの方がWindowsのOSを使っているかと思いますが、実は無料で使える標準機能を使いこなせていない企業は多いです。ざっくりとした肌感覚で言うと、8割ぐらいの攻撃はOSの設定を強化するだけで守られるんです。
襟川:8割はすごいです。
萩原:なので、新しいセキュリティ製品はもちろん大事なんですけど、経営者からしてみると既存の資産を活用して守れるんだったらより良いと思います。あとは情報が万が一盗まれたとしても対応できるよう、重要データを暗号化しておくことが大事です。
襟川:なるほど。
萩原:その時のパスワード設定が「123456」とか簡単な内容だったらすぐ答えられてしまうので、そこは複雑にすべきですね。最近は「マイネームイズ○○」というような、パスワードをフレーズ化する「パスフレーズ」という考えも浸透しています。そうするとパスワードの文字数が長くなるじゃないですか。長いに越したことはないのでそういった形で設定する。そういったところも地味ですけど、すごく大事になってくる。
襟川:実は、全てのパスワードを一緒にしていたことがあったんです。
萩原:それは危ないですね。
襟川:なので全てのパスワードを別々にしたんです。ただ、それによって何がどれのパスワードなのか分からなくなってしまった。でもパスワードを全部パソコンに入れていたら結局盗まれてしまう可能性がありますよね。結局紙に書くといったようなアナログ手法で守っています。
萩原:それが一番正しい守り方だと思います。実は最高のセキュリティとはアナログなんです。
襟川:なるほど。萩原さんにサイバー攻撃からどうやって会社を守っていくかの話をいただいたんですけど、結局いくらお金をかければ良いんだとか、あるいはどこまでやれば良いんだっていったものは経営者が最終的に判断しなければいけないのかなということを感じました。
そのためには先ほどから何度もお話に出てきてますけど、自分たちの会社にはどういった資産があって、かつ何をサイバー攻撃から守るべきなのか、どこまで守っていくのかどうやって守っていくのか、経営者の人たちが意識をして考えていくということが大事なのではないかと今までのお話を聞いて思いました。
萩原:その通りです。
社内のセキュリティ人材候補は「コミュニケーション能力」で決めるべき
襟川:私がもう一つ気になっていることは、サイバー攻撃やセキュリティ専門の人材がいない会社も結構あると思うんです。そういった会社に専門の人材を入れた方が良いのか、あるいは会社のなかにいる人材をどうやって育てていったら良いのか。
萩原:セキュリティの専門家がいるに越したことないのは間違いなくて、できる限り育成していくということが大事なんですけど、データによるとアメリカは実に7割の企業にエンジニアがいる。日本の場合はITベンダーに頼っているので逆なんですね。その大きい構造は変わらないと思うんです。そういった中で大事なのが、社内技術人材の育成なんです。
襟川:なるほど。
萩原:技術も磨けば何とかなるんですよ。ただ、技術それ自体より重要なのは、技術者コミュニティ内でいかにコミュニケーションが取れるか、より多くの情報を得られるところを一つでも多く確保できるかといった活動ができる人材なんです。それはもしかすると営業に近いかもしれませんが、多かれ少なかれ会社にいると思うんです。
襟川:なるほど。専門的知識を持っている人間よりも、セキュリティのコミュニティで情報交換をきちんとできる人が適しているということですね。
萩原:そうですね。初めは技術を知らなくても良いので、会話ができる人であれば私は良いと思います。セキュリティ人材に必要なのはコミュニケーション能力、調整能力、実はそういったところが重要なんです。
襟川:そもそもそういったコミュニティがどこにあるのか分からないといった方たちもいらっしゃると思うんですけど、そういったコミュニティとしてSoftware ISACというものも重要な役割を果たしていくということでよろしいですか。
萩原:はい。繋げていただいてありがとうございます。Software ISACでも脆弱性に関する情報交換をしたり、セキュアコーディングの勉強をしたりと、コミュニティ活動をしています。あとはSoftware ISAC以外でもセミナーやイベントが沢山ありますし、サーバーの堅牢化を競うコンテストもあったりしますし、Software ISACに限らずですが、いろんなコミュニティがあるんです。
ちょっと宣伝になりますけども、Software ISACでは色んな形でコンテンツをつくって公開をしています。理事の坂東直樹さんと加藤智巳さんのお二人がIPA情報処理推進機と一緒に1年間魂を込めてつくった「情報システム開発契約のセキュリティ仕様作成のためのガイドライン」というのものがあるんですけど、あれはすごいです。
襟川:素晴らしいですよね。そして分かりやすい。セキュリティ初心者の私でも理解できるような書き方になっています。
萩原:ぜひ次回は加藤理事、坂東理事にも参加していただいて話していただこうかと思いますけど、このガイドラインは「STIG」という米国国防総省のセキュリティ対策基準、あるいはアメリカの「CIS(Center For Internet Security)」という非営利団体が定めたベストプラクティスのベンチマークで推奨される手法などを参照している、国際的にも通用するレベルでまとめた形になっていまして、魂がこもった形でIPAさんから出てるので、皆さんもぜひご参考にしてください。
今後もこういったものを皆さんのお困りごとを聞きながらつくっていきたいと思っております。
襟川:「Software ISAC」という名前からして、セキュリティに関して専門的な知識を持っている人しか入れないような組織なのかなと一瞬見えてしまうんですけど、実際は私のようにセキュリティ初心者が代表を努めていることもありまして、これからセキュリティについてしっかり考えていきたい、意識していきたい方も、お気軽にぜひ参加していただきたいと思っております。
今後もサイバー攻撃に対するセキュリティはものすごく重要で絶対に外せないものになってきますし、何か分からないことがあれば優しく、分かりやすく教えていただけるのでぜひとも皆さんご参加いただければなと思っております。
「何も知らない素人」こそSoftware ISACにぜひ参加を!
萩原:ここまで私がいっぱい今日お話ししてきたんで、最後は襟川さんの会社のお話を聞きたいと思います。セキュリティ対策において、どういった人材の取り組みをされているんですか?
襟川:私どものコーエーテクモホールディングスという会社ではフューチャーテックベースという部門がありまして、ゲームやツールの高度な開発などに加えてセキュリティ専門の人材が社用セキュリティツールをつくったり、どんなソフト導入するかを研究したり開発したりする専門の部署です。
萩原:そこで特別な教育が受けられるカリキュラムあるんですか?
襟川:ゲーム業界のなかでセキュリティ専門の組織が外にあるかというと今のところ私は存じ上げないので、もっぱら自社で頑張っているような状況です。
長年セキュリティに関わって高度な専門知識を持っている人材がいますので、その人が下の者を育てていったり、色々なところで開催されているセキュリティのコミュニティ会合もしくはセミナー、そういったところに新しい情報を取りに行ったりということをしております。
萩原:ソフトウェアの管理は大変じゃないですか?
襟川:そうですね。やはり一番課題になっているのがセキュリティのところです。開発中のデータを盗まれてしまうのも困りますが、DDoS攻撃をサーバーに集中的にされてサーバーが落ちてしまうということもあり、被害が自社だけでなくお客様にも広がってしまうんですね。
よく言われる、あれが本当にユーザーが一番迷惑をこうむる、遊びたいのに遊べない。データを盗まれたりするのはもちろん困るんですけど、被害をこうむるのは自分の会社じゃないですか。でもそうじゃなくて個人情報を盗まれるとか、あるいは遊びたいのに遊べない、お客様に迷惑がかかるじゃないですか。
その方がどちらかというと重要で、どうやってブロックしていくか。どこを守らなければいけないのかちゃんと見極めなさいよという話がありましたけど、でも全部守りたい。難しいです。本当に。
萩原:本当にセキュリティは終わりがない、守られて暴かれての繰り返しで終わりがないと仰ってましたけど、勉強する身としても知識をつけていく身としても終わりがない。
襟川:私なんかもセキュリティのことについて分かった気でいて、Software ISACのチームに入ったばかりの頃に全然そうじゃなかったということを痛感しました。
「ハニーポット」という単語を聞いて「はちみつ?美味しそうだな」と思っちゃうぐらい全然知識がなかった状態から勉強をしていくんですけど、新しいこと、もっと深いことを勉強しようと思うとどこまでもできるじゃないですか。知識が追いつかないんですよ。でも「最低限ここだけは押さえておかないといけない」というポイントは、今回の動画の話で十分だなと思っていて。
萩原:良かったです。
襟川:やらなければいけないこと考えなければいけないこと、決めなければいけないことというのが分かるんじゃないかなと非常に良い動画になったのではないかと私は思っております。