サイバーセキュリティに求められるバランス感覚

サイバーレジリエンス
改めて考えたい、サイバーセキュリティの定義
 今月からサイバーセキュリティに関するブログ連載を行うことになりました。サイバーセキュリティという言葉は、なかなか日本語訳が難しいのですが、ネットを活用したビジネスやプライベート全般にわたって(=サイバー)、安全と安心を提供する(=セキュリティ)、という理解でよいと思います。日本人の感覚だと、なぜサイバーなの、と思うひとも多いでしょうが、英語では、ネットと人間の相互作用で生まれる距離を超えたコミュニケーションの空間を、サイバースペースと言っているのです。

 つまりサイバーセキュリティという言葉が使われるときには、人間の経済活動や文化活動を、オンラインであっても安心、安全に保っていこう、という社会的なコンセンサスが暗黙のうちに込められているわけです。これはなにも一握りの専門家が勝手に言っているわけではなくて、国連の専門機関や世界の指導者が集まる世界経済フォーラム等で10年ほど前から議論され、国際的なアジェンダとして採択されている、世界共通の課題なのです。
自社の商売の安心、安全を守るのが、サイバーセキュリティ
 残念ながら日本では、サイバーセキュリティというと一部の専門家に任せておけばいい話だと考える人も少なくないと思います。しかし自分たちの財産や、自社の企業秘密や、プライベートな情報が危険にさらされたときに、ヒーローがいきなり現れて守ってくれると考えるのは甘すぎると思います。自分たちの財産や、自社の企業秘密や、プライベートな情報をどこに置いたのかを管理するのはあくまで自分たちですし、出入り口にガードマンを雇うにしても、犯罪者がやってきたときだけガードマンを雇うというのはかなり無理のある話です。サイバーセキュリティも同様で、一般のユーザ企業でも情報やシステムの自己管理がしっかりできていることが前提で、その上でサイバーセキュリティ専門企業などの警戒情報や防御サービスを普段からしっかり活用する、という役割分担が前提になっているわけです。

 専門家に動いてもらうわけですから、当然、お金がかかります。

 「サイバーセキュリティが大事なんです」、で上司を説得できない会社は少なくないと思いますが、「我が社のオンラインでの商売の安心、安全がかかっているんです」と言われて重要性が理解できない上司はまずいないと思います。このように適宜、上層部の方が理解できる言葉に置き換えて重要性をアピールすることも大事です。

 逆に上層部の方が技術に詳しい場合、おい、標的型攻撃の対策は大丈夫か、うちの会社は CTF (Capture The Flag: セキュリティ解析技術を競うコンテスト)に出なくて大丈夫か、海外のX社のセミナーに行って来たが、あの製品は凄いぞ、といった情報をよく聞かされることでしょう。一定の投資はしているものの、不安になることも多いのではないでしょうか。
サイバー攻撃の91%は人間の脆弱性を突くフィッシング攻撃から始まる
 サイバーセキュリティを考える上で重要なのは、バランス感覚です。そもそもサイバースペースというのはコンピュータとネットワークが沢山つながって、それを数多くの利用者が使っているわけですから、コンピュータのソフト、ハードの安全性を向上させるだけでは片手落ちです。ネットワークの安全性も重要ですし、利用者がネットワークを安心して使えるようにすることも大事です。また、価値観や宗教の異なる利用者同士のいがみ合いなど、技術だけでは解決できない問題もたくさんあります。メディアでサイバー攻撃として報道される事件には、これらがごちゃまぜになっています。

 アクセリア社にて展開するオンライン学習コンテンツ crash.academy では、サイバースペースにおける安全性を考える上で、5種類の脆弱性に分類してバランス良く検討をすすめるよう解説しています。

 5種類の脆弱性とは、「ソフトウェア脆弱性」「設定の脆弱性」「プロトコル脆弱性」「ハードウェア脆弱性」そして「人間の脆弱性」です。動画より活字のほうがしっくりくる、という方は、サイバーセキュリティと経営戦略研究会著「サイバーセキュリティ」(NTT出版)をご覧いただければと思います。

 例えば、「サイバー攻撃の91%は人間の脆弱性を突くフィッシング攻撃から始まる」、というレポートが最近発表されました[1]。このフィッシング攻撃には、日本でいうところの標的型メール攻撃も含まれます。では、御社でセキュリティ対策に投資するときに、人間の脆弱性対策は優先順位の何番目でしょうか。

 このように本ブログでは、リスクの種類を見極め、サイバーセキュリティのバランス感覚を養い効果的な対策につなげるためのヒントを今後も発信していきます。お楽しみに。

 なお、アクセリアは様々なインフラ技術を駆使し、高い耐故障性と安定した性能を継続して提供することでサイバーセキュリティ水準の向上に貢献しています。crash.academy 「標準サイバーセキュリティ」シリーズでは、国際標準にのっとったサイバーセキュリティの基礎概念を学ぶことができます。

参考文献
[1] “2016 Enterprise Phishing Susceptibility and Resiliency Report”, PhishMe, 2016.

■関連ページ
【アクセリアのサービス一覧】
 ・サービスNAVI

門林 雄基

アクセリア株式会社 主幹研究員
奈良先端科学技術大学院大学 先端科学技術研究科 教授
日欧国際共同研究「EUNITYプロジェクト」日本側研究代表
WIDEプロジェクトボードメンバー

◆crash.academyで動画講座公開中です。(動画視聴には会員登録が必要です。)
https://crash.academy/lecturer/kadobayashi