政策と産業の最新動向を伝え、解説する“クオリティペイパー”


パネルディスカッション
「今求められるサイバーセキュリティ対策」~官民連携による研究開発と実践、そして教育~

モデレータ IPA 技術本部セキュリティセンター長 江口 純一氏

 パネリスト ロニ・ザハヴィ氏
伊東 寛  氏
北山 正姿 氏

独立行政法人情報処理推進機構(IPA)セキュリティセンター長 江口 純一氏

独立行政法人情報処理推進機構(IPA)セキュリティセンター長 江口 純一氏

江口 モデレータを務めるIPA・SEC(セキュリティセンター)長の江口です。IPAは1970年に創設された組織で、情報セキュリティ、安心・安全なコンピュータプログラムの設計、人材育成の3つのミッションを持っている。

このパネルでは7つアジェンダがあるが、まず標的型サイバー攻撃の脅威について議論をしたい。現在では多くの組織や企業が標的型攻撃のターゲットになってきており、ネット経由のスパイ活動により情報流出事象が起きている。

最近は取引先や関連会社を踏み台にして本丸の情報を狙う事象も出てきている。日本で標的型攻撃が出てきたのは5年前の重工業を狙った情報流出からで、その後、議員会館、ソニー、年金機構、JTBなどへの攻撃がメディアを賑わせた。

ところで、イスラエルでは同様な攻撃は今でもあるのか?最近の新しい情報があれば教えて欲しい。
ロニ 同様な攻撃は今でもあります。イスラエルはCS立国と言われ続けてきており、CS対策に関しては常に皆、オープンに対応する。まず、1つはイスラエルの産業は新しいCS技術のパイロットやテストベッドになることを喜ぶ。例えば2大銀行は、スタートアップ企業の新しいソリューションのために、未熟な段階にあってもDB(データベース)を開放しインキュベータの役割を果たす。

2つめは起きた事象に対し、自分だけのものとしないで必ず「情報共有」する。3つめはサイバービューローは問題が起きた場合、『トロイの木馬』にならないよう、事前にインシデントを探して解決していく仕組みにしている。
伊東 最近、企業の技術情報から個人情報に狙いが変わってきたように見える。私はそうは思わない。技術情報が漏れても企業は発表しなくても咎められません。しかし個人情報保護法が出来たため、企業は個人情報を流出させたら隠せない。情報漏えい報道が増えたためそう感じているだけだ。
北山 私も同感だ。潮目は特には変わっていないと思う。漏えい報道は氷山の一角に過ぎない。イスラエルの人たちと話すと、最近はソフィスティケートされた攻撃、つまりバレないように侵入し、わからないように盗んで出て行っている。

発表で出たものは、下手を打ったり、公表自体が目的のものだ。狙いはクレジットカードやパスワードの番号などお金になるものだが、パスポートは何の目的かよくわからない。表面に現れてきていないものを考えると少し怖い気がする。
伊東 5月のサミット前に警察や政府機関に対するDOS攻撃が多発していた。JTBはサミットの警備を一手に引き受けていた会社で、これらを考え合わせると、これら攻撃は相手の国のCS対策能力を探る『偵察』であると思う。

しかし、今回のJTBの事象は攻撃の要領が違うので検証が必要だ。東京オリ・パラもあり、イベントに対して、敵はどういう目的なのか?相手は誰か?何が欲しいのか?その観点で守りを考えていくべきであろう。

20161015_10