サイバー攻撃発生の予防だけでは不十分
被害が出たときの対策も重要
国内のほぼ全ての企業や組織は、サイバー攻撃に対する何らかの対策・対応を取り、日々強化している。しかし、日系企業のサイバーセキュリティーはファイアウオールの設置などによる、サイバー攻撃を受けないための施策が重視される傾向にある。しかし、サイバー攻撃も組織として対応すべき危機の一つとして、発生を予防するだけでなく、発生を早期に検知し対応を可能にする仕組み・報告体制や、サイバー攻撃を受けた際に被害を軽減するための取り組みも重要である。
さらにいえば、多大なコストと時間をかけた攻撃を実行可能な国家主体によるサイバー攻撃が増加している状況においては、予防策よりもむしろ攻撃を受け、何らかの被害が発生することを前提にした軽減策がより重要であるといえる。
つまり、危機管理の鉄則でもあるが、仮にサイバー攻撃を受け何らかの被害が発生してしまった場合、適切な対応を怠れば被害の拡大要因となる。さらに、一部のサイバー攻撃はどんなに強固な予防措置を取っていたとしても完全に防ぐことは困難である。
仮に、外部からのシステムへの侵入を完全に防ぐシステムを導入していたとしても、自社の導入しているシステム内に、未公表で修正プログラムが提供されていない未知の脆弱性、いわゆるゼロデイを悪意のある組織が先に発見してしまえば、既存のサイバーセキュリティーシステムはほとんど無意味なものとなってしまう。また、重要なシステムを外部のネットワークに接続させずスタンドアローン化し、外部からの侵入を防いでいたとしても、自社の関係者やベンダーが攻撃の入り口になる可能性がある。
例えば、米国政府やイスラエル政府が関与していたとされる(両国政府は否定)、イランの原子力施設に被害を与えた「スタックスネット」は、スタンドアローン化された遠心分離機を制御していたPLC(産業機器の制御システム)に対して攻撃が実施された。この攻撃では、特定PLCのゼロデイ脆弱性を突いた異常作動プログラムが組み込まれた攻撃ウェアを格納したUSBメモリーを、出入りするベンダーに提供することで攻撃が実施されたとされている。この攻撃によりイラン国内の1000基程度の遠心分離機が破損し、イランの核開発は数年単位で遅延したといわれている。
同じような攻撃が日本国内で実施される可能性があり、既に重要な工場やインフラ施設の内部システムに、攻撃用のアクセスルートとなるバックドアが構築され、水面下で攻撃準備が進められている可能性すらも否定できない。そして、国家間関係の対立激化は、国家が主導する予防の困難な高度なサイバー攻撃の脅威の増加に直結するといえる。
