「入られない」ことを前提にした
セキュリティ対策は完全に時代遅れに

 今回のテーマも、これまで何度もとりあげてきたサイバーセキュリティについてです。私は、この5月以降、米国や英国、フランス、シンガポール、イスラエルなど9ヵ国以上で、イベントでの講演、参加者との議論などを行ってきましたが、その中から興味深い話をいくつか紹介したいと思います。

(1)サイバー犯罪者の昨今の動きについて

 世界には多くの国がありますが、国によってモラルは大きく異なります。ある国ではサイバーセキュリティを担当する公務員が、アルバイトで悪事に手を染めることも少なくないそうです。また、データを「コピーする」のは、盗んだことにはならないという国や地域もあります。その理由は、元のデータは残っているんだから盗ったことにはならないから、だとか。世界は広いんですね。

 最近、話題となったサイバー犯罪は、ある国の政府機関に侵入し、ハッキング情報のデータを半分公開して、残りを公開されたくなければビットコインを送れ、という脅迫行為です。ソフトウェアの中には「ゼロデイ」、つまり、脆弱性が発見されたものの解消する手段がない状態で脅威にさらされる状況のものもあって、関係者は青くなっています。ちなみに、 脆弱性が発見されて修正プログラムが提供される日を「ワンデイ(One day)」といい、それより前にその脆弱性をアタックすることは「ゼロデイ攻撃」と呼ばれています。

 サイバー犯罪のニュースは、この数ヵ月で一気に増えたような気がします。以前は「企業には2種類あって、ハックされた企業か、ハックされたことに気づいていない企業だ」とよく言われていました。それが最近は「企業には2種類あって、盗むに値するデータを持っていてハッカーに狙われる企業か、大したデータを持っていないから狙われない企業だ」と言われています。もちろん、ジョークですが、ハッカーに狙われることが会社の名誉みたいに言われているんですね。

 サイバーセキュリティでは、「入られない」ことを念頭に置いた防御は、この連載でも何度も言っているようにもはや時代遅れです。これでは、いったん侵入されたら犯罪者のやりたい放題になってしまうからです。あるいは内部者の犯行だったときには、最初から社内ネットワークのどこにでも入っていくことができてしまいます。

 ですから現在は、社内でさえも信用できないという前提の下、常に検証し続ける「ゼロ・トラスト」の発想で、いろいろな段階で防御するセキュリティに取り組むことが世界のトレンドとなっています。リアルの世界でも、たとえば経理部のフロアに営業の人間が用もなくウロウロしていたら、「こいつはおかしい」となるはずです。それと同じように、すでにアルウェアや悪意のある社員が社内ネットワークに入り込んでいることを前提に、すべてのトラフィックの検査、ログ取得などを徹底し、重要な情報の流出を防ぐための多層的な対策が必要なのです。