KDL BLOG
アメリカ人から見る日本のサイバーセキュリティ
本記事は、内閣サイバーセキュリティセンターの2018年サイバーセキュリティ月間「サイバーセキュリティ ひとこと言いたい! 」に寄稿したものです。
私はアメリカ生まれアメリカ育ちで若い頃よりセキュリティの勉強に力を入れてきました。12年前から神戸で様々なセキュリティサービスを行っています。幼少期から日本に強い憧れがあり、何より平和が好きなので日本に永住する事を決めました。この先もずっと日本のサイバー空間をより安全なものにするため、微力ながら社会貢献する予定です。
アメリカと日本の文化、特にサイバーセキュリティに関する文化のギャップは大変大きく、日々どちらの考え方が適切なのか、日本人にどのように説明すれば海外の考え方を理解して貰えるのか悩み続けてきました。時折、長年の日本生活からどちらかと言うと心のあり方が日本人寄りになって来たせいか、アメリカや海外では正しいと思われている事に疑問を持つようになることもあります。
いずれにしてもサイバーセキュリティに関しては、半分日本人・半分アメリカ人の心をもつ私から見ると正直なところ、アメリカは「攻撃的過ぎ」、逆に日本は「平和ボケし過ぎ」のように見えます。
平和に見えても攻撃されている日本
米政府はスパイ活動で他国の政府機関や重要インフラの情報収集、いざという時にそれらを破壊できるようにハッキングしていると言われています。全ての国でスパイ活動は昔から行われており当たり前の事だと主張する人も居ますが、米政府がそのような国家を脅かすレベルでのハッキングをするなら、他国も同じ技術を開発して逆にアメリカの政府機関や重要インフラに不正アクセスしたり、重要インフラ等を破壊したりすることもできてしまいます。特に過去に被害を受けた国はいつかこっそり復讐する危険性が高いと考えられています。
世界的に見ても日本は平和な国で、私としてもいつまでもこの平和を保ち続けて欲しいのですが、問題はサイバー空間に安全を保ってくれる国境がないということです。現状を例えると、四六時中海外から強力な武器で攻撃を受けているにも関わらず、多くの人は武器も持たず無防備でその攻撃に気づきすらしていないようなものです。
人は、危険が迫っていても 目で被害を確認するまで対策を講じない傾向があるので、殆どの組織は自らが被害に遭うまでセキュリティにそんなに投資をしません。インシデントが起こる前に対策すれば被害をかなり低減できる可能性があるのに、多くの組織が対策を取らずに事故後にやっとその重要性に気づくのです。
被害を防ぐには攻撃を防御する必要がありますが、まずは「どんな攻撃があるのか」を知る必要があります。例えば将棋のように、相手の駒がどのような動きをするのか、相手がどの戦略で攻撃してくるのか分からなければ、自分の駒を防御できる訳がありません。そして自分の駒をどうするのか、確実に意思決定していかなければなりません。
システムとデータを法で守るアメリカの常識
今、日本には、システムと攻撃技術の両方をしっかり理解しているペンテスター(別名:ホワイトハッカー)の活用が必要だと思います。加えて、社会・企業にとって不可欠なシステムを攻撃から保護するため、ペンテスト(侵入テスト)を必須とするコンプライアンス(法律)の整備も必須です。
海外のコンプライアンスの例として、PCI-DSSやHIPAA等があります。これで完成されたものというわけではなく、またそれらの規制だけで100%のセキュリティではないのですが、それでもほとんどの組織は自主的には投資・対策しないことを考えると、コンプライアンスの導入は大変有効なセキュリティ対策の動機付けになります。
実際、 アメリカではコンプライアンスを導入した結果、国家のセキュリティが相当上がったと考えられています。是非、日本でも法律としてセキュリティ対策のコンプライアンス導入を検討して欲しいです。
実際にサイバー・インシデントが起きた場合の話をしましょう。私がインシデント対応するほとんどの場合、不正アクセスされた事を確認できるものの、実際に何が漏洩されたかは完全には分からないことがあります。被害を受けた会社は通常の運用で、パケットキャプチャやログの証拠を取っていなかったからです。日本では、証拠が無い場合は報告しなくても良いので、その被害を公表せず隠すことが容易です。
アメリカの場合は、データが漏洩されたという証拠が無くても、不正アクセス・端末の紛失等が確認できれば、法律上でそのシステムにあった全てのデータが漏洩されたという前提でその被害を公表しなければなりません。日本の企業にとっては被害を隠すことが出来れば見かけは「ラッキー」かも知れませんが、その情報漏えいの被害者や日本のサイバー空間の安全性においてはひどくアンラッキーなことです。
こうした問題は、ペンテスターによる侵入テストを事前に受けていれば、事前の対策も明確に強化されますし、ひいては何かあったとしても状況を把握しやすくなります。
まずは危機の認識を
現在、セキュリティはバブル状態で、オリンピックが終われば需要が急に下ると言うようなことを言われていますが、むしろその逆ではないでしょうか。国防の観点からすれば、核兵器の普及で物理戦争ができなくなってきているので、これからの争いは殆どサイバー空間で行われると考えられています。(実は既に行われています。)そのため、多くの国は随分前からセキュリティの最先端技術に相当の投資をしています。
日本でも大きな被害を受ける前にこの重大な危機を認識しなければなりません。政府も企業も総力を上げて、まずこの問題に取り組まなければなりません。さもないとずっと他国に遅れを取り、通常の経済活動さえままならないことになるでしょう。
私としては、ペンテスターとして技術を高めること、そしていずれもっと必要になる技術力の高いペンテスターを増やすこと、会社の情シスや一般の人でもどのように攻撃されるのか理解できるような教育活動に努めて行きます。
寄稿:マシス・ザッカリー
セキュリティソリューション部シニアコンサルタント