「漏れた年金情報」――。6月1日に発生した日本年金機構の情報漏えい問題は日本中を震撼させ、日本の情報セキュリティ体制への警鐘へとつながっている。日々、営業の最前線で多くの情報を取り扱うビジネスマンにとって、情報セキュリティ体制というと馴染みがなさそうだが、漏えい元が個人のメール開封にあることからすると、全くの他人事とはいえないだろう。
一方、日々報道されるニュースだけでは情報セキュリティ体制の現状が広く認識されているとはいえない。企業のマネジメント層に求められるセキュリティの正しい認識のため、日本のセキュリティ企業としては初めて標的型サイバー攻撃など近年の脅威に対する対策技術の研究開発に特化した事業を展開し、日本年金機構へのサイバー攻撃など多数の標的型攻撃で使われたマルウェア(悪質なウイルス)をいち早く検出・防御する事に成功しているFFRIの鵜飼裕司社長に話を聞いた。
備えるべきは「未知の脅威」
――今回発生した日本年金機構の漏えい問題について、どのような背景があるのでしょうか。これまで、日本はサイバーにおいてもガラパゴスといわれていましたが、ここにきてあきらかに日本を標的にしたサイバー攻撃が増えている原因は何なのでしょうか。
日本年金機構の件もそうなのですが、特定の組織を狙った「標的型」と呼ばれるサイバー攻撃は、実は国内でも2011年頃から多数報告されており、全く目新しい話ではないと思っています。具体的には、日本の防衛産業を狙ったマルウェアにより、重工関連の企業・組織が複数狙われ、防衛機密が漏えいしたという話が取りざたされました。その後も立て続けに官公庁や議員などが攻撃の対象となり、被害を受けました。この事件を受けて国内でも、2012年頃から特定の組織を狙ったサイバー攻撃である「標的型攻撃」というものが認知されるようになりました。
「標的型攻撃」とは、あらかじめ狙いを定めた特定の組織や企業に対して作り込まれたマルウェアをターゲットに送りつけ、感染したターゲットのPCを遠隔操作するなどして、主に情報を抜き取ることを目的とした攻撃です。年金機構に対しても同じようなことが行われており、今後もこのような事案は増加していくものと考えられます。
――標的として官公庁が狙われているのは何か理由があるのでしょうか。
アンダーグラウンドな世界がIT化し、さらにビジネスとして産業化していることが挙げられます。官公庁などが持っている機密情報に経済的価値を見いだしている集団や個人が、金銭目的でそれを狙っているということだと思います。
一般的な人が受ける印象として、情報漏えいによりセキュリティが破られると被害を受けた側に問題があるように感じてしまいがちですが、実は攻撃された側もまったく対策を行っていなかった訳ではなく、それなりに情報セキュリティ対策を講じています。一方、そうして講じてきた情報セキュリティの防御体制が前時代的なものとなってきており、ここ数年で外部環境がガラッと変わってしまってきていることが問題の本質であると考えております。
少し前までは「これで大丈夫だ」というセキュリティ対策が今は全く効かなくなっているのです。例えば、今までは「ウイルス対策ソフトさえ入れておけば大丈夫」だと思われていましたが、今はそうとはいえなくなっているのが現状です。