ツ チ ヤ 教 授 の P大 人 の 社 会 科 見 学 哲学者でありコラムニストでもあるツチヤ教授が、 みずほ情報総研のさまざまな〝現場〟 を訪問。 ソリューションやサービスが生まれる 舞台裏をご紹介します。 〉 〉 第 回 〈〈 サイバーセキュリティ対策を 支援する現場を見に行こう 金融ソリューション第1部の中村と申します。 巧妙化するサイバー攻撃に プロアクティブな組織で対応する 中村 私が所属している金融コンサルティングチームは、金 融機関向けに事務リスクを計量化するオペレーショナ ルリスク管理や、アンチマネーローンダリング対策な ど の 支 援 を 行 っ て い ま す。 そ の 中 で 私 は、 サ イ バ ー セキュリティ対策のコンサルティングに携わってい ます。 現在、日本には思想目的や金銭目的などさまざまな サイバー攻撃が行われていますが、特に金融機関に対 し て は、 不 正 送 金 や フ ィ ッ シ ン グ な ど 金 銭 を 狙 っ た 攻撃、また機密を狙った攻撃が多く発生しています。 ・1 億円に達しています。 2014 年のインターネットバンキングなどにおける 不正送金の被害額は 歳と書いたことがあったなと 中村 米国の企業は、個人情報を使って得られる効果 力するだけでいいんですが。 な い︵ 笑 ︶ 。 米 国 のWe b サ イ ト は 最 小 限 の 情 報 を 入 ︵笑︶。正直に年齢を書くと、お墓の案内ぐらいしか来 考えたら、でたらめに 案内の電話がかかってきて、なぜだろうと思ってよく 土屋 日本のWeb サイトは、登録の時にいろいろな 情報を入力させられますからね。ある日ブライダルの き取られる事例もあります。 中 村 We b サ イ ト に 関 し て は、 サ イ ト の 改 ざ ん や、 申し込みフォームに入力された個人情報が外部から抜 ティ対策が十分でない面があるんだろうと思います。 土屋 そうなんですよ。大学にもよると思いますが、 予算の関係で古い機器を使い続けていたり、セキュリ み台になるケースって、実はとても多いんです。 しています。大学の研究室のパソコンがこの攻撃の踏 土屋 そんなにあるんですか。 中村 はい。大量に、かつ集中的にWeb サイトにア クセスしてサーバーを止める﹁DDoS 攻撃﹂も増加 29 22 10 12 と個人情報を持っていることで生じるリスクとを、計 量化して見比べているのだと思います。最近は、あえ て個人情報を持たない日本企業も増え始めています。 多くの人が閲覧するサイトにマルウェアを仕掛けて 感染させる﹁水飲み場型攻撃﹂も増えています。企業 は自社のサイトが〝水飲み場〟として利用されないよ う注意し、自社のパソコンが感染した場合にはすぐに 検知できる仕組みを作る必要があります。 土屋 水飲み場に行くなというのも無理ですからね。 中村 業務上必要な公式Web サイトを閲覧しただけ で感染してしまうこともあります。日本年金機構の個 人情報漏えい事件のような、特定の組織を狙った﹁標 的型攻撃﹂も増加しています。海外では7600万世 帯のデータが流出した事案がありました。 ツチヤ教授 ─ 侵入されることを 前提に対策するんですね 中村 サイバー攻撃がビジネスに与えるインパクトも 大きくなっています。世界経済フォーラムの2014 年版﹃グローバルリスク報告﹄でも、サイバーセキュ リティは5 大リスクの1 つに数えられています。 サイバー攻撃対策においても、従来のようにアラー トが出たら対応するリアクティブなものでなく、もっ とプロアクティブに、組織内や外部の情報を収集しな がら対策に活かしていく組織が必要になっています。 土屋 やはり、そういう組織が必要だという意識が高 まっているんですね。 ︵シーサート︶﹂︵*︶と 中村 はい。各企業で﹁ CSIRT は、 消 防 い う 組 織 が 構 築 さ れ 始 め て い ま す。 CSIRT 署のような存在です。消防署には、火災通報を受ける 役割、火災情報を関係各所へ報告する役割、消火活動 を行う役割、火の用心を呼びかける役割が求められま です。 CSIRT す。サイバーセキュリティ分野でこれらの役割を担う のが N av i s 0 3 0 – M a y 2 0 1 6 13 土屋 賢二(つちや けんじ)氏 1944 年、岡山県生まれ。お茶の水女子大学名誉教授。柔らかな語り口の哲学論集・講義集のほか、 数多くのユーモアあふれるエッセイ集でも知られる。趣味はジャズピアノ。 ユーモアエッセイ集には『妻と罰』 『ツチヤ学部長の弁明』 『紳士の言い逃れ』など多数。 ほか『ツチヤ教授の哲学講義』 『哲学者にならない方法』など。 さ せ ま す。 次 に、 社 内 の パ ソ コ ン や サ ー バ を 探 し ま 急時対応計画の策定、規程やマニュアルなどドキュメ す。管理体制の整備やリスク評価のプロセス作成、緊 社でも金融機関向けに、サイバーセキュリティ対策組 リティ対策を行う組織体制の構築を求めています。当 中 村 金 融 庁 も 監 督 指 針 や 検 査 マ ニ ュ ア ル に﹁ サ イ バーセキュリティ管理﹂という項目を新設して、セキュ 防ぐことができます。それぞれの段階で防御の手を打 てどこかの段階で止めることができれば、情報流出を 土屋 一度に侵入してくるわけではないんですね。 中 村 は い。 で も、 た と え 怪 し い メ ー ル を 開 い て し まった人がいても、続く攻撃をリアルタイムに検知し にデータを外部へ送信するのです。 てきます。そして、それらのファイルを収集し、最後 わって重要情報を見つけ出すマルウェアが送り込まれ ント作成、訓練の実施などを支援しています。当社は つ仕組みを作ることが重要なのです。 土屋 なるほど。 銀行系のコンサルティング会社ということで、実体験 織を構築するためのコンサルティングを行っていま に基づいた支援ができるのが強みだと思っています。 います。我々はそうした要員の確保も含めた人材育成 て経営陣に伝えることができるハブ人材が求められて ティ対策ができる人材や、セキュリティの話を咀嚼し もしれませんし、その逆もしかりです。ですから、攻 中村 十分あり得ると思います。自社にとっては重要 な情報でも攻撃者にとっては魅力のない情報もあるか 人も世の中にはいるかもしれませんね。 はそれほど価値はないと思いますが、それだけで喜ぶ 土屋 なるほど。大学の場合だと、一番重要な情報は 知的財産でしょうか。成績表や身長・体重のデータに キュリティを導入することが大切です。 威 や 守 る べ き 情 報 資 産 を 把 握 し て、 そ れ に 応 じ た セ ただ、セキュリティはコストとトレードオフでもあ りますから、自社の規模や経営状況、晒されている脅 土屋 そうですよね。僕みたいな男でも、もし、僕が 銀行だったら、信用してもらえますもん。 を組織するた プ ラ ン の 策 定 も 支 援 し て お り、 CSIRT めに必要なスキルセットの定義や、委託先の選定もお 撃者の動機を考えることが大切です。 中村 課題となるのは人材育成です。セキュリティ対 策 で 重 要 な の は 結 局 の と こ ろ 人 で す か ら、 セ キ ュ リ 手伝いしています。 ツチヤ教授 ─ 便利だとそのぶんリスク も高くなるんですね 土屋 うかがっていると、対策にはまず人の意識の変 革が第一という感じですね。これまでは金庫の壁を厚 く す れ ば 対 策 は 万 全 だ っ た で し ょ う け ど、 イ ン タ ー ネット上での不正送金となると、どうしたらいいのか 中村 また、サイバーセキュリティ対策は一組織だけ では立ち行かないものですから、外部機関との連携が 見当がつきません。 中村 ですから今は、攻撃者に侵入される可能性があ ることを前提に対策を打つことが求められています。 や、ベストプラクティスの共有を行っています。 求められます。日本シーサート協議会など情報交換を 撃を仕掛けてきます。最初の攻撃でマルウェアを侵入 土屋 防御不可能だということを前提に考えるんですね。 させたら、システムに裏口を作り、いつでも外部から 土屋 僕は以前から、大学のセキュリティ対策に関し て、国で統一的な対策を講じるような機関を作ってく という組織では、金 行う場もありますし、金融 ISAC 融機関が集まって、情報共有用のプロトコルの標準化 アクセスできる状態にしておいて攻撃指示を出すので れないかと思っていたんですが、それに近いですね。 中 村 そ う で す。 現 在 の 攻 撃、 特 に 標 的 型 攻 撃 は、 ﹁サイバーキルチェーン﹂といわれる段階を踏んで攻 す。そして、マルウェアを他のコンピュータへと拡大 14 Pみずほ情報総研白山事業所にて のぶんリスクも高くなっているんですよね。 土屋 利用者側からすると、今の銀行はスマートフォ ンで入金や送金ができるので使いやすいんですが、そ 中村 こうした業界団体によるセキュリティへの取り 組みは、教育現場にもきっと波及すると思いますよ。 業したのにと思っていましたけど、セキュリティ対策 土屋 それは重要なセールスポイントになりますね。 銀行はなぜATM で手数料を取るのか、全部自分で作 中村 海外では、セキュリティポリシーを公開する銀 行も出てきています。 ザ・ミドル攻撃﹂や、﹁マン・イン・ザ・ブラウザ攻 なサイトにアクセスさせられてしまう﹁マン・イン・ 正規サイトにアクセスしたつもりがいつの間にか不正 で、その動きが進むと、企業や銀行のセキュリティ対 イバーセキュリティ体制に関する質問が出ていますの らいのです。ただ、いくつかの銀行の株主総会ではサ 中村 セキュリティ対策は、どういう手段を導入して いるか公言できないことも多いので、外部から見えづ のために手数料が必要だといわれると納得できます。 撃﹂という手口もあります。 策の度合いが見えやすくなるかもしれません。 中村 そうですね。マルウェアに感染したパソコンを 使ってインターネットバンキングにアクセスすると、 ターネットバンキングがなかなか使えないんですよ。 土 屋 そ う な ん で す か。 僕 は な ん だ か 怖 く て、 イ ン こ れ か ら の イ ン タ ー ネ ッ ト 利 用 者 は、 常 に﹁ 考 え る﹂ことが大切です。フィッシング対策協議会では、 ネットバンキングのセキュリティを強化するため、各 る﹂ことも大切です。たとえば、公衆無線 ま っ て 考 え よ う と 呼 び か け て い ま す。 常 に﹁ 自 衛 す ﹂というキャンペーンを ﹁ STOP, THINK, CONNECT 行い、インターネットを利用する際には、まず立ち止 中村 そこで、我々はみずほ銀行に﹁トランザクショ ン認証﹂という仕組みの導入を薦めました。インター 銀行はユーザーに、一定時間だけ有効な﹁ワンタイム を使 パスワード﹂を生成する機器を提供しています。この されているのですが、これだけ攻撃が高度化してくる 対策基準に準拠していますから、相応のレベルは担保 中 村 多 少 の 違 い は あ り ま す。 日 本 の 金 融 機 関 は FISC ︵金融情報システムセンター︶が定めた安全 土屋 金融機関にはそんな風にセキュリティレベルの 違いがあるんですか。 引が成立せず、不正送金を防ぐことができます。 えられても、パスワードが一致しないということで取 のため、攻撃者によって振込先が異なる口座に書き換 ベースにしたワンタイムパスワードを生成します。こ 証では、作成時刻に加えて振込先の口座番号情報等も パスワードを生成します。一方、トランザクション認 機器は、パスワード作成時刻を暗号化してワンタイム うな仕組みづくりをお手伝いできればと思っています。 伴いますので、安心安全にいろいろなものが使えるよ しては、Io T の活用には必ずセキュリティの問題が みづくりができないかと考えています。また新分野と 今後はどういうことをしたいですか。 中村 日本の金融機関のサイバーセキュリティレベル 向上が目標の一つです。たとえば、街の小さな金融機 いようにしようと気を付けています︵笑︶。 土屋 なるほど。僕は、恥ずかしいメールや文章を盗 み読みされてもいいように、普段からあまり気取らな よう心がけるべきです。 能性を前提に通信を行い、重要情報をやり取りしない う必要がある場合は、第三者から盗み見られている可 ︵ Computer Security Incident Response Team ︶ * CSIRT 複数部署間および社外とも情報交換しながら情報セキュリティに 組織的に取り組む、専門知識を持ったインシデント対応チーム 関でも高度なサイバーセキュリティ対応ができる仕組 と、基準に準拠するだけでなく、自律的な取り組みが 必要になります。 土屋 できればセキュリティのしっかりした銀行に預 けたいですよね。 N av i s 0 3 0 – M a y 2 0 1 6 15 L A N
© Copyright 2024 ExpyDoc