デスクのPCに向かい、さまざまな情報に目を通し、ソースを確かめ記事を書く。または、都内を駆け巡りイベントに参加し、そのレポートを書く。これが『情シスNavi.』公認ライターの私の日常である。
新旧問わず、あらゆるITに触れる毎日。それ自体は刺激があり、物書きのはしくれとしては楽しくてよいのだが、ふと“どこか遠くに出かけたい・・・”、そう思うことが間々ある。
そんな感情を抱いているところに、ある記事に目がとまった。

『セキュリティ・ミニキャンプ in やまなし2018』2018年9月22日〜23日開催−−

なんでも、一般社団法人セキュリティ・キャンプ協議会が各地で開催している情報セキュリティ講演だという。開催場所は甲府市の山梨大学。都内から２時間でアクセス可能だ。「小旅行」×「セキュリティ」、なんて優秀なコラボレーションなんだ・・・。少し足を伸ばして、リフレッシュを楽しみつつ、ITに身を入れる。これはきっと生産性も必ず上がるはずである。

ということで、今回は“情シスNavi.紀行”と題して、「セキュリティ・ミニキャンプ in やまなし2018」のレポートお届けします。

【情報セキュリティ大会】E353系特急かいじのなかで、セキュリティ・キャンプの知識を深める

当日の朝、新宿から特急かいじに飛び乗った。ご存知、かいじは新宿駅から甲府駅を約1時間40分で結ぶ特急。以前はE257系だったが、今年7月から特急かいじの大半にE351の後継であるE353系が投入され、デザインが刷新されたそうだ。鉄道にはうといが、スタイリッシュでかっこよい。あたらしい電車に乗るのもよい気分である。

シートは足を伸ばしやすく、揺れもほとんどない。心地よい空間で、しばし車窓の風景を楽しんだ。八王子を過ぎたあたりから次第に深まる山と空のコントラスト。彼方まで流れるいわし雲が秋の到来を告げている。

長らく出会えていなかった胸のすく景色に感動を覚えつつ、おもむろにノートPCを立ち上げる。めざすセキュリティ・ミニキャンプのおさらいである。シートはコンセント付きで、テーブルはノートを置くのにぴったりなサイズ感。きわめて快適。

なんでも、「セキュリティ・ミニキャンプ」は、本家「セキュリティ・キャンプ」の地方大会にあたる地方講演とのこと。

そして、本家であり全国大会であるセキュリティ・キャンプは「情報化社会のなかで複雑・多様化する脅威に対処できる人材として、社会のさまざまな場面で活躍を期待できる」「次世代を担う情報セキュリティ人材の発掘・育成」をテーマにしている。このセキュリティ・キャンプは毎年8月に開催され、審査をパスした22歳以下の学生のみが参加できる。4泊5日で実施されるが、大会の受講費や交通費、宿泊費はすべて無料。PCも貸与される。つまり、選ばれし若者に開かれた、至高の情報セキュリティ空間なのである。

セキュリティ・キャンプは経済産業省とIPAの「次世代を担う高度IT人材育成」の取り組みからスタートしたそうだ。産業界の第一線で活躍する技術者を講師に、2004年から始まり、サイバーセキュリティに対する社会要請の高まりとともに、セキュリティ人材育成にフォーカスしていった。2004年度から2017年度までの修了生は663名を数え、すでに、セキュリティ業界の第一線で活躍している参加者もいると聞く。

 

【開演】一路、会場の山梨大学へ

快適な空間で景色を楽しみ、事前情報も得て・・・、甲府駅までの道のりはあっという間だった。山梨大学の最寄りとなる北口は歓楽街とは反対方向のためのどかな雰囲気である。時刻は11時半。ランチでもと思ったが、周囲の散策もしておきたかったので、さっそく山梨大学へ向かうことにした。

駅から大学までは１本道。なだらかな傾斜が続く大通りを行けばよい。何気ない地方の景観に触れながら歩く、これが意外と楽しい。

真夏のような日差しを背にうけ、駅から山梨大学を目指す。『情シスNavi.』の記事のことを考えながら、歩くこと20分。会場である山梨大学に到着した。

会場にはテレビ山梨のTVクルーも取材に入っており、このような活動の注目の高さをうかがわせる。
山梨大学学長・島田眞路氏の挨拶により、セキュリティ・ミニキャンプ「サイバーセキュリティリスクの拡大と対策及び情報セキュリティ人材の育成」が開演した。

実施演目は以下のとおり。

・『産業サイバーセキュリティ強化に向けた経済産業省の取組み』
講師：石見 賢蔵 氏/経済産業省商務情報政策局サイバーセキュリティ課 課長補佐

 

・『医療機関におけるサイバー脅威の動向と対策』
講師：松山 征嗣 氏/トレンドマイクロ（株） 業務営業推進グループシニアマネージャー

 

・『偽装テクノロジを利用して高度な攻撃活動を検知〜侵入した攻撃者を騙すテクニックとは〜』
講師：川岡 晃 氏/（株）インテリジェントウェイブ セキュリティソリューション本部 ビジネス推進部プロジェクトリーダー

 

・『サイバー攻撃対策のパラダイムシフト セキュリティ運用にAI &サービスを活用すべき理由』
講師：西野 真一郎 氏/NEC セキュリティ・ネットワーク事業部マネージャー

 

・『セキュリティ・キャンプ紹介』
講師：坂井 弘亮 氏/セキュリティ・キャンプ全国大会2018 講師グループリーダー 富士通株式会社（富士通セキュリティマイスター）

【網羅】あらゆるサイバーセキュリティが、各エキスパートによって語られた。

「政府の取り組み」「医療機関のセキュリティ動向」「サイバーセキュリティソリューション」「サイバー攻撃の動向とAI」、それぞれの演目内容からわかるように、当講演では、さまざまな角度からサイバーセキュリティが語られていく。

石見氏の講演では「最新のサイバー攻撃の脅威・動向」や「中小企業の被害事例」が解説され、松山氏の講演では「医療情報システムの構成イメージおよびリスク」や「医療分野におけるインシデント事例」、「医療機関特有のセキュリティ課題」が解説された。

また、川岡氏の講演では「APT攻撃について」や「偽装テクノロジーと同技術活用のDeceptions Everywhere」が解説され、西野氏の講演では「サイバー攻撃の進化」「NECの独自AI技術を活用したActSecure セキュリティ異常検知サービス」が解説された。そして、ラストを飾った坂井氏は、参加学生に向け、全国大会であるセキュリティ・キャンプの事例を紹介した。

 

【ピックアップ】情シスが知っておくべき、サイバーセキュリティ

セキュリティ・ミニキャンプのすべてを紹介するには紙面がかなり心もとない。そこで、情シスに有益と思われる内容をまとめ、ピックアップして紹介することにする。

・「サイバー攻撃の今」

各講演で話題に上っていたのが「サイバー攻撃動向」だ。2017年の世界で猛威を振るったランサムウェア「WannaCry」の名は広く知られるところだが、実は報道されていないだけで日本でも被害を受けた企業が複数存在するという。ただ、知っておくべきはその事実ではなく、“やられ方”である。

大企業ほどサイバーセキュリティに対する感度は高く、万全の対策を講じている企業も多いそうだが、「ランサムウェアで被害を受ける大企業もいる」という。その理由とは、「“踏み台”感染」である。取引先の企業がまず感染し、データをやり取りするなかで大企業も感染する。自社のセキュリティ環境だけでは、もはや「防ぐことは難しくなっている」。


また、アメリカでは、デバイス自体が「データ搾取装置」として機能していた事例もあるという。スマートフォンのチップにバックドアが仕掛けられており、72時間ごとにデータを中国のサーバーに自動送信していたそうだ。

つまり、サプライチェーン・マネジメントのように、セキュリティも全体最適を鑑みた対策が欠かせない。

上記からわかるように、昨今のサイバー攻撃は「高度化・巧妙化」している。2017年12月にJALが被害を受けた「ビジネスメール詐欺」は、わずか8ヶ月間で進化。2018年7月に「日本語によるビジネスメール詐欺」がはじめて確認され、あらゆる国内企業・組織が攻撃対象となる状況になった。また、最近急増している「ファイルレス攻撃」への懸念も高まっている。同攻撃は、マルウェア本体の.exeファイルが存在せず、従来のウイルス対策ソフトでは検出しにくい。

このように、インターネットの世界は、現在進行形で進化を続けるサイバー攻撃が跋扈しており、2017年における日本国内の情報漏えい件数は公表された件数のみでも320万件に上るという。一方、企業や組織でセキュリティ侵害発生後から検知されるまでに要する日数（中央値）は、日本を含むアジア太平洋地域（APAC）では498日であり、米州では75.5日とその差は歴然である。

・「被害影響度の今」

ITの進展に伴うビジネス変化により、サイバー攻撃被害の影響は広範囲におよぼうとしている。その代表例がOTセキュリティだ。IoT時代突入から制御システムもインターネットに接続されるようになった結果、セキュリティ対策を講じなくても安心といわれてきた制御システムの被害が散見されるようになった。

被害については、「2014年にドイツの製鉄所がサイバー攻撃により制御システムが乗っ取られ溶鉱炉が制御不能となった事例」、「2016年にウクライナの電力会社がサイバー攻撃を受け停電した事例」など、海外が先行しているが、日本でも対策は不可避である。

また、産業界と同様に、セキュリティ対策の必要性が高まっているのが医療機関だという。しかし、医療機関の攻撃対策は「診療への影響を最小限しなければならない」という理由から、「セキュリティパッチ適用が困難」、「セキュリティ対策ソフト導入不可」であることが少なくなく、かつ運用についても「マルチベンダシステムにより、システムごとで対策が異なる」そうでハードルが高い。

・「ソリューションの今」

高度化・巧妙化したサイバー攻撃へのセキュリティ対策は「侵入を未然に防ぐ」入り口対策ではなく、「侵入を前提とした攻撃対策」が重要になる。その対策のなかで、注目を集めているのが「偽装テクノロジー」を採用した「Deceptions Everywhere」だ。イスラエルのセキュリティベンチャー「illusive networks」によるもので、同社は幾多のセキュリティ・アワードを受賞している。Deceptions Everywhereは、偽装テクノロジーにより、端末とサーバー上に欺瞞情報（＝おとり、トリック）を展開する。端末に侵入しラテラルムーブメントを繰り返す攻撃者を欺瞞情報でおびき寄せ、そこにアクセスしたら検知アラートで管理者に知らせる。また、攻撃者が攻撃ツールの痕跡を消す前、活動時点で詳細なフォレンジックデータを取得し、攻撃の調査や事後対応にかかるコストを削減する。

他方、NECは、「自己学習型システム異常検知技術」をエンジンにしたセキュリティ対策支援サービス「ActSecureセキュリティ異常検知サービス」を展開している。AIがシステムの振る舞いを学習し、平常状態のモデルを作成、システムを監視し、いつもと異なる動きをすれば検知して管理者に通知。そして、攻撃者の侵入経路や影響範囲の特定もAIが支援する。これらの機能により、監視の自動化と、事実確認の大幅な効率化が可能となる。IoTの普及により、今後管理すべき端末は増加する一方といわれるが、そうなればまず人力での監視業務は現実的ではなくなる。対して、同サービスはネットワークに接続された無数の端末のなかから「どの端末が異常なのか」をAIが即座に自動で絞り込む。

・「サイバーセキュリティ政策の今」

一方、肝心なサイバーセキュリティ対策への意識であるが、日本企業においては高いとはいえない。経営層が積極的にセキュリティに関与している企業は6割弱。対するアメリカは8割強、欧州は7割強であるという。
また、経営上のリスクのひとつがセキュリティであることを上司から説明を受けている企業はアメリカの9割強に対し、日本は7割弱にとどまる。さらに、欧米においてCISOは経営層または経営直下に設置されており、スピーディかつトップダウンでセキュリティ対策を実施できる体制が整うが、日本ではボトムアップでの実施となり意思決定まで時間がかかるなど、セキュリティ対策基盤も盤石ではない。この状況が維持されれば、昨今進むアメリカやEUのグローバル・サプライチェーンをカバーするサイバーセキュリティ対策の影響を受け、それぞれの要件に満たさない企業やサービスはサプライチェーンからはじかれるおそれもあるという。ゆえに、経営層の意識改革が求められている。


日本のサイバーセキュリティ政策において、「中小企業のサイバーセキュリティ対策の強化」は重要事項である。経済産業省は産業サイバーセキュリティ強化実現のため、関係省庁と連携し、4つのセキュリティ政策パッケージの実施に取り組むが、そのなかのひとつ「サイバーセキュリティ経営強化パッケージ」には、経営者に向けた「セキュリティ経営の実現」がある。
同カテゴリは「注意喚起」「実務支援」の二軸が設けられ、「サイバーセキュリティ経営ガイドライン」ほかいくつかの要素で構成される。トピックとしては実務支援に該当する「IoT税制（コネクテッド・インダストリーズ税制）だ。同税制は、生産性の大幅な向上・改善が期待できるIoTやAIなどの設備に投資することで投資額の一部の特別償却や税額控除を受けられるものだが、その申請の前提条件として「一定のサイバーセキュリティ対策を講じていること」を求めている。

 

【聴講を終えて】サイバーセキュリティの大きなうねりを感じながら

3時間半以上におよんだセキュリティ・ミニキャンプは、攻撃動向から被害事例、政策まで、サイバーセキュリティの今がわかり、非常に中身の濃いものだった。関連企業の感染を踏み台にするサイバー攻撃や、IoT（コネクテッド・インダストリーズ）税制の申請条件にセキュリティ対策が含まれていることを考えれば、これから中小企業のセキュリティに対する意識も高まっていくのは必然だ。『情シスNavi.』では、そのような時代の変遷もつぶさに追っていきたい。

 

今回の「情シスNavi.紀行」は非常に得るものの多い小旅行だった。もちろんセキュリティの学びがメインではあるが、出かけた際に地のものを頂くのは楽しみの一つ。こちら甲府では“発祥の地”といわれている店にて甲府名物「鳥もつ」を頂いたが、これが想像以上に美味かったことを付け加え、結びとする。

 

【執筆：編集Gp　坂本 嶺】