ホーム > PC-Webzineアーカイブ > 経済産業省 サイバーセキュリティ・情報化審議官 伊東 寛氏 インタビュー

経済産業省 サイバーセキュリティ・情報化審議官 伊東 寛氏 インタビュー

経済産業省 サイバーセキュリティ・情報化審議官 伊東 寛氏 インタビュー

2017年09月12日更新

サイバー攻撃の脅威と企業防衛のためのヒント
~経済産業省の取り組みを併せて~

NEC iEXPO KANSAI 2017 セミナーレポート

NECグループは今年も「NEC iEXPO KANSAI」を2017年7月7日に大阪のグランフロント大阪 ナレッジキャピタル コングレコンベンションセンターで開催した。展示会場ではNECグループの「社会ソリューション事業」への取り組みやIoTおよびAIなど最新テクノロジーを活用した同社のソリューションが紹介されたほか、セミナー会場では企業のトップや各分野の第一人者が登壇し、これからのビジネスに役立つテーマで講演が行われた。ここでは経済産業省 サイバーセキュリティ・情報化審議官 伊東 寛氏の特別講演をレポートする。

経済産業省 サイバーセキュリティ・情報化審議官 伊東 寛氏

サイバー攻撃の主流は個人情報狙いであるかのような誤解

登壇した経済産業省 サイバーセキュリティ・情報化審議官 伊東 寛氏は「最近、サイバー攻撃に関わる事件が頻繁に報道されるようになり、サイバー犯罪事件が増えたようにも見えるが、実際は、かなり以前より多くの事件が発生していた」と指摘し、「以前はサイバー攻撃の被害を受けた民間企業はそれを公表しなかったため、結果的にサイバーセキュリティの脅威が浸透していなかった」と説明。

そして「昨今は公的機関等の情報漏洩事件を始めとして、サイバー犯罪による被害が積極的に公表されるようになった。ただ、それらの報道は個人情報保護法の絡みから個人情報漏洩に関するものが多く、サイバー攻撃の主流はあたかも個人情報狙いであるかのような誤解が生じている。実際は個人情報目的以外のサイバー攻撃もたくさん起こっている」と話を続けた。

そして2017年5月に世界中で猛威を振るった金銭目的のサイバー攻撃であるランサムウェア「WannaCry」を取り上げた。そもそもランサムウェアのようなものは昔からあったという。企業の機密データを盗み出し、それと引き換えに金銭の支払いを要求するという犯罪だ。

伊東氏は「以前のサイバー攻撃には、ハッカーが腕試しをしたり自分のスキルを自慢したり、あるいはいたずらなどの愉快犯というケースも少なくなかった。しかし現在のサイバー攻撃の多くはビジネス化しており、ランサムウェアはまさにその典型だ」と説明する。

ランサムウェアにはビジネスモデルがある

伊東氏はランサムウェアのビジネスモデルについて、楽をして安全に、取れるだけの金額をできるだけ多く得る、顧客(被害者)に対する信義を守るという三つの事項を示した。

恐喝者は、面倒でリスクの高い手段は使わない。また、理不尽な要求はしない。つまり被害者が支払える適正な金額を要求する。被害者が個人ならば少額を、被害者が大企業だったりきわめて重要なデータを保有していたりする場合は高額を要求するということだ。

そして被害者が支払えばデータを開放する、ランサムウェアならば暗号化したデータを元に戻す。支払っても無駄だと思われてしまうと被害者は諦めてしまい、攻撃者は利益を得られないからだ。

伊東氏は「ところが今回のWannaCryはこのビジネスモデルに合っていない」と指摘する。WannaCryで要求された金額は一律わずか3万円であった。また身代金を支払っても攻撃者が、そのことを把握できていないようで、暗号化されたデータを復元できた例がないという。

つまり、ランサムウェアのビジネスモデルは上に述べたようであっても、実際は身代金を支払ったからといってうまくいくという保証は、やはりないということで、このことを肝に命じて欲しいと付け加えた。

攻撃者の狙いは何かということを考える

伊東氏は「被害に遭う前に、攻撃者の狙いは何かということを考えることが大切」だと強調する。

そして「セキュリティ対策を強化する際に重要なのは、何を守るかだ。情報を守るのか、BCPを守るのか。目的が異なると必要となるセキュリティ対策製品も変わってくる。なんでもかんでも攻撃を止めるというのではなく、優先順位を考えて目的に対して効果のあるセキュリティ対策製品を導入するべきだ」とアドバイスした。

さらに2020年の東京オリンピック・パラリンピックに向けてセキュリティ対策を強化すべきだと話を続ける。伊東氏は「東京オリンピック・パラリンピックでは、これまで前例のない世界初のサイバー攻撃が発生するかもしれない。その目的は、主義主張から金儲け、日本に恥をかかせることなど、いろいろと考えられる」と警告する。

そして「経済産業省でも企業や組織、あるいは社会基盤を守るためのセキュリティ対策について、さまざまな施策を行っており、情報も発信している。民間と協力してサービスも提供しているし、セキュリティ人材の育成も始めた」と同省の取り組みを紹介した。

最後に伊東氏は「攻撃者の狙いを潰せるように考える。攻撃にかかる手間やコストが高くなれば、攻撃者はビジネスにならないため攻撃してこなくなることが多い。1社で防護壁を高くするのは難しいが数社で協力すれば実現できることもあるなど、諦めず努力することが重要である。」と締めくくった。(レビューマガジン社 下地孝雄)

キーワードから記事を探す