名和利男の名言集
経営者の意識は「利潤追求」と「事業拡大」にあるため、これまでセキュリティー対策は二の次にされていました。しかし、最近では事業継続の観点からセキュリティー対策に積極的に取り組む企業が増えています
名和利男
情報漏洩を防止するための「Need To Know原則」を導入する動きも広まっています。これは、「情報は知る必要のある人のみに伝え、知る必要のない人には伝えない」という原則を徹底して、情報に対するアクセスを厳格に管理しようというものです
多くのインシデントを経験することによって、知識やノウハウは確実に蓄積されています。既知の「アトリビューション」(帰属性)から攻撃者の手口を分析する取り組みや、世界中に「ハニーポット」(攻撃されやすく設定したサーバーなど)を配置してサイバー攻撃を可視化する体制づくりも進んでいます
サイバー攻撃は技術の問題だけではなく、先に述べたソーシャル・エンジニアリングが密接に関係しています。防御する側としては、相手の行動を予測して先手を打つことができればいいのですが、これがなかなか難しい
攻撃側としては、構築した攻撃環境を維持したいと考えるため、ターゲットに攻撃を受けたことを気づかせないようにすることが肝心です。そのため、手口はどんどん巧妙化しています
企業や団体のOBも格好の踏み台にされます。OBの中にはITリテラシーが低い人も多く、セキュリティー対策が不十分なフリーメールなどを利用しています。現役の後輩としては、礼儀としてそのメールを開かないわけにいきません。メールが元上司やお世話になった先輩からだったりするとなおさらです。そのメールアカウントが攻撃者に乗っ取られ、送信済みメールを再送するという形で、マルウェアを意図的に付けたメールが送りつけられると、簡単に感染してしまいます
インターネットと繋げなくなることの少ない重要インフラ事業者などには、直接入ることが難しいので、攻撃側は社員情報を持っている組織、例えば健保組合や委託業者などを踏み台にして入り込もうとします
あの手この手の攻撃に対して、防御側もさまざまな対応策を繰り出していますが、残念ながら基本的には後追いです
ロシア政府の支援を受けたと分析された標的型攻撃「APT28」はさらに強力で、IDやパスワードなどの個人情報には見向きもせず、特定のキーワードに関する情報だけを密かに持ち出すようにつくられていました。これは2014年6月以降、バルト3国やウクライナ、ジョージア(グルジア)地域で緊張が高まった時期に観測されており、スパイ目的だったと考えられています
手口としては、送りつけたメールの添付ファイルを開かせることで端末をマルウェアに感染させ、既存のセキュリティ対策におけるウィルス検知を巧妙に回避しながら、バックグラウンドで動き出して別のマルウェアをネットからダウンロードします。それは、特定の情報を攻撃者に送信するようプログラミングされているので、重要なパスワードや、ネットバンキングの認証に必要な情報が、気付かないうちに抜き取られるのです
最近多いのは、狙いを定めた高度な標的型攻撃です。これは、機密情報や知的財産などの情報を得るために、ターゲットに近い人物やセキュリティ対策の甘い端末から段階的に侵入していくものです
国家レベルになると資金もリソースもサポートされるので、攻撃者はターゲットを注意深く観察しながら、脆弱性を探って緻密に戦略を練り、相手に気付かれないようタイミングを見計らって周到に攻撃を仕掛けてきます。そして、その成功確率は高まる一方です
攻撃側の一部は、変化の激しい技術革新にキャッチアップして技術力に磨きをかけているうえ、ターゲットの監視や心理作戦に長け、プロフェッショナル化している。かつては趣味や興味本位でハッキングをするような、いわば「こども(キディ)」たちによるサイバー被害も少なくなかったのですが、最近ではこうしたプロの「おとな」たちとの間には歴然たる実力の差が生じています
サイバー攻撃の手法が劇的に変化し、手口が格段に巧妙化したからです。情報通信技術だけでなく、正規サービスの悪用やソーシャル・エンジニアリング(人間の心理の隙間や行動ミスにつけ込んだ)などの社会工学と人間心理の��両面で、攻撃側の能力が高度化しています
サイバー空間は「仮想空間」という別世界ではなく、今や紛れもなく目の前にある現実です。被害が拡大して、ようやく実感をもって認識されるようになってきました
2014年には世界95カ国で6万3000件以上のセキュリティー侵害があったとする報告もありますが、一般に知られているのは氷山の一角にすぎません
規模からみても、安全保障に関わる大規模なものから個人的なハッキングまで、いずれも本格化しています
焦り、恐怖、子供が将来大きくなったときに、これがもっと酷くなると思うんです。与えらえたところに対して懸命に頑張る。ゆくゆく良い方向に向かうと信じてやまない。まず諦めないのと、絶対見つかるんだという根拠のない自信を持ちながらやっていきます
この(攻撃手法の)リストを生成する仕組みとかが分かれば、8月から9月にくる日本へのサイバー攻撃の元ネタを作る方たちのくせとかプロセスが、ある程度分かってくるので
8月9月に発生する攻撃が毎年あるんですけど、そこの事前リサーチをして、今からどんな攻撃が発生していくのかというのを把握するという仕事ですね
今は、攻撃者がミスをしている所が少なくなってきているので、手掛かりがすごく少ないですよ。ただ、こちらはディフェンスサイドが100%守っていかないといけないという、完全性が求められていて、攻撃者の方は完全性は必要なくて、どこか1か所、わずかに残っている穴を見つければいいので、それをサーチかければいいだけですよね。この非対称、そもそもの立ち位置が、優位性が攻撃者の方が分がありすぎて、守る方はしんどいですね
インターナルネーム=シャープサーバー。この文字列で、もしかしたら同じ様なマルウェアが存在しているかもしれない
ランゲージ(言語)がニュートラル(不明)で。通常、作成環境の言語情報っていうのが残るんですけど、残っていないということは、慎重に自分のアイデンティティーが分かるものを削除していた
(��新型マルウェア驚異の実態について)出入り口を作られてしまった感じで、それが7つ8つ以上あるんですよね
父親として案じているので、もしかしたら、20年後じゃなくて10年後の自分たちの子供の環境が最悪な状況になるかなっていうのが我慢できないんですね。だから頑張っているんです。それだけです
現場を見ていると明るい兆しのところが残念ながらひとつもないんですね。ましてや攻撃を見ると、最悪な状況になりつつあるというところですね。それに対して邁進すると。それしかないん�ですね
(自分のセキュリティ対策案が採用されなかった時代について)挫折感と悲壮感と、頑張っても貢献できないかなという諦め感ですかね。すごく落ち込みましたね。すごくですね
出ている情報がまずいんですよ。それを見られる立場にあるので、これは、この国終わるのかなというくらいですね。原動力が何なのかっていうのは、現実を見ているからです
想定されるものが、本当は20~30ぐらいあるのに、たった3つしか作ってなくて、往々にして、その3つは外れて、全く違うところから発生して、現場は混乱というところがいつもですね。何かあった時に、そこから準備することは不可能なので、心構えというのは事前の準備しかないですね
メールは今、一日最大1000通来るんですよね。だから、確認する時間が無くて、私のミスでお詫びをすることもあります
一所懸命。一生懸命じゃなくて、一所懸命ですね。「所」って書いて。その時々で全力で頑張る。諦めないという意味ですね。ベタなんですけど、それ以外には私は無いです
私ひとりでは到底オーバーワーク状態が続いているので、何とか仲間を増やしたい。今回、思い切って取材をお受けして、自分の活動を通じて、サイバー攻撃の実態を知っていただければ、いろんな方が関心を持って頂けるのかなと思ってですね
私を潰せば、もしかしたら、対応能力が低くなるのかなと思う方もいらっしゃるのかなとは思っています。そこは正直、リスクを感じています
もう日本のシステムは壊れるじゃないかなっていう現場が、特に政府機関の一部とか、宇宙、それから核物質防護とか、電力、ガス、水道、航空、鉄道、医療等々に今、いろんなところに実際にもう入るんですよ
(サイバー攻撃者に対して)“I know you(お前を知っている)”って突きつけて、そうすると攻撃をしなくなるんです。一番嫌なのは自分の身元が分かることですよ。攻撃者がどんどん増えていっているので、ですから攻撃者の能力をそぐということをやらないといけない
敵の先を行く
攻撃者は人間なので、人間が何をやっているかというのを追及する仕事。攻撃者の行動を理解しないと、相当時間がかかるか、または分からない
相手が進化していくので、また、高度化していくので、絶対あきらめちゃいけない
中国人のサイバー攻撃が激増している。中国共産党の野望は尖閣支配だけではない現実を知る。「日中友好」など考える必要は一切ない
準備こそが、最大の防御
準備に「もうこれでいい」はない
現場に行ったときにアドバイスをするにしても、それぞれの業界の内情を把握してないと、正しい導き方、アドバイスは出来ないんです。せっかく呼んでもらったのに、“あの専門家は言ってることは正しいけど、現状にあってないから使えないとかですね”と言われてしまうことも多いんです
プロフェッショナルとは、ぶれない目的をずっと持っていて、その達成のために必要な能力を自分で構築して、それを必ず行動に移す人。それしかないと思っています
攻撃を受けたとき、必要となるのは、どれだけ不安要素を想定出来ているか、その準備に尽きる
サイバーセキュリティーの現場では想定していたことと全く違うことが発生して、現場が混乱するということが常だ
増��加の一途をたどるサイバー攻撃に対しては、守るだけでは、十分ではない
文字や数字の羅列からいち早く異常な文字列を見つけるためには、たとえば、「金」や「個人情報」など、攻撃者はどの情報を狙っているのか、想像力を働かせながら探すことが重要だ
つねに「攻撃者になりきる」こと
私は昨晩、6時間寝てしまったから、すでに専門家でなくなってしまった
ロボットが数万、数千と送られて、『数打ちゃあたる』で攻撃してくる
しかも犯行後、スーツに着替えて堂々と表から出てバスに乗る。他の乗客と区別がつかず、刃物を禁止するわけにもいかない
ロボットを送りこむだけで、真犯人はじっと待つだけ。ロボットは手ぶらで入って、刃物は内部で調達し、犯行後は元に戻すから証拠がない
ここ1、2年でサイバー攻撃は格段に高度化しました
お上が文書で『セキュリティーに注意を』と言ってきたとしても、それには努力目標しか書かれていません。何らかの制約や遵守義務がなければ現場は従わないものですよ。スマートコミュニティーにかかわる主務官庁もバラバラで、どこの官庁を信じればいいかも分からない
米国の国立標準技術研究所(NIST)の取り組みが日本でも必要です
閲覧履歴
なし
