keyboard-279664_640

日本のセキュリティ史と凶悪化するサイバー攻撃への対策

  • このエントリーをはてなブックマークに追加

by [2014年6月24日]

先日、東京電機大学にて「TDUにおけるサイバーセキュリティ教育と研究発表会」というフォーラムが開催された。

佐々木良一氏(CyS研究所 所長)

日本独自の最先端セキュリティ技術の研究開発のために設立されたCyS研究所(サイバーセキュリティ研究所)の取り組みについて佐々木良一氏から説明があった。
その話の中、日本のセキュリティ史について触れられていたので今回はその内容をお送りしたい。

サイバー攻撃のリスクは甚大化し、拡大している

まず、日本においてサイバー攻撃には2つのターニングポイントがあったと思っています。

2000年と2010年がターニングポイントだ。


まず、1つ目のターニングポイントは科学技術庁などのホームページ改ざん事件があった2000年頃です。
情報セキュリティの専門家はいずれこのような事件が起こるだろうと予想はしていましたが、一般の人が初めてサイバー攻撃のリスクを実感したのがこの事件でした。
第二のターニングポイントはStuxnet(標的型コンピュータウイルスの一種)が出現した2010年頃でした。

最近のサイバー攻撃は凶悪化している。


これまでのサイバー攻撃は面白半分のハッカーによるもので、Webなどの不特定多数の一般ITに向かって行われるのみでした。
それが、不特定多数ではなく標的を定めてサイバー攻撃が行われるようになり、面白半分ではなくお金儲けのためであったり、国家の指示による攻撃も現れはじめました。
それに伴ってハッカーだけでなく、スパイや軍人もサイバー攻撃を行うようになり、その攻撃技術も高度化しました。

サイバーセキュリティの重要性

サイバー攻撃を実際に受けたことがあるか? という調査を企業に対してしてみたところ、全体の24%の企業がサイバー攻撃を受けたことがあると回答しました。

売上高が高い企業ほどサイバー攻撃を受けているのが分かる


また、サイバー攻撃にあった組織に調査した結果、84%の組織が第三者に指摘されるまでサイバー攻撃の被害に気付かなかったと回答しており、その発見にも平均で173日もかかっていました。

自力でサイバー攻撃に気付けた組織は少ない


第三者に指摘されずにサイバー攻撃に気付かないままの組織もあったであろうことを考えると、実際には24%よりも多くの企業がサイバー攻撃を受けたことがあるのではないかと思います。

先に述べたように、サイバー攻撃が以前よりも凶悪化したことを踏まえると、サイバーセキュリティを整えることは急務であると考えています。

リスクを可視化して適切な対策・検証を

CyS研究所では様々な取り組みをしていますが、私からは「リスクに基づくシステム/運用設計」の研究について説明したいと思います。

対応しなければならない脅威、また各脅威に対するリスクは組織ごとに異なります。
組織がセキュリティを考える際にはリスクを明確にし、各リスクへの対処を適切に判断した上でその対処を検証することが重要であるため、これを可能にするシステムの研究をしています。

実際には、脅威に対するリスクの可視化リスクに応じた脅威対策の決定脅威への具体策に基づく設計検証、の3つの項目に分けて研究に着手しています。

まず、脅威に対するリスクの可視化については、事前に対象とする脅威とシステム構成を入力し、ポートフォリオ上に各脅威のリスクをマッピングするというものを考えております。
これによってリスクを可視化することが可能となります。

リスクを頻度/影響度でマッピングした例


また、リスクに応じた脅威対策の決定については、可視化したリスクを分類し、必要な対策案をリストアップするシステムを考えております。
例えば、マッピングされたリスクを低減、回避、移転、保有の4つに分類し、必要な対策をリストアップするようなことができます。
更に、リストアップされた対策案もポートフォリオにマッピングして検討・検索することを可能にするものを考えています。

リスクを分類し、対策案もコスト/効果でマッピングした例


脅威への具体策に基づく設計検証に関しては、実際に対策を取る際にシステム内で具体的にどのように運用するべきか、更に組み込んだ対策がどの程度効果を発揮しているかを検証するシステムを考えております。

この設計検証システムについては今年から東京電機大学とNECが共同で運用設計に着手しており、実際に実装を進めています。

それ以外にも、超分散ネットワーク技術を応用した高セキュリティ・クラウドシステムの研究など、日本独自の技術で高度なセキュリティを実現できるよう邁進していきたいと思っております。

サイバー・セキュリティ研究所

コメントは受け付けていません。

PageTopへ