経営者コミュニティ「経済界倶楽部」

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏に聞く(中)

サイバーテロ 政府・企業とも対応は待ったなし!

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーー脆弱性の克服などセキュリティー対策に尽力すべきだ

宮本久仁男氏

宮本久仁男氏

 今回は、株式会社NTTデータ(東京都江東区)品質保証部情報セキュリティ推進室の「NTTDATA-CERT(Computer Emergency Response Team)」シニアエキスパートである宮本久仁男氏の2回目。

-- 前回、宮本さんは2013年夏、日本の中央省庁がサイバー攻撃を受けたことに関し、その攻撃の中には「ゼロ・デイ脆弱性」が使われたものもあった、と言いました。ということはソフトウエアには「未発見の脆弱な部分」が多数あるということですね。

宮本 はい。どれくらいあるのか正確には分からないのですが、よく言われているのは「プログラム上の誤り・欠陥である『バグ』のないソフトウエアなどあるわけがない」ということです。また「ソフトウエアの規模が大きくなればなるほど『バグ』の数も多くなる」とも言われています。バグのうち悪用が可能だと確認されたものが「脆弱性」として管理されています。

 例えばマイクロソフト社のWindowsの場合、開発にあたっては多くの試験を実施し、脆弱性をなくそうとしていることは想像に難くありません。それでもなお見つかっていない脆弱性が多くあると考えられます。同社は毎月第2水曜日に、新たに見つかった脆弱性と、その修正ファイルを一覧表にして発表しています。それを見ると「今月はいっぱい出てきたな」と思う時もあります。

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーー100件を超えた2013年の脆弱性の修正情報

-- これまで修正され、公開されたものはどれぐらいあったのでしょうか。

宮本 Windowsだけでなく、同社の他のソフトウエアも含めて見た場合、13年に公開された脆弱性の修正情報は100件を超えました。1件の情報に複数の脆弱性が含まれることも多いことから、報告・修正された脆弱性の数は、それ以上になるのではないでしょうか。

 ただし前回、説明したとおり、サイバー攻撃の多くは使い古された〝道具〟がまだ使われています。それは①既に攻撃方法が確立されており、低コストで実行できる②ツール化された安価なものが流通しており、簡単に入手できる--などからです。

 これに対してゼロ・デイ脆弱性を使っての「ゼロ・デイ・アタック」は少なく、全体の1%未満〜5%程度という調査結果も出ています。どうしてか。ゼロ・デイ・アタックは道具としては強力ですが、それには大変なコストがかかるからです。ですから「ここ一番」という時に使われます。例えば、09年に起きた「スタクスネット・ウイルス」によるイラン核施設に対する攻撃では、物すごいカネが掛けられ、贅沢にも4つのゼロ・デイ脆弱性が使われていました。

-- この攻撃は米国とイスラエルが共同で行ったと言われていますが。

宮本 「攻撃を絶対に成功させたい局面ではゼロ・デイ脆弱性への攻撃手段を躊躇することなく投入する」と言われています。ただし、それはカネをふんだんに出せる攻撃者の考え方と言っていいでしょう。ただ、この数カ月でゼロ・デイ脆弱性が使われる頻度が高くなってきているように見えます。油断したら足元をすくわれそうです。

-- ゼロ・デイ・アタックを受けた場合、それはすぐに分かるものですか。

宮本 即座には無理です。ただし「攻撃されたかもしれない」との疑いが持たれたPCについて汗をかきながら分析していくと、PC上で変なものが動いており、どこかの不審なホストにアクセスしているようだ、というのが2、3日で分かることもあります。しかし、どういう被害が出ているかが分かるまでには、もっと時間がかかります。

NTTデータのサイバー・セキュリティー担当者・宮本久仁男氏ーーPCの利用者に脆弱性をケアさせるのはおかしい

-- コンピューターには脆弱性が付き物であることは分かりました。私たちユーザーは「脆弱性」にどう対処していけばいいのでしょうか。 

宮本 具体的によく言われているのは「OSやアプリケーション環境の最新化」と「セキュリティーソフトウエアの最新化」です。既に判明・対処されている脆弱性についてはOSやアプリケーションの最新化によって、またウイルスをはじめとするマルウエア(悪意あるソフトウエア)のうちよく使われるものにはセキュリティーソフトウエアで対応可能です。

 ゼロ・デイ脆弱性が使われた攻撃については多くの場合、感染や被害が発覚した後の対応が多くなります。このような場合には、攻撃された事実を早期に特定することが重要です。発見自体もPC単体を調査した結果だけではなく、通信記録をはじめとする証跡類の精査を行った結果が手掛かりになることも多いですね。

-- 宮本さんはかねがね「家電感覚で使っても危なくないコンピューターを提供することが作り手側の課題だ」と発言していますね。作り手側は、ソフトウエアの作り方をもっと考えてほしいということですか。

宮本 そうです。ソフトウエアを作る側は脆弱性の問題を含めてセキュリティーにもう少し気を使ってもいいのではないか、もしくはそういうふうに考える人が作り手側にもっと増えてほしい、ということです。IT業界に限らず、あらゆる業界でソフトウエアが「キーパーツ」になってきています。そうした中で日々、ソフトウエアが内包している脆弱性の脅威にさらされている利用者がいるわけです。その利用者に脆弱性をケアさせるというのは作り手側としてどうなのか、と思います。

 例えば、ある日、それまで使っていたエアコンのスイッチを入れたところ「脆弱性が見つかりました。修正ファイルを入手して、対応してください」と言われたとした場合、「何だ? これは」と思うに違いありません。それと同じです。

-- 脆弱性問題の続きと、サイバー攻撃に対処し得る人材育成への取り組みついては次回、伺いましょう。

 
経済界 電子雑誌版のご購入はこちら!
雑誌の紙面がそのままタブレットやスマートフォンで読める!
電子雑誌版は毎月25日発売です
Amazon Kindleストア
楽天kobo
honto
MAGASTORE
ebookjapan
 

雑誌「経済界」定期購読のご案内はこちら

経済界ウェブトップへ戻る