第493号コラム:丸山 満彦 監事(デロイト トーマツ リスクサービス株式会社 代表取締役社長、公認会計士、公認情報システム監査人)
題:「セキュリティ・デバイド?」 

「セキュリティ・デバイド」という言葉が適切かどうかはわかりませんが、知識またはそれへのアクセスができる状況や資金力等の差によってサイバーセキュリティ対策についての格差が広がっていることが問題だと思っています。

「デジタル・デバイド」という言葉は最近あまり使われなくなっているかもしれませんが、2000年ごろには よく使われていたと記憶しています。ウィキペディアを参考にすると、「デジタル・デバイド」という言葉は1996年に米国テネシー州ノックスビルで行われた当時の米国副大統領アル・ゴアが発言したのが初めのようです。当時彼は、自身が提唱していた「情報スーパーハイウェイ構想」を2000年までにアメリカ全土の都市部から郊外・農村部に至るまで隅々に網羅させることを約束し、将来の子孫達が「デジタル・デバイド」によって区切られることがない世界を作りたいと考えていたようです。デジタル・デバイドが生じる主な要因として、

1 国家間(先進国と途上国間)、地域間(都市部と地方間)における情報技術力・普及率の格差
2 学歴、所得など待遇面で生じる貧富の格差によって情報端末・機器を入手ないし操作する機会の格差
3 加齢や障害の有無など個人間の格差

が例として挙がっています。

それから20年。インターネットは普及し、発展途上国でもスマートフォンが普及し始めています。デジタル・デバイドが完全にないとは言えませんが、普及という面ではかなり格差が縮小してきているのではないかと思っています。デジタル・デバイドが縮小し始めると同時に、セキュリティ・デバイドが広がったのではないかと思っています。デジタル端末の普及スピードのほうが、セキュリティ対策の普及スピードより速かったからかもしれません。

サイバーセキュリティは攻撃者側が防衛者側よりも圧倒的に有利と言われています。長い海岸線を防御することを考えてみればよいかと思います。攻撃者側は事前に、相手のどこが弱いかについての情報を収集し、分析し、弱点をよく理解し、攻撃者側がベストなタイミングでベストな方法で攻撃をすればよいわけです。守る側は、敵がどこに、いつ、どのようにして攻撃をしてくるかを正確には把握することはできません。攻撃者側が防衛者側よりも圧倒的に有利となります。

最近は、国家が支援しているハッカー集団の脅威が高まっていると言われています。米国国防省の諜報機関である「国家安全保障局」でもサイバー上の諜報活動は当然行っているでしょう。イスラエル軍の諜報機関である「8200部隊」も有名です。中国では人民解放軍の「61398部隊」をはじめ複数の組織がサイバー攻撃を行っているといわれています。日本も攻撃の対象の一つとしているといわれる「APT10」はよく知られています。北朝鮮では「朝鮮人民軍偵察総局」が朝鮮労働党や国防委員会傘下の組織とともにサイバー攻撃を担っているといわれています。ロシアではロシア連邦軍傘下の「参謀本部情報総局」がサイバー攻撃を行う部隊の一つと言われています。「APT28(ファンシーベア)」や「APT29(コージーベア)」はロシア政府関連のハッカー集団と言われています。国家が支援しているハッカー集団は、資金も潤沢にあり、それゆえ人材の育成や攻撃ツールも整備されていると思われます。

一方、防御する側はどうでしょうか?東京都のある村の職員数は約20名です。予算規模は全体で9億円ほどです。それでも村のホームページがあります。技術部分について大手IT企業が担当していると思いますが、メール等を通じた攻撃に対しては職員が気をつける必要があります。中小企業も同じでしょう。セキュリティ意識を高めたり、それなりのセキュリティ対策をしたところで、国家が支援しているハッカー集団に狙われたらひとたまりもないように思います。

もう一つの懸念は、センサーを含む様々なIoT機器がインターネットにつながり、新たな攻撃対象となっているのではないかということです。例えば防犯カメラです。従来はインターネットにつながっておらず、機器に保存されているだけでした。監視をより効果的、効率的にするためにインターネットに接続しました。インターネットに接続したということは、インターネットを通じて攻撃される対象となったということです。防犯カメラの設置について、製造者も設置者もサイバーセキュリティ対策についての意識が低かったため、恰好の攻撃対象となりました。インターネットにつながったテレビ、ビデオなどの家電製品も同じです。2016年9月に米国セキュリティジャーナリストのウェブサイトを対象としたDDoS攻撃は、Miraiボットネットにより行われたわけですが、これはパスワードを工場出荷時のままにしていたIoTデバイスを狙って乗っ取り、攻撃の踏み台にしたといわれています。その数十万台と言われています。

今後、ますます攻撃者と防御者の格差が広がっていくのではないかと思っています。セキュリティ・デバイドの解消をしなければ、安全なインターネット社会は訪れないように思います。いや、セキュリティ・デバイドが存在する状態でも安全なインターネット社会となるような対策を考えて実行したほうがよいのかもしれません。さて、どうしたらよいのでしょうか...。

【著作権は、丸山氏に属します】