第504号コラム:須川 賢洋 理事(新潟大学大学院 現代社会文化研究科・法学部 助教)
題:「10大脅威2018から見る日本のセキュリティ事情」

今年もIPAから『情報セキュリティ10大脅威 2018』が発表された。
※【 https://www.ipa.go.jp/security/vuln/10threats2018.html 】より閲覧することができるので、まずはそちらをご一読いただきたい。

初めて発表されてから今年でちょうど12年目になる。選考会メンバーの中にはデジタル・フォレンジック研究会の会員の方のお名前も多くお見受けする。以前は3月末に解説文書と共に順位が発表されていたが、一昨年くらいから2月末にまず選考結果となる順位のみを先に発表し、解説文は3月末に発表するというやり方が取られている。2018年版の詳しい解説版も3月下旬に公開される予定である。ちなみにこの順位と解説文を含めたフルペーパーは、毎年夏に発売される『情報セキュリティ白書』にそのまま収録されており、この10大脅威をダウンロードできることは、実はかなりのお得感がある。

10大脅威“2018”と題すると2018年に脅威となるであろうことが示されていると思われる方もいるかもしれないが、2017年1月12月に起きた出来事を基に投票したものが2018年版になる。しかしながら、専門家から見て脅威と感じるものであるわけだから、ITやセキュリティに馴染みが薄い一般市民にとっては十分にこれからの脅威となるものであり、警鐘を与えるにはタイムリーな良い資料であると言えよう。

とは言うものの、このベスト10(ワースト10?)内に登場する主要な脅威の項目を各年毎にすべて横に並べてみると、実はここ数年間ほとんど変わっていないことが分かる。今年の1位、2位も、個人部門・組織部門共に昨年と同一であった。ということはつまり、「問題の所在は分かっているのにその対策はほとんど進んでいない」ということを意味する。そして同時に、「既知の脅威に対処することによってセキュリティの大部分は確保できる」ということにもなる。

にもかかわらず、セキュリティインシデントはいっこうに減らない。ここにはやはり、人は自分に関係ないと思うことには興味を示さないという根本的な問題があると言える。10大脅威は専門家がお互いに教え合うものというよりは、経営層やユーザー層に語りかけるような形式になっている。その為に数年前からは、組織向けの順位と個人向けの順位を別々にして出しており、早い話が社長や学校の先生に「今、これが問題です!」と言って見せれば直ぐに分かり、「経営者はどんな対策をしなければならないか」「ユーザーはどんな対策をしなければならないか」「エンジニアはどんな対策をしなければならないか」がそれぞれに記してある。にもかかわらず、経営層やあるいはエンドユーザーはそれらの知識をまったく得ようとしていない。『「社長!ここが問題です」→「君、やっておいてくれ!」』問題に対処するために「社長!これを見ておいて下さい。社長用です!」と答えられるものを作ってくれているのに、それに対して「君、代わりに読んでおいてくれたまえ!」という答えが返ってくる。この問題にどう対処すれば良い方向に向くのであろうか。自社の株価の上下に一喜一憂するように、セキュリティレベル評価の上下にも一喜一憂するような仕組みが必要だと言える。

さて、今年の順位の分析をもう一つ。脅威内容はさほど変わらないと書いたが、それだけに新たにランクインしたものは注目に値する。今回特に注目すべきは、組織部門3位に入った「ビジネスメール詐欺」と個人部門10位に入った「偽警告」であろう。ビジネスメール詐欺がランク外からいきなり第3位に登場したのには、航空会社のJALにて約3億8千万円という多額の被害が発生したことが報じられた時期と、この10大脅威の選考時期とが重なったことも大きいと思われる。しかしながら、個人宛の偽警告にせよ、企業宛の偽メールにせよ、日増しに精巧になっている(つまり真贋の区別を付けにくくなっている)のは事実であり、これらによる被害がさらに増えることは残念ながら避けられないであろう。筆者の勤める大学にも毎日のように大量の偽メールが届き、普通の人には本物かどうかの見分けが付きにくくなっている。実際に「これ、開いても大丈夫なの?」という問い合わせの数が確実に増えている。

この対策としては避難訓練に習い、模擬攻撃によって体験させる訓練が有効であるとされているが、これもそろそろ次のフェーズに行く必要があると考える。通常は訓練されて落ち着いて行動できる人でも、仕事が切羽詰まって急いでいる時や、疲れている時、失敗や叱責されてイライラしている時には注意力が散漫になり、普段なら引っ掛からない人が引っ掛かってしまう。敵も然る者で最近はこの焦燥感を煽るようなものが増えている。月末のギリギリを狙った偽の振込要求メールなどはその典型である。これらに備えることができるような次のステップの訓練(擬似攻撃)や対策を取り入れる必要がある。災害や事故時に、ただ「落ち着け!」とだけ言っても落ち着けるわけではなく、落ち着かせるためにはそれなりの仕掛けが必要であり、セキュリティインシデントに対する対処も同様であることは言うまでもない。

【著作権は、須川氏に属します】