講演レポート:第23回 未知のサイバー攻撃への対策の真髄|Prowise Business Forum in KANSAI|株式会社日立ソリューションズ

株式会社 日立ソリューションズ

Prowise Business Forum in KANSAI 第23回

未知のサイバー攻撃への対策の真髄
~AIで挑む次世代情報セキュリティ戦略~

 セキュリティ犯行の手口は、日々高度化しており、新しいタイプの攻撃が後を絶ちません。攻撃する側が常に新しい手口で攻撃を仕掛けてくるのに対して、攻撃への対策が後手になりがちな守る側にとっては、“未知”の脅威への対策こそが、今問われる情報セキュリティ戦略の真髄であると考えます。未知の脅威への対策はさまざまな手段がありますが、近年、AI(人工知能)技術を活用した情報セキュリティ戦略が脚光を浴びています。
 本フォーラムでは、情報セキュリティを取り巻く現状を整理し、AIによる対策の展望を考察しました。

開催概要

日時 2016年11月24日(木) 14:00~16:30(13:30受付開始)
会場 〒530-0001 大阪市北区梅田1丁目8番8号
ヒルトン大阪 4階 金の間
主催 株式会社日立ソリューションズ

【日立ソリューションズセッション1】
最新のサイバーセキュリティ動向と取るべき対策について
~ホワイトハッカーの視点から~

池内 丈人
株式会社日立ソリューションズ
セキュリティソリューション本部 トータルセキュリティソリューション部
技師 池内 丈人

 日立ソリューションズセッション1では、標的型攻撃やランサムウェアなどのサイバー攻撃の脅威に対し、私たちはどのように安全・安心な未来に向けて対策していくべきなのかについて、AI(人工知能)の活用など最新の事例を交えて考察した。

ホワイトハッカーが注目するサイバー攻撃リスクの概念

 始めに、池内は自身の所属する「セキュリティエキスパートグループ」について説明した。セキュリティエキスパートとは、セキュリティソリューション本部内の「セキュリティスペシャリスト」をベースとした「高度なセキュリティ技術者」よりもさらに高度な「ホワイトハッカー」というカテゴリに属する人材を意味し、「“プロに頼られるプロ”として社会に貢献するミッションを負っている」と池内は紹介する。そのため、今回のセッションでは、池内がホワイトハッカーの視点でセキュリティの動向と対策についてさまざまに語る方式で進められた。

 サイバー攻撃のリスクがどのレベルで認識されているのかについて、池内は世界経済フォーラム(World Economic Forum)が発表した「The Global Risks landscape 2016」というチャートを引用した。それによると、サイバー攻撃が発生する可能性は水資源の危機と同等で、そのインパクトは食糧危機と同じ程度の影響度だと評価されている。また、独立行政法人情報処理推進機構(IPA)が2016年4月に公開した「情報セキュリティ10大脅威 2016」では、個人に対する脅威の上位に、「インターネットバンキング情報の不正利用」や「ランサムウェアを使った詐欺・恐喝」などが挙げられたが、池内は、「これらは個人の意識・知識の増強により、ある程度は防げるものだと思う」と冷静な見方を示す。

 さらに、池内は今年発生したセキュリティインシデントを紹介した。まず海外においては、各種アカウントの大量流出、ランサムウェアへの感染、ATMマルウェア、銀行間の不正送金、世界初のコンピュータ同士のサイバー攻防戦、IoT機器を利用した大規模なDDoS攻撃などが報道で注目された。一方、国内ではアカウント流出やランサムウェアなどは海外事例と共通だが、特定の企業・業種への標的型メール攻撃、CMS(Content Management System)用プラグインからの情報漏えい、サーバーへの侵入による顧客情報の大量流出、教育情報システムへの不正アクセスなどのほか、最近ではハクティビストという社会的・政治的な主張を目的としたハッキング活動家による特定団体へのDoS攻撃もメディアなどで大きく取り上げられた。

セキュリティの最大の弱点は人間

 池内によるホワイトハッカーの視点は続く。次はサイバー攻撃の目的について。そこで一番多いのは金銭目的だという。ランサムウェアや、銀行間決済インフラを提供する国際銀行間通信協会(SWIFT)の銀行間通信の悪用などの直接的なものや、ブラックマーケットでのアカウント情報の売買やATM・決済端末のスキミングなどの間接的なものも存在する。

 金銭の次に多いのが機密情報の窃取だ。サーバーへの侵入、物理的な侵入、産業スパイによる情報窃取などの直接攻撃のほか、メールを開かざるを得ない巧妙な手口やソーシャルエンジニアリングなどの標的型攻撃によるものなどがある。

 標的型攻撃の手口としては“Attack Surface”(攻撃され得る界面)という言葉を池内は示し、「最大の弱点は『人間』であり、人をターゲットとすることで重要情報へアクセスが可能になり、言われた通りに動かない、あるいは動けない、騙されやすい、いつも同じには動けないといった弱みがある」と指摘する。手口としては、業務上どうしても内容確認が必要な書類や、問い合わせ窓口とのやり取り、名刺交換後のスケジュール確認などでファイルが送られて来ると無警戒に開いてしまうという人の曖昧さを攻撃されることが多いという。

「しかし、知識や知能を持ち、考えて動けるのも人であり、直感を働かせることができるのも人。希望はある」と池内は期待する。脅威に対応していくためには、今そこにある脅威を「知り」、脅威・攻撃に「備え」、攻撃されたことを「見つけ」、適切に「動く」ことが大事だという。それらについて、池内は詳しく解説した。

 まず「知る」とは、システムの現状、特に弱点を把握することが重要となる。情報資産を正しく把握しているか、OS・プラグインは適切にアップデートしているか、不用意に公開しているサーバー・アプリケーションはないか、運用規則を定めているか、正しく運用されているかなど。そのためにはセキュリティ監査やセキュリティ診断を受けたり、公開情報(インターネットに接続されている機器やサーバーの検索エンジンなど)を活用したりすることも有効だ。

 また、敵を知るという意味では、IPAや警察庁、JPCERT/CCなどの公的機関からの公開情報、各種セキュリティ関連ブログ、セキュリティ以外の政治経済情勢、イベント、社内・会社間・業界内などのさまざまなソースから情報を収集し、収集した情報から世界や国内で起っていること・傾向(今後の脅威)を噛み砕き、噛み砕いた情報は社内や会社間、業界内に随時展開していくことが重要だという。

インシデントは起こるものと考え迅速に見つけ適切に動くことが重要

 次の「備える」においては、層防御という考え方がある。現状の把握結果を反映し、Attack Surface(攻撃対象領域)、TTP(戦術・技術・手順)、既存のパターンにとらわれない意識などによって攻撃の経路・シナリオを想定するとともに、攻撃検知防御や、改ざん検知、ディセプション(おとりで騙す方法)といった方法で、公開サーバー、メール、無線LANアクセスポイント、外部/内部ネットワーク、エンドポイントなどを各層で防御していく。OSやソフトウェア、プラグインなどの定期的なアップデート、緊急アップデートに対応することも必要だ。

 バックアップも備えることのひとつ。3-2-1ルール(別々の場所に3つコピーを取り、そのうち2つは異なる媒体で、少なくとも1つは離れた場所にバックアップする)という方法や、バックアップの手順、リストア手順を整備したり、リストアするまでのリハーサルをしたりすることで運用を確認する。

 ほかにも、ログ取得の設定(取得対象、保存期間を1年以上)やログの解析(攻撃兆候の監視)、インシデント対応態勢の整備・教育・演習なども行うべきだと池内はいう。

 さらに「見つける」・「動く」とは、インシデントは起こるものと考え、それらをいかに迅速に見つけることができるか、またいかに適切に動くことができるかを考えること。インシデントは、検知・通信・サービス・監査の各種ログやUEBA(User Entity Behavior Analytics:ユーザーの振る舞いに加えエンドポイントやネットワーク、アプリケーションなどのエンティティの挙動も分析し、その相関関係で分析結果の精度を高める方法)などから検知するほか、運用業者やサービス事業者などからの通報(連絡)でも検知することができる。

「UEBAなどの分野は人工知能や機械学習などが効果を発揮するため、それらを活用した製品が続々と登場している」という池内は、AIの可能性に期待する。

 また「動く」では、インシデント対応の各フェーズも大事な要件だという。初動フェーズ(被害拡大の抑止、二次被害の防止、証拠の保全、必要に応じた社外へのアナウンス)、分析・復旧フェーズ(業態によっては機密性や完全性よりも可用性を最優先する)、後処理フェーズ(事例として社内外に情報を展開する)などの対応を推奨する。

 最後に池内は、「全ての人が安心して暮らせる世の中になり、かつ私のような者が早く帰宅できる世の中になることをめざし、今後も皆さまとともに活動を続けていきたい」と抱負を語り、セッションを終了した。

【日立ソリューションズセッション2】
AI(人工知能)で実現する情報セキュリティ対策の全容

真島 秀一
株式会社日立ソリューションズ
セキュリティソリューション本部 先端セキュリティ開発部
グループマネージャ 真島 秀一

 日立ソリューションズセッション2では、AI(人工知能)を利用した独自のアルゴリズムにより画期的なアプローチで実現するマルウェア対策ソリューションが紹介された。

マルウェアは「未知」も「既知」もセキュリティリスクは同じ

 標的型攻撃やゼロディ攻撃、ランサムウェア、水飲み場型攻撃、ドライブ・バイ・ダウンロードといったサイバー攻撃はさまざまな手法が登場しているが、その多くがマルウェアを攻撃の基本としている。マルウェアはサイバー攻撃の最初のきっかけであり、情報を送り出したりバックドアを仕掛けたりして機密情報を窃取する危険なツールではあるが、逆に考えれば、攻撃者はマルウェアの侵入なくしては何もできないといえる。

 マルウェア対策は、ファイアウォールやIPS(侵入防止システム)/IDS(侵入検知システム)、URLフィルタリング、プロキシといったセキュリティゲートウェイ製品を導入して多層防御することが一般的ではあるが、メールやファイルのやり取りは日常業務で欠かせないため、それらがゲートウェイを通る「穴」を狙ってマルウェアが侵入してしまう。

「従来型のネットワークセキュリティ対策およびパターンマッチング方式にて多層防御を実現しても、未知のマルウェアは防ぐことは困難。侵入を前提とした対策を基本とし、マルウェアの実行を防止することで情報を流出させない対策が必要」と真島は語る。

 また、マルウェアは「未知」も「既知」も同じセキュリティリスクがあり、その固定概念に引っ張られてはならないという。

「既知のマルウェアは一握りで、世の中の大部分のマルウェアは未知もしくは亜種である。既知も未知も亜種も同じマルウェアなら、1つの製品で全てを対策できた方が便利で効率的ではないだろうか」と真島は問いかける。

機械学習による先進的な検出エンジンを採用し平均99%以上の検出率を達成

 そこで真島が推奨したのは、機械学習による検出エンジンを搭載し、エンドポイントでマルウェアの脅威を抑止する次世代マルウェア対策サービス「CylancePROTECT」(サイランスプロテクト)だ。CylancePROTECTは、人工知能(AI)技術を利用した独自のアルゴリズムで非常に高い検知率を実現し、パターンファイルを必要としない方式とクラウド環境による集中管理で運用負荷を低減するのが特長のクラウド利用型サービスである。

 2012年創業のCylance社は、米国カリフォルニア州アーバインに本社を置き、北米を中心として1,100以上の顧客に600万以上のライセンスを販売する実績を持っている。2016年4月に日立ソリューションズと代理店契約を結び、日本に初進出した。

 従来のマルウェア対策製品は、アンチウイルスベンダーが提供するウイルス/マルウェア情報をエンドポイントのメモリ上に展開し、それを基にブロックするという非常にシンプルな方法でしかなく、未知のマルウェアに対応できないため情報漏えいのリスクがあり、パターンファイルは日々配信されるものの管理者がチェックする負担が大きいという問題があった。また、別途管理サーバーを設置する必要があるので維持管理コストがかかる上に、端末内スキャン時に負荷がかかるため、PCの動作が重くなり業務への影響も少なくない。

 一方、CylancePROTECTは、機械学習モデルを活用した検出エンジンにより、マルウェアの共通的な特徴を類推して既知か未知かを意識せず高精度な検知が可能なため、セキュリティリスクを低減でき、パターンファイルも不要なので管理者の負担は大幅に減少する。また、クラウド型サービスのため初期投資や維持管理コストは極力少なくできる上に、軽量なスキャンを実現したことで業務への影響は非常に小さいというメリットがある。

 真島はCylancePROTECTの特長をさらに詳しく述べた。第1の特長は、機械学習による先進的な検出エンジンの優秀さだ。Cylance社のラボでは、収集した数億におよぶ大量のファイルから約700万ものマルウェアの特徴点を抽出し、AIを活用してマルウェアと判断するルールを学習する。ラボで作成された検出エンジンをPCにインストールしたエージェント側では、学習したルールに則って新しいファイルの特徴を数ミリ秒単位で多次元空間モデルをマッピングし、マルウェアを高精度かつ高速に予測し検知する。ファイルのパターンやふるまいではなく、ファイルの構造(バイナリデータの特徴)からマルウェアを予測して検知するため、見逃してしまう可能性はゼロに近いと真島はいう。

 また、既存のマルウェア対策製品とCylancePROTECTとを比較できるようにするため、お客様環境で実施する30日間の無償セキュリティ診断サービスを実施していることも紹介された。未知・既知のマルウェアが潜んでいないかをチェックする脅威の検知や、検知したマルウェアの詳細や特性を解説してセキュリティ対策の指標にできる評価レポートの発行、本番導入に向けた環境適合テストなどが利用できる。

タイムラグなく未知のマルウェアを検知

 第2の特長はパターンファイルに頼らない検知方法。パターンマッチング方式製品のようにパターンファイル配信までのタイムラグがなく、未知のマルウェアについても検知できるほか、毎日のパターンファイル更新が不要なためオフラインでも動作し、工場や自治体、モバイルなどネットワークにつなぐことができない環境でも安心して運用することができる。

 第3はクラウド環境による運用管理コストの低減。CylancePROTECTの管理コンソールは全てクラウドで管理されているため、分散拠点でエンドポイントがばらばらに存在していても本社から各種情報(マルウェアの感染状況、ホワイトリストの配布状況、端末の状態など)を一元管理が可能なほか、クラウド利用型なので社内ネットワークから離れた出張先でも安定して動作するのが大きな強みとなる。

 第4は軽量な動作。従来のマルウェア対策製品は定期的なディスクスキャンやファイル保存時のリアルタイムスキャンなどを一斉に実行するため、端末のCPU使用率を占有し、動作が遅くなって業務を阻害してしまう。CylancePROTECTはファイルをダウンロードする際にスキャンを行うが、スケジュールに基づいて順次実行し、緊急時は即時スキャンを開始するため、負荷が分散されてCPU使用率も占有せず、ユーザー作業への影響は極力少なくできる。

既存製品とCylancePROTECTを比較できる無償の診断サービスも実施

 その後、真島はCylancePROTECTの機能詳細を紹介した。中でも、簡単に早く導入できることがユニークだと強調した。インストールは3~4クリックするだけのわずか数分で完了し、管理者がエンドポイントにインストールすることも可能だという。エンドポイントをインターネットに接続すればポリシーが自動的に適用されるので、5~10分程度で利用可能になる。また、Cylance社が運営するクラウドサービスとして提供されるため、自社にサーバーを構築する必要はなく、構築やメンテナンスは不要。あまり知識のない管理者でも負担なく運用することが大きなポイントだという。

 真島は最後に、「現状のセキュリティ対策に不安を感じたり、ウイルスソフトの有効性に疑問を感じたりした場合には、ぜひCylancePROTECTをお試しいただきたい」と語りかけ、自身のセッションを終了した。

【基調講演】
攻撃側の観点から眺めたサイバーセキュテリィの状況とあるべき姿

名和 利男 氏
株式会社サイバーディフェンス研究所
専務理事/上級分析官
名和 利男 氏
【講師プロフィール】

サイバーディフェンス研究所 専務理事/上級分析官。航空自衛隊において、信務暗号・通信業務/在日米空軍との連絡調整業務/防空指揮システム等のセキュリティ担当(プログラム幹部)業務に従事。その後、国内ベンチャー企業のセキュリティ担当兼教育本部マネージャー、JPCERTコーディネーションセンター 早期警戒グループのリーダを経て、現職。専門分野であるインシデントハンドリングの経験と実績を活かして、CSIRT(Computer Security Incident Response Team)構築及び、サイバー演習(机上演習、機能演習等)の国内第一人者として、支援サービスを提供している。現在、サイバー脅威インテリジェンス関連情報の提供に力を入れている。現在、他に複数の役職を兼務している。

 基調講演では、攻撃者の観点に基づくインシデントレスポンスの能力向上策および実現すべき体制を紹介した。

ハックティビストが台頭し目的達成まで多種多様なサイバー攻撃を執拗に継続

 冒頭で名和氏は、サイバー空間利用の劇的な変化について4つのポイントを述べた。1つ目は情報の分散化と流通活性化。昔は1つの企業の中でハードウェアからシステムインテグレート、専用のソフトウェアまで揃え、ガラパゴス化していたため、システムのプロが常駐して保守メンテナンスを行っていた時代が長く続いたが、近年は効率性や生産性の向上が求められ、IT予算の緊縮などが続いたことから、他組織と連携業務(サプライチェーンを含む)の効率化と意思決定の迅速化のための急激なネットワーク化が進み、それに伴う情報資産の分散化と機械的機能の増加(人的機能の減少)が起きているという。

 2つ目は攻撃側の状況変化。20年ほど前まではハッカーやギークを名乗る者たちは比較的裕福で、技術力の誇示や目先の利益の獲得が攻撃の主な目的だったが、昨今は若年層の経済的不安定と一部の困窮化による不満の増大、ソーシャル・ネットワーキング・サービスの発展によるネット上でのやり取りの急増に伴い、ハックティビストと呼ばれる攻撃者の群れやコミュニティが台頭し、目的達成まで多種多様なサイバー攻撃を執拗に継続するようになった。また一方で、見えない攻撃者が奇抜な発想に基づく攻撃手法や高度な攻撃技術を持つに至っている。

 3つ目は侵入可能な人口の増加。ネット上の相互接続性・相互運用性の拡大による侵入可能な人口が増加するとともに、全ての入り口に対する侵入可能性の評価と対策措置が困難になっている。

 4つ目は価値あるデータの集中。以前はWebマスターが中心となってWebサイトを制作し、1日1度の更新が一般的だったが、現在Webマスターはほぼ死語となり、Webサイトの開発コスト削減、リアルタイム更新の要請、アクセスコントロールの必要性から、CMS(コンテンツ管理システム)を活用したデータの集中化、アプリケーションの複雑化と脆弱性の内在化が進んできた。しかし、CMSにアドオンを積み重ねることでセキュリティの脆弱性も高まってしまったという。

防御側が抱える技術的・能力的な課題と限界

「それによる“防御側”の課題も増えた」と名和氏は指摘する。第1に防御側の技術レベルの圧倒的な低さ。サイバー攻撃のレベルはそれを実施する攻撃者の技術・経験・発想力に大きく依存するが、日本を取り巻く国々ではサイバー攻撃に関する情報が潤沢に入手でき、それを実践できる環境にあるにも関わらず、防御側の日本はサイバー攻撃に関する日本語の情報が一切公開されず、サイバー技術レベルは低下する一方となっている。

 第2に防御側の厳しい環境と現実。攻撃側は経済的利得や主義主張の達成など強い意図や目的を持ち、試行錯誤の経験で知識を蓄積し、攻撃技術や対象組織に関する情報を円滑かつ迅速に共有するほか、そのITリテラシーを存分に発揮できる環境や、経済的困窮や利益確保のためにその勢力を急激に増加しつつある。しかし、防御側(インシデントレスポンダー)は高い目的意識や活動意欲を他利的行動に求められ、豊富な経験が必要で、意識的に防御技術や攻撃主体に関する情報を共有しなければならず、防御しやすい環境やインセンティブを得やすい環境を用意する必要があるなど、圧倒的に不利であることが分かる。

 第3に防御側における情報保障(IA)偏重のセキュリティ対策。APT(特定のターゲットに対して持続的に攻撃・潜伏を行い、さまざまな手法を駆使して執拗なスパイ行為や妨害行為などを行うタイプの攻撃)の重点事項はCND(コンピュータネットワーク防御)の概念に基づく「システムによる多層的な防御」であるが、IAの概念に基づくセキュリティ対策は「情報資産の単層的な防御」になりがちだという。

 第4に防御側に求められる過度な対処能力。以前までの対処活動は、デジタルフォレンジック(コンピュータに残る侵入の痕跡を分析すること)や、聞き取り、マルウェア解析などで対応できていたが、最近はそれに加え、インシデントハンドリング/コーディネーション(インシデント解決までの道筋や組織間連携の方法を提供すること)、ネットワークフォレンジック(サーバー、プロキシ、ファイアウォールなどの通信ログを分析すること)、サイバーインテリジェンス(攻撃手法や技術、攻撃者コミュニティで流通する手法などを収集・分析すること)が必要になっている。

「これらの技術的能力に加え、安全管理や危機管理、危機対応能力、コミュニケーション能力、作業編成能力が求められ、強い目的意識と不屈の精神も要求される」と名和氏は指摘する。

管理層が推進すべきサイバー攻撃対策の4つの方法

 次に、サイバー攻撃の目的と手口・手法がいくつか紹介された。情報通信技術およびインターネットを利用して発生する不正事象に対する対処支援の中で、結果的に重要情報およびその管理システムに何かしらの被害が発生した事象について、その形態と行動目的の観点で分析すると「経済的利得」、「怨恨による犯行」、「経済的スパイ」、「請負ハッキング」、「心なき破壊、興味本位の覗き見」などの分類に整理できるという。

 また、この数年に発生した外部要因および内部要因にかかるインシデントの調査の中で、事実解明に成功したものをレビューしたところ、「アカウント乗っ取り」、「不正プログラムの設置」、「内部協力者」、「かばんの持ち去り」、「無線LANへの不正侵入」、「ITシステム情報の弱点悪用」など重要情報の不正取得や破壊、改ざんの手段を発見できたという。

 では、管理層が推進すべき対策とは何か。名和氏は次の4つの方法をアドバイスした。

 1)サイバー空間における正確な事実把握。一般メディアなどが発信する情報を鵜呑みにせず、信頼関係や協調活動を行っているオリジナルレポーター(CSIRTなど)が発信する情報を追求すべきだという。

 2)サイバー空間における動向情報の積極的収集。インターネットや攻撃者コミュニティ、他のネットワークなどに対して積極的監視と能動的対処・分析を行っている専門家コミュニティ(ファーストレスポンダー、リサーチャー/アナリスト、法執行機関など)と年に1度以上は会話することが効果的だ。

 3)攻撃経路を見出した上での適切なセキュリティ対策。サイバー攻撃を“静的な絵”として理解するのではなく、組織全般にわたり、かつ時間の流れのある“動的ストーリー”として理解することが必要であるほか、主要な攻撃経路ポイントにおけるセキュリティ対策の要否およびレベルの設定には業務慣習や組織風土も考慮することも必要だ。

 4)全てのサイバー攻撃への対処に向けた明確な目的設定。日本国内の対策は防御策に偏重しており、いたずらにコストがかかってしまう状況になっている。そのため、回避策、防御策、対処策、復旧策の4つを基本に、メリハリのついた対策を検討・実装して、確実な運用を行うことが重要だという。

「人間の行動原理」をベースにしたサイバー攻撃への対処

 続いて、名和氏は組織として保有すべき対処能力について言及した。「APTなどのサイバー攻撃対策にはこれまで入り口対策や出口対策などの概念が提唱されてきたが、今はアクティブな防御をするために攻撃者をできる限り監視し、いつ攻撃が来ても対応できるよう構えておくという考えが一般化している」との認識を示す。

 2015年12月下旬、ウクライナの電力供給会社がサイバー攻撃を受け、約25万世帯で停電が発生した。日本も対岸の火事ではない。サイバー攻撃の被害を受けた組織・団体が、事後に構築するサイバー攻撃対処の体制、および運用の設計思想でよく見られるのは、「コンプライアンス強化モデル」(明確なポリシーや基準を定めて適用の可否の厳格化をめざす)、「インシデントレスポンスモデル」(発生した事象に対して迅速かつ的確な対処をめざす)、「積極的防衛モデル」(明確な意図を持った攻撃行為に対峙して積極的な防衛をめざす)の3つである。

 しかし、今後求められるサイバー攻撃対処プロセスのあり方とは、「人間の行動原理」(認知→判断→動作)をベースに、「組織/単一分野」および「複数分野」における各フェーズ(認知検知→意思決定→対処)で実施される行動を特定し、それを実現可能にする能力やスキル、情報、知見・ノウハウなどを見出して、実施可能な状況にしておくことが最善策になるという。

 名和氏は、「CSIRTのメンバーには、ユーザーやシステムなどから上がってくる情報を全て鳥瞰図のように理解できる人材を選任し、管理者や経営層を助けるために現場のことを把握できるようにするべき」との考えを示す。

日本の政府機関におけるサイバー脅威に対する認識は甘い

 その後、名和氏はリオ・オリンピック・パラリンピック2016で発生したサイバー脅威から学ぶべきことについて説明した。

 2014年FIFAワールドカップの開催以降、ブラジルはラテンアメリカにおけるサイバー犯罪発生率で突出するようになり、2016年にかけて197%も増加した。また、銀行における詐欺犯罪も2015年から現在まで40%増加しているという。特に、トロイの木馬や悪意のあるプログラム、フィッシング攻撃キャンペーンの請負、ブラジルで人気のタブレット端末を使った決済システム「Boleto Bancario」のバーコードを書き換える支払伝票詐欺など、アンダーグラウンドにおけるサイバー犯罪が活性化している。その例として、マルウェアによるATMスキミングやPOS感染の増加により、利用者のクレジットカード情報が窃取される事態も起きている。

 また、リオ・オリンピック・パラリンピックをテーマにした偽サイトやチケット販売の偽サイトなどが構築され、いずれもID/パスワードの機微情報やPII(個人情報)の窃取を目的としていたという。

「このように、サイバー犯罪者が本気を出せばさまざまな手口を構築してくる。しかし、日本の政府機関はサイバー脅威に対する認識はまだ甘いようだ。2020年に東京オリンピック・パラリンピックが開催され、訪日外国人も4000万人が見込まれている中、大会運営も重要だが、その方々をサイバー犯罪から守ることも重要な“おもてなし”になるはず」と名和氏は指摘する。

 サイバー犯罪者は、金融事業者のサービス利用者を主なターゲットとして、経済的利得のために、金融端末からの情報窃取およびネット詐欺を仕掛ける傾向が強くなる。金融事業者のサービス利用者には訪日外国人も多く含まれることになる。また、金融端末においては物理的脅威のほかに、ネットワーク化によりサイバー脅威の比重も増大していくと名和氏は懸念を示す。

AIの利用でサイバー攻撃が局限化し被害も限定的になる

 そして終盤に、名和氏は自身の活動領域であるサイバー攻撃対処におけるAI利用の可能性について説明した。現在のシステムバグやセキュリティホールの検出、パッチ処理、ハッキング対応は、個人の能力に大きく依存しており、システムが大規模になるとバグフィックス(バグを見つけ出す)作業自体が非常に困難になる。これにAIを活用して自動化することにより、脆弱性対応の自動化や大規模化、高速化が期待できる。

「AIの活用はサイバー攻撃が広く普及した状況に対する必然的かつ社会的な要請」と名和氏はいう。AIがさらに普及すれば、現在プロの技術者が担っているコンピュータフォレンジックやネットワーク/システムのログ解析、マルウェア解析、聞き取り、サイバーインテリジェンスなども、リーズナブルなコストで実現できる可能性があるという。しかし、その一方で攻撃者側もAIを活用できることになるため、一層攻撃が激化することも考えられる。

 また、インシデントハンドリング領域におけるAI利用の可能性にも言及した。人間によるインシデントハンドリングでは端緒情報、推測、調査、影響評価のすべてにおいて発生可能性のあるサイバー攻撃に対する対処が限定的、あるいは的外れとなるため、サイバー攻撃が発生した場合、潜在化あるいは残存する攻撃挙動への対応が事実上できないため、被害が甚大化する可能性もあったが、AIを利用することで端緒情報、推測、調査、影響評価の充足度が向上し、発生可能性のあるサイバー攻撃に対する対処の網羅性および適切性が高まり、サイバー攻撃が発生した場合に潜在・残存する攻撃挙動が局限化でき、被害が限定的になると結論づけた。

 最後に、名和氏は「サイバーセキュリティにおいてはまず敵を知ることが重要。そして、今も脆弱性が増え続けていることを理解すべき」と語りかけ、基調講演のまとめとした。

講演資料ダウンロード

フォーラム当日の講演資料はこちらからダウンロードできますのでご覧ください。

お問い合わせ

株式会社日立ソリューションズ Prowise Business Forum 事務局
〒140-0002 東京都品川区東品川4-12-6(日立ソリューションズタワーB)
TEL : 0120-958-545 (受付時間 月~金(祝祭日を除く) 10:00~17:30)
FAX : 0120-989-097
E-mail : pbf@hitachi-solutions.com

セミナーに関するお問い合わせ

セミナーに関するご質問・ご相談など

お電話でのお問い合わせ 0120-958-545 受付時間:月曜日から金曜日(祝祭日除く)10時から17時30分

Webからのお問い合わせ

セミナーに関するお問い合わせ

日立ソリューションズ 論より証言
日立ソリューションズのご紹介
日立ソリューションズは、お客様の業務ライフサイクルにわたり、豊富なソリューションを全体最適の視点で組み合わせ、ワンストップで提供する「ハイブリッドインテグレーション」を実現します。