講演レポート:元内閣官房副長官補の西川徹矢氏が語る!政府のサイバーセキュリティ戦略から考える脅威への対策 ~有効に機能するカウンターインテリジェンスの要件~|Prowise Business Forum in Tokyo 第77回|株式会社日立ソリューションズ

株式会社 日立ソリューションズ

Prowise Business Forum

in Tokyo 第77回

元内閣官房副長官補の西川徹矢氏が語る!
政府のサイバーセキュリティ戦略から考える脅威への対策
~有効に機能するカウンターインテリジェンスの要件~

 情報セキュリティを取り巻く環境は急速に変化しています。特にサイバー攻撃の脅威が増大しており、被害が世界中に拡散しています。初期のサイバー攻撃は愉快犯によるものでしたが、次第に国や企業の機密情報を窃取しようとする攻撃が顕在化してきています。企業は情報を守るためのカウンターインテリジェンスを有効に機能させ、サイバー攻撃からの被害を防ぐことが急務となります。

 本フォーラムでは、基調講演に元内閣官房副長官補の西川徹矢氏をお招きし、政府のサイバーセキュリティ戦略を概観し、今後の動向についてご講演いただきました。日立ソリューションズからは高度化・巧妙化が加速するサイバー攻撃の現状について解説し、企業が取るべき対策のポイントをご紹介しました。

セミナー風景

開催概要

日時 2014年7月29日(火) 14:00~16:30 (13:30 受付開始)
会場 東京都港区港南2-18-1
JR品川イーストビル20F セミナーホール
主催 株式会社日立ソリューションズ

【基調講演1】
我が国の情報セキュリティ政策について

弁護士 西川 徹矢 氏

笠原総合法律事務所
弁護士 西川 徹矢 氏

講師プロフィール

'72年警察庁入庁。情報化時代幕開けの中、捜査情報管理の効率化をライフワークとし、'80年代に多発した大型コンピュータによる犯罪捜査に触発され、OA化による業務の合理化等を中心に関与。'95年警察庁情報通信企画課長に就任し、全国警察WANや庁内イントラネットの構築に参画するとともに、インターネット犯罪捜査支援業務の導入等情報セキュリティの分野に参加。その後防衛省に異動し、省内ITセキュリティ対策や内閣官房セキュリティ推進に参画するとともに、初代のIT担当防衛参事官として防衛庁ITガイドラインの策定、米国防総省CIOとの定期会合に従事。更に防衛省局長、官房長として直轄課を指揮し情報通信行政に携る。'09年8月から2年間、内閣官房副長官補に就任し、NISCの責任者として我が国の情報セキュリティ戦略の政策策定、インシデント対応に従事。この間、南紀白浜コンピュータ犯罪シンポジュウム等民間協力組織作りに参画。現在、損保ジャパン顧問。

 2013年6月10日、日本政府は脅威の深刻化を懸念し「サイバーセキュリティ戦略」を発表し、サイバーセキュリティ立国の実現を目指しさまざまな施策を打ち出した。これがどのような方向に動き出そうとしているのかについて、西川氏は概括的に解説した。

コンピュータ依存の副作用として発生するサイバー攻撃という宿痾(しゅくあ)

 最初に、西川氏はインターネットの普及状況を説明した。日本の2012年度末時点におけるインターネットの利用者数が9,652万人に達し、普及率も79.5%となり、世界で13位(1位はノルウェーの93.4%)という状況だが、伸びは鈍化している。インターネットの利用状況では、Facebook(1,751万人)やTwitter(1,315万人)などソーシャルメディアが伸びており、ネットショッピングも2012年度中の市場規模が8.5兆円と5年で2倍に増加し、約50%の人が経験している。ネットバンキングは1千万口座、預金残高6兆円(2012年11月末)となり、全預金残高の1.1%を占める。インターネット取引口座数は1,816万口座(2013年3月末)が開設され、2012年10月~2013年3月の株式取引の売買代金は131兆186億円(全体の31.7%)に達した。行政手続きでも2013年度中のe-Tax利用件数は2,279万件で、5年間で2.3倍に増加している。

 しかし、その影となるネット社会のマイナス要因については、McAfee社のレポートによると、発見されたマルウェア検体が2013年1月~6月までの半年で1億2,000万件から1億4,000万件へと増加し、脅威の種別もマルウェアやハッキング、ソーシャルエンジニアリングなどが高止まり状態で増え続けているという。
「最近も政府機関や公的組織、重要技術を持つ企業などに標的型サイバー攻撃によるウイルス感染、不正アクセス、ゼロデイ攻撃での情報漏えいも確認され、機微な情報に対する巧妙な攻撃が行われている」

 情報通信や金融、航空・鉄道、電力・ガス・水道、政府・行政サービス、医療などの重要インフラに対する攻撃でも、2012年度に110件の報告があり、標的型メール攻撃などの情報提供件数も2012年度が246件、2013年度4~6月期で74件、7~9月期で95件と、危機の高止まり状態になっている。

 さらに、サイバー犯罪の検挙件数も2013年度は7,334件と増えており、インターネットバンキング対象不正アクセスによる2012年中の被害金融機関は56行、不正送金総額は約3億800万円となり、2014年は6月末現在で既に2億200万円の被害が発生している。
「特に、最近はスマホユーザーの8割がセキュリティ上の不安を感じており、6人に1人が実際にセキュリティ上の問題に遭遇しているという調査結果もある」という西川氏は、脅威が深刻化する中で被害が甚大化し、攻撃対象範囲の拡散とグローバル化が見られるという。スマートフォンは国内の世帯保有数が2010年末の約10%から2012年末の約50%へと5倍に増加し、携帯端末を標的とする不正サイトが2011年度末に約3,000だったものが2013年度末には約5万7,000件へと約20倍に急増。他にもスマートカーやスマートメーターの普及により、インターネットに接続する端末が日本の社会全体へ浸透し、いつでも・どこでも・何にでもつながることが脅威を増大する状態にある。

 「社会のコンピュータに対する依存度が増すほどサイバー攻撃などの負の現象が起きるのは当然であり、これは利便性の副作用といえる。しかも、その副作用はやっかいで、なかなか根治しない"宿痾"のようなものだが、それでもコンピュータを使わざるを得ない状況にあることが大きな課題だ」と述べる西川氏だが、「1972年頃の交通死亡者数が1万6,000人ほどであったのに比べ、当時よりも車の数や交通量が多い現在で4,000人台に減少したことを考えれば、セキュリティ状況もまだまだ改善できるのではないか」と期待を滲ませる。

3つの意味を含むサイバー攻撃という概念

 ここで西川氏は、「サイバー攻撃」という用語について整理した。サイバー攻撃という言葉に画一的な定義はなく、警察庁がやや特色的に細分化しているという。例えば、インターネットバンキングへの不正アクセス・不正送金は「サイバー犯罪」。情報通信技術を用いて政府機関や先端技術を有する企業から機密情報を窃取する行為は「サイバーインテリジェンス」。政府機関を含む重要インフラ事業者等の基幹システムを機能不全に陥れ社会の機能をマヒさせる活動は「サイバーテロ」と使い分けている。

 また、日本でのサイバーセキュリティの関心は企業機密情報や個人情報などへのリスクが中心となっているが、米国などではサイバーテロやサイバースパイなどの国防機密情報や政府機密情報などへの攻撃に重点があり、大きなずれがいろいろな局面で現れているという。

「サイバーセキュリティ戦略」が決定するまでの経緯

 次に西川氏は、日本の政府機関におけるネットワーク情報セキュリティ政策の歴史的推移について解説した。1999年頃に「重要インフラ防護研究会」が情報セキュリティに関する懸案を示したが、Y2Kをクリアした直後の2000年1月24日~26日に運輸省や科学技術庁などへの大規模なホームページ改ざん事件が発生し、それを契機に翌2月に「高度情報通信社会推進本部」の下に「情報セキュリティ部会」と「内閣官房情報セキュリティ対策推進室」が設置され、情報セキュリティポリシーに関するガイドラインが示された。

 また、7月には官邸に「情報通信技術戦略本部」(IT戦略会議)が設置され、12月にIT基本戦略を決定。重要インフラのサイバーテロ対策に係る特別行動計画や、高度情報通信ネットワーク社会形成基本法(IT基本法)も制定されるなど、従来の各省による試行錯誤から、内閣官房が主導するサイバー攻撃への対応を中心とした対策実施へと大きく変化した。

 2001年1月には内閣に高度情報通信ネットワーク社会推進戦略本部(IT戦略本部)を設置し、eJapan戦略を決定。IT基本本部に情報セキュリティ専門調査会を設置するとともに、2002年4月にはNIRT(緊急対応支援チーム)が発足。官民のネットワークセキュリティの専門家を招集した。

 2005年頃からは、IT障害への対応も含めた総合的な対策基盤作りの推進へと動き出し、内閣官房情報セキュリティセンター(NISC)が発足し、情報セキュリティ政策会議がIT基本戦略会議とは別に設置され、重要インフラの情報セキュリティ対策に係る行動計画が示されたほか、政府機関の情報セキュリティ対策の統一基準が決定。2006年には第1次情報セキュリティ基本計画が決定した。

 2009年に第2次情報セキュリティ基本計画がスタートするが、2010年5月には「国民を守る情報セキュリティ戦略」を発表。ここからサイバー攻撃事態発生を念頭に新たな環境変化対応や、能動的セキュリティ対策を行うようになり、政策とインシデントを車の両輪とし、さらに国民の目線を入れることとなった。その後、情勢の変化を受け、対応の一層の強化を図るべく、3年後の2013年6月10日に「サイバーセキュリティ戦略」が決定した。
「およそ5年ごとに日本の情報セキュリティ政策は大きな変革を迎えている。日本政府がサイバーセキュリティに対する取り組みを明確にし、他国との協力関係をいよいよ強化することになろう」(西川氏)

日本のサイバーセキュリティや安全保障を根幹から考え直す必要がある

 次いで、西川氏は、サイバー攻撃対策推進上の課題について、次の5つを列挙した。。

 1つ目は、官民学連携のさらなる強化。サイバーリスクがますます深刻化する中で、官民学の協働オペレーションが必要であり、ウイルス対策ソフトの制作会社と情報セキュリティベンダーとの一層の協力関係も求められるという。

 2つ目は、サイバー攻撃への迅速な対応と的確な対処。NISCのGov-cert(ガブサート)機能強化によるサイバー攻撃への対応と、的確な事案対処のために必要な関係機関の調整が重要となる。

 3つ目は、重要インフラ防護活動とその情報セキュリティ運営との関連整理。危機管理・安全保障部門による大規模サイバー攻撃に対する迅速な対処を図るためにも、Gov-cert機能の強化によるサイバー攻撃事案の迅速な情報収集と的確な処理が必要とされる。

 4つ目は、自衛隊、警察、サイバーインテリジェンス部門との連携システムの再構築を含む、連携の緊密強化。

 5つ目は、国際的な取り組みの強化。外国の治安機関などと連携することで被害拡大の防止を迅速に講じることや、サイバー攻撃の分析に関するノウハウを交換すること、サイバー攻撃対処力の脆弱な国にキャパシティビルディングを行うこと、などが課題として挙げられている。

 最後に西川氏は、インフォメーションとインテリジェンスについて触れた。インフォメーションとインテリジェンスは似て非なる言葉であり、インテリジェンスは政策決定者の明確なニーズまたはそのような需要(ニーズ)と理解されたものであり、他方インフォメーションとは公開情報や秘匿情報など知りうる全ての情報のことであり、インテリジェンスよりも広い範囲に対応しているという。
「日本のサイバーセキュリティや安全保障のあり方について、根幹から考え直すべき点がいくつかあると感じており、今回は私個人の疑問点や問題意識を披露させてもらった」と基調講演を終了した。

【日立ソリューションズセッション 1】
新たな脅威に企業はどう立ち向かうべきか

主任技師 中川 克幸

株式会社日立ソリューションズ
プロダクトマーケティング本部 マーケティング推進部
主任技師 中川 克幸

 日立ソリューションズセッション1では、近年ますます高度化・巧妙化する標的型サイバー攻撃に対し、企業として何をポイントに対策すべきなのかについて中川が解説した。

人を介した巧妙さで攻撃する「やりとり型」の標的型メール攻撃に注意

 標的型サイバー攻撃は、手口も高度化・巧妙化しており、中でも標的型メール攻撃、Webサイトへの攻撃が増加しているという。

 標的型メール攻撃の手口で最近多いのが「やりとり型」といわれ、業務に関するメールを何度かやりとりして、警戒されない状況を作った上でマルウェア付きメールを送る手法だ。採用担当窓口宛てのメールや、商品問い合わせ窓口宛てのメールなど、担当者が開封せざるを得ない状況を突く。

 中川は、「やりとりする中で相手の状況を観察しながらマルウェア付きメールを送るタイミングを計るなど、コンピュータに任せるのではなく、人を介した巧妙さで攻撃する」と説明する。

 従来はメールゲートウェイや総合セキュリティソフトを導入してマルウェアやスパムメールをブロックしてきたが、マルウェアのサンプルが少ないため定義ファイルを事前に用意することが難しいことなどにより、標的となる企業向けに特化したマルウェアは検知することが難しくなっている。そのため、未知のマルウェアを検知するために、実環境に影響を及ぼさない仮想環境上で怪しいファイルを実行し、ふるまいを確認する「サンドボックス」の導入が有効とされる。

 しかし、そうした手を尽くしても潜入される可能性は否定できない。そのため入口だけではなく、その後の「基盤構築」→「調査」→「目的遂行」という各フェーズで多層的に防御することで、最終的な情報窃取は何としても防止するという発想に切替えることが重要だと中川はいう。

 そこで、次に打つべき手はログのチェックだ。基盤構築と調査のフェーズで早期発見するために確認すべきログとしては、未使用のIPアドレスへのアクセスや、不特定多数の端末へのアクセス、サーバ⇔クライアント間もしくはサーバ⇔サーバ間のアクセスに関するログなどがある。

 従来、ログのチェックにはセキュリティ製品専用のログチェックツールや、SIEM(セキュリティ情報およびイベント管理)製品などが使われるのが一般的だった。しかし、各製品のログを統合的かつ横断的にチェックすることができない上、ログが大量になった場合は分析に時間がかかったり、スケールアウト(分散処理)に対応していなかったりするなど課題も多い。

 そこで中川は、多種多様な大量マシンデータを迅速かつ簡単に価値ある情報へと変換する分析ソフトウェア「Splunk」が有効であると紹介した。

WebセキュアプログラミングやWAFでは防げない"水飲み場型"攻撃

 Webサイトへの攻撃について、中川は「最近は"水飲み場型攻撃"が増えており、標的となる企業の社員が頻繁に利用するWebサイトを改ざんして罠をしかける手口に注意すべき」と説明する。大手企業への攻撃の足掛かりとして、その企業と付き合いがあり、セキュリティ対策の遅れている中堅・中小企業も狙われているという。

 従来は、WebセキュアプログラミングによるWebアプリの脆弱性排除や、Webアプリケーションファイアウォール(WAF)の導入などが行われてきたが、Webセキュアプログラミングは開発や保守に高度な知識と運用コストが要求されたり、パッケージを利用する場合は修正が困難だったりするほか、WAFはゼロデイ攻撃に対処できず、シグネチャの更新とチューニングに手間がかかるなどの課題があった。
「ますます高度化するWebサイトへの攻撃を防ぐには、Webサイトの前段に"おとり"を設置し、わざと攻撃させて犯人をマーキングする方法が効果的」だと中川はいう。

 それを実現するソリューションとして、中川はジュニパーネットワークスのWebサーバハッキング対策製品「WebApp Secure」を推奨する。罠をしかけてわざと攻撃させ、攻撃してきた相手の特徴や手口を覚えて、攻撃者を特定しブロックするという手法をとる。

最新のサイバー攻撃を入口対策・内部対策・出口対策の3段階でブロック

 また、中川はDDoS攻撃と呼ばれるWebサーバをダウンさせるサービス妨害についても言及した。従来は、ネットワークスベースフラッド攻撃(IP/TCPを中心に大量の通信を発生させて攻撃する手法)が主流で、ファイアウォールで防衛していたが、最近はアプリケーションベースフラッド攻撃(アプリケーションを中心に大量の通信を発生させる攻撃)やLow and Slow攻撃(一度に大量のパケットを送りつけずにサーバのリソースを消費させる攻撃)が主流になり、ファイアウォールでは防げなくなっているという。

 そのため、「Webサーバが高負荷になるとツールやボットからの攻撃と推測し、それらの通信を優先してブロックする」ジュニパーネットワークスのDDoS対策製品「DDoS Secure」が効果的であるという。

 その他、実施しておくべき基本的な対策も紹介した。ジュニパーネットワークスの「SRXシリーズ」は、UTM(ファイアウォール/IPS/アンチウィルス/URLフィルタリング)機能によりネットワークをシンプルに管理し運用コストを削減するアプライアンス製品だ。最新版では、禁止アプリケーションは遮断し、特定の利用者にのみ認めたアプリケーションを許可することが可能になり、標的型サイバー攻撃の入口対策と出口対策を実現する。

 日立ソリューションズが提供する情報漏洩防止ソリューション「秘文シリーズ」は、標的型メール攻撃を3つのポイントで対策できる。下記の3箇所において効果的な多層防御を実現する。

  • 入口対策(社外からの標的型メール攻撃をブロック)
  • 内部対策(ファイルサーバの暗号化とエンドポイントからの持ち出し制御)
  • 出口対策(マルウェア感染PCからの不正なWebアクセスをブロック)

【日立ソリューションズセッション 2】
マルウェア対策ソリューションのご紹介

技師 長田 和寛

株式会社日立ソリューションズ
ネットワークセキュリティ本部 セキュリティソリューション部
技師 長田 和寛

 日立ソリューションズセッション2では、仮想空間でマルウェアを動作させて安全なものかどうかを判断する「サンドボックス」や、既存のセキュリティ製品と連携することで、標的型攻撃やゼロデイ攻撃などをより確実に発見するための方法が紹介された。

従来型セキュリティ製品では防げなかった未知の脅威もサンドボックスでブロック

 マルウェアとは、ウイルス、ワーム、トロイの木馬、スパイウェアなどを含む悪質なコードの総称と説明する長田は、「過去のマルウェアは既知の脆弱性をターゲットとして感染するほか、大量のメール送信やブラウザ上の広告表示などの手法が主流で、IPSやファイアウォール、アンチウイルスソフトで検出が可能だったが、現在は未知の脆弱性をターゲットとしたゼロデイ攻撃や、正常通信になりすました攻撃などでマルウェア感染に気付かないケースが多くなり、攻撃が複雑化・多様化する中でパターンマッチングをベースとした既存のセキュリティポリシーソリューションだけでは攻撃を防げなくなっている」と懸念を示す。

 従来の攻撃は、攻撃対象が不特定多数で、脆弱性のあるシステムを発見してさらなる攻撃を仕掛けるなど、サービスダウンやホームページ改ざんを目的とした愉快犯的な活動がメインだったが、最近の攻撃は対象があらかじめ特定されているケースが多く、通常のアクセスとは見分けがつかない通信を装い、組織内部の機密情報を入手する目的の標的型攻撃へと進化している。
「未知の攻撃やマルウェアを発見する手段として、サンドボックスという隔離した仮想空間で実際にマルウェアを動作させて挙動を確認し、安全なものかどうか判断することが必要となっている」と長田はいう。

 シグネチャベースの攻撃検知機能は、常に最新のパターンファイルを更新し、特定の攻撃パターンではなく動作のふるまいを含めた挙動の把握が必要となるため、未知の脅威に対しては効果が少ない。そのため、サンドボックスでは怪しいファイルを仮想空間上の特定OSやサービス環境の中で実行させ、I/O入出力、通信内容などの挙動を確認し、未知のファイルの実際の挙動を解析して悪質なものかを判断する。

 つまり、ファイアウォール→IPS/IDS/アンチウィルス→レピュテーション/ヒューリスティック機能の先にサンドボックス製品を設置することで、従来型のセキュリティ製品では防げなかった未知の脅威も検知・ブロックが可能になるというわけだ。

マルウェア対策を導入計画から運用支援に至るまでワンストップで提供

 次に長田は、マルウェア対策ソリューションについて説明した。「サンドボックスでの異常な挙動検知だけではなく、ファイアウォールやWAF、Webゲートウェイ、IPS、DNSなど周辺のセキュリティ製品と連携し、機能を分散して、トータルでセキュアな環境を構築するのがこのマルウェア対策ソリューションの目的」

 それにより、サンドボックス製品上でのブロック動作を補完するとともに、各セキュリティ製品で実装されているブロック機能の制度も向上するという。

 例えば、DNS製品との連携では、疑わしいドメインへのアクセスをブロックすることが可能になる。また、IPS製品と連動させれば、インターネット上の不正な宛先IPアドレスへのアクセスをブロックできる。

 また、サンドボックス製品導入セグメント以外においてもマルウェアによる挙動の確認が可能で、サンドボックス製品でブロック機能が間に合わなかった通信に対しても他のセキュリティ製品がブロックするので安心だという。

 日立ソリューションズでは、このマルウェア対策ソリューションを導入計画から機器手配/導入作業、運用支援に至るまで、ワンストップで対応することが可能だ。「計画フェーズ」(導入前支援ソリューション)は導入前検証や支援サービスを提供。「導入フェーズ」(構築ソリューション)では設計サービス、導入・テストサービス、設計書作成サービスなどが用意されている。そして「運用フェーズ」(運用支援ソリューション)はログ解析サービス、設定チューニング/メンテナンスサービスが利用できる。

 「オンプレミスでの構築だけではなく、運用コスト削減や最適なインシデント対応を実装するためのサービス型での提供も可能。ネットワークセキュリティを専門とする事業部体制によるプロ意識の高い技術者と、豊富なセキュリティ製品のラインナップを揃え、コンサルティングから運用支援までさまざまなニーズに応えられるソリューションを提供している」と長田は自信を持って推奨する。

お問い合わせ

株式会社日立ソリューションズ Prowise Business Forum 事務局
〒108-8250 東京都港区港南2-18-1 JR品川イーストビル
TEL : 0120-958-545
FAX : 0120-989-097
E-mail : pbf@hitachi-solutions.com

セミナーに関するお問い合わせ

セミナーに関するご質問・ご相談など

お電話でのお問い合わせ 0120-958-545 受付時間:月曜日から金曜日(祝祭日除く)10時から17時30分

Webからのお問い合わせ

セミナーに関するお問い合わせ

日立ソリューションズ 論より証言
日立ソリューションズのご紹介
日立ソリューションズは、お客様の業務ライフサイクルにわたり、豊富なソリューションを全体最適の視点で組み合わせ、ワンストップで提供する「ハイブリッドインテグレーション」を実現します。