サイバー空間と実空間の融合により利便性が高まっていく一方で、サイバー攻撃も増加し、社会インフラを巻き込むリスクが発生しています。サイバーセキュリティ対策は2020年のオリンピック/パラリンピックをはじめ、多くの国家イベントを間近に控えた日本の課題でもあります。そこで日本HPでは2019年5月29日、最新のサイバーセキュリティに関するセミナーを開催。サイバーセキュリティに関する日本政府の政策や、グローバルの事例や視点について、各分野の有識者が登壇し、800名の来場者が訪れました。
パソコンとプリンターを提供するHPが、なぜサイバーセキュリティに注力するのか
株式会社 日本HP 代表取締役 社長執行役員
岡 隆史
最初に登壇した日本HP社長の岡 隆史 氏は、パソコンとプリンターを提供する同社がサイバーセキュリティのイベントを行う理由について「攻撃対象がサーバーシステムではなく、より攻撃しやすいパソコンやプリンター、IoT機器に移行しています。脆弱な機器が一台でも攻撃を受ければ、組織全体のシステムに影響を与えかねません。HPではこのような脅威について数年前から予測し、さまざまな機関と協力してきました」と話しました。日本はこれからオリンピック/パラリンピック、そして大阪万博など大きなイベントを控え、また攻撃者もよりインパクトの大きな対象を狙うことから、さらなる脅威に備える必要があります。岡氏は「今回お伝えする日本と世界のサイバーセキュリティの情報について、社内や取引先のみなさまに共有いただき、日本の安心安全につなげていけるような場になればと思います」と開会の挨拶をしました。
サイバーセキュリティは企業が信頼を得るための投資。
また日本が成長できる分野でもある
自由民主党 サイバーセキュリティ対策本部長
高市 早苗 氏
自由民主党 サイバーセキュリティ対策本部長の高市早苗氏は、冒頭でNICT-情報通信研究機構の調査による、海外送信元から日本へのサイバー攻撃のパケット数を挙げました。調査によると2017年は1日あたり3億9000回、2018年は5億2000回と急増しているといいます。また高市氏は、もともとネットワークに接続されることが想定されなかった機器が十分なセキュリティ要件を満たさないまま接続されるようになり、こうした機器を踏み台にした攻撃が増えており、サプライチェーン全体へのリスクが高まっていると説明しました。
高市氏は「サイバー攻撃はゼロにはできないので、リスクの最小化が必要です。セキュリティソフトを入れてこまめに更新したり、訓練を受けるなどの対策は大事です。これはやむを得ないコストとしてではなく、持続的な経済活動を行うための投資だと考えていただきたい。ランサムウェア攻撃を受けて納期が遅れたり、取引先に被害を拡散したりすると、顧客に迷惑をかけてしまいます。そこで生じた信用失墜とそれを取り戻すコストに比べ、日頃のセキュリティ対策コストの方が安い。事業の継続や信用の維持に必要と考えてください。またサイバーセキュリティは成長性の高い分野ですので、高度なセキュリティを誇る製品やサービスを提供できる企業は国内外での拡販のチャンスがあり、日本が持続的に成長できる大きなチャンスととらえることができます」と伝えました。
2019年5月14日に安倍首相に提出したサイバーセキュリティ本部『第2次提言』では、国際ルールの構築に向けた積極的な貢献、技術革新に後れを取らない法制度整備、サイバーセキュリティ対策に資する体制強化を盛り込んだといいます。高市氏は「全ての重要インフラ事業者には対策を義務づけるべきで、インシデント発生時の報告義務も徹底したい。また、サイバー攻撃の分析や解析に係る研究を支援し、法的なリスクを避け安心して研究できるようなガイドラインの整備をしたい」と話しました。
企業の経営層は、
サイバーセキュリティ対策の体制や費用を積極的に計画し公開すべき
総務省 サイバーセキュリティ統括官
竹内 芳明 氏
総務省において企業のサイバーセキュリティを推進する竹内氏は「最近のサイバー攻撃は、黎明期の愉快犯のようなものと異なり、大規模、金銭目的あるいは国家機関も関係するなど大規模になっています。また攻撃に気がつかないまま、攻撃側に利用されるようなものにシフトしています」と説明しました。ウクライナで22万世帯に影響があった停電やイランの核濃縮施設への攻撃の事例から、大規模インフラが攻撃されるような事案が多数発生しているとしました。たとえ外部のネットワークに接続されていないシステムでも、USBメモリを通じて侵入されたり、OSのセキュリティ更新プログラムを適用していないマシンが狙われたりするなど、脅威はいたるところに存在しているのです。
竹内氏は、インターネットにつながっている家庭用ルーターやネットワークカメラ、ストレージ製品、デジタルビデオレコーダーといった組み込み機器をターゲットとした攻撃について説明。これは機器のログイン情報が初期設定のままで変更されていないことが侵入経路となっている現状を説明しました。こうした状況に対し、総務省ではグローバルIPv4アドレスをスキャンし、外部からログインできるかどうかの確認、ログインできた場合は通信事業者を通じて注意喚起するような活動も行なっていることを明かしました。また将来に向けた対策として、これから開発導入するIoT機器については、セキュリティ機能を備えるよう制度改正を行なっています。
このほか、安全でないサイトの調査や、大規模事案発生時のISP間の情報共有、攻撃者からの通信の遮断、機械学習やAIを用いたサイバー攻撃の予兆検出など、総務省がおこなっている数々の対策の紹介が行われました。
ディープラーニングAIが未知のマルウェアを判定し保護する「HP Sure Sense」
株式会社 日本HP 専務執行役員 パーソナルシステムズ事業統括
九嶋 俊一
冒頭で九嶋氏は、深刻化する脅威について「もはや防ぐことができない。侵害されることを前提に、いかに確かに復旧していくかという計画を持つ必要があります」と切りだしました。そして、今回のセッションでは、HPのビジネスPCが持つ、自己回復できる(レジリエンス)ハードウェア、階層的な防御、そして、セキュリティ対策を能動的にできるプロアクティブ管理の3つの特徴について説明するとしました。
「HP Sure Start」は、パソコンが正しい状態で起動しているかを監視し、異常があれば正しい状態に戻します。「HP Sure Run」は、「Windows Defender」などのソフトが正しく動作しているかどうかを検知して元に戻すものです。そして「HP Sure Recover」は、ハードウェアが侵されてしまい、いわゆる〝文鎮化〟してしまった場合に、起動できる状態に復旧するというものです。
次に九嶋氏は、階層的な防御のひとつである新製品の「HP Sure Sense」を紹介しました。これは、ディープラーニングを利用し、未知のマルウェアからリアルタイムで保護する、HPのパソコンにバンドルされるソリューションです。「毎日35万もの新しいマルウェアが生成されており、既存のシグネチャーベースのアンチウイルスソフトだけでは検知が難しくなっています。自社で行なった研究では、シグネチャーベースでは60%しか検出できませんでしたが、HP Sure SenseはWindows Defenderとの組み合わせで99%の未知の脅威を検出可能です。さらに、ファイル1個あたり20msでスキャンでき、CPU負荷も1%を実現しています」と九嶋氏。
九嶋氏はさらに、悪意のあるWebサイトや添付ファイルへの対策として用意されている「HP Sure Click」を紹介しました。これは、Webブラウジング時のブラウザのタブを仮想マシンで動作させることで、脅威を隔離します。また、悪意のあるeメールの添付ファイルを受信し、クリックした場合にも、同様に仮想マシン内で開き、OSや他のアプリケーションに影響を与えず保護することができるものです。
九嶋氏が3番目の特徴として挙げた、プロアクティブ管理については、リアルタイムでマルウェアからの保護や脅威分析を提供する新しいデバイス管理サービス「HP プロアクティブセキュリティ」を提供すると説明。このサービスはBromium社の技術を取り入れたものであるとし、詳しい説明については、同社のSVP(シニア・バイス・プレジデント)であるSherban Naum氏に譲りました。
リアルタイムでマルウェアからの保護や脅威分析を提供するデバイス管理サービス
Bromium SVP Corporate Strategy and Technology
Sherban Naum
Naum氏は、最近のサイバー攻撃は、セキュリティ製品を回避するように設計されており、また防御側も攻撃の阻止に集中すると、攻撃に対する洞察が得られないといった問題を提起しました。そして、中小企業におけるデータ侵害の原因は、従業員の過失によるものも多く、また未知の脅威の可能性も高まっており、侵害後数ヶ月間もそれが発覚しないといったケースも増えてきているといった現状について説明しました。
このような問題に対処するため「HP プロアクティブセキュリティ」では、「HP Sure Click Advanced」を提供します。これは、仮想マシンでリスクのあるアプリケーションを隔離して動作させることで、システム全体を危険にさらすことを防ぐものです。悪意があるコンテンツと判断した場合は、詳しい分析のために詳細な診断データがITデバイス管理サービス「HP TechPulse」のクラウドに取集され、脅威に関する知見を蓄積していきます。
Naum氏は、「HP TechPulse」による脅威分析レポートで得られる情報についても紹介しました。レポートでは、発覚した脅威の数、発生時に未知であった攻撃の数、マルウェア系統ごとの分析、隔離されたマルウェアなどを確認できます。さらに、「HP プロアクティブセキュリティ」のエンハンスド版では、HPのエキスパートによるさまざまな分析も提供されます。
重要インフラにおけるセキュリティ問題に対応する「HP DaaS Proactive Security」
米国HP Cyber Security Practice Lead, Global DAAS Professional Service
Stuart Phillips
Phillips氏は、HPのDevice as a Service(DaaS)部門 セキュリティサービスリードであり、企業がテクノロジーを導入したり、OSを移行したり、サイバー攻撃への対応をする際のコンサルティングを行なっています。
最近の重要インフラに対する脅威についてPhillips氏は「典型的なものが産業スパイで、計画やノウハウ、顧客リストなどを盗むものです。最近はランサムウェアが脅威を増しており、重要インフラの制御システムで使われている、Windows NTやWindows 98といった古いOSでセキュリティ更新がされていないコンピュータが狙われます。そして状況を変えたのはビットコインです。これまでは脅威に侵害されても、匿名で送金できる手段が無いため資産を強奪されることはありませんでしたが、ビットコイン送金による強奪被害が相次いでいます。敵対国家が背景にいると思われるインフラ攻撃も増えています」と話しました。
対策として、ネットワークを適切にセグメンテーションする、最新のOSを導入する、システムやネットワークの脆弱性をテストする、担当者のサイバーセキュリティに関するトレーニングを行うなどが挙げられますが、これはインフラ組織のリソースに大きな負荷がかかってしまいます。
ユーザー組織の負荷を軽減する例としてPhillips氏は、発電所に対するアプローチの例を説明しました。それは、VPNまたはファイヤーウォール経由での接続を利用し、すべてのOSアップデート、アプリケーションのWindows10対応と定期的なアップデート、を行い、「HP Tech Pulse」によるシステム利用状況の管理、「HP Sure Click Advanced」による、マルウェアとユーザーに起因する攻撃の防御により、インターネットから分離されるのみで、管理されていないことが多い制御システムのセキュリティを多層防御するアプローチです。
最後にPhillips氏は、「私はお客様から、『あれもやりたい、これもやりたい』という相談を受けますが、お客様の時間や人員は限られています。HPはお客様のために時間や人員を用意できます。専門知識、経験もあり、パートナーも含めさまざまなサービスやソリューションを提供し、お客様を成功に導くお手伝いができます」と呼びかけました。
サプライチェーンリスクへの対応やAI活用など、日本企業がとるべき対応とは
元DIA(アメリカ国防情報局)CTO Cyber Security Practice Lead,
Global DAAS Professional Service
Bob Gourley
長年インテリジェンスコミュニティーの最前線でセキュリティに取り組んできたGourley氏は冒頭で「サイバー攻撃の脅威は深刻になっています。フィッシィングはいまだに盛んにおこなわれており、IoT機器は安全な状態のまま出荷されているとは言えません。ランサムウェアは進化しており、対処が難しくなっています。ハードウェアの脆弱性を悪用する攻撃者もいます。国家によるサイバー攻撃もより露骨になっており、ZTEやファーウェイの規制など中国とアメリカ間ではハイテク冷戦が繰り広げられています」と現状を整理しました。
サイバー攻撃への対処の考え方としてGourley氏は「私は宮本武蔵から『敵を知り、己を知る』という哲学を学びました。サイバー攻撃の『敵を知る』という点においては、攻撃に備えた対策や復旧計画を立てておくべきです。また『己を知るという』という点では、自分の組織のデータやシステム、機能を継続的に把握することや、セキュリティの専門家や法執行機関、各種サービスプロバイダーなどとチームを構築して備えることも大切です」と紹介しました。
続いてGourley氏は、セキュリティへのAI利用について「AIは、現実世界の問題解決に応用することができる思考機械です。技術的には、分析アルゴリズム、言語や画像処理、データ管理、センサーなどに活用でき、非技術要素としては、新規事業戦略、セキュリティポリシーや倫理、運用とメンテナンスなどへの活用も考えられます。そして、電信電話やインターネット、スマートフォンやIoT機器といったテクノロジーと同様に、AIについても保護していく必要があります。AIを扱う場合は、AIのインフラ、アルゴリズム、学習データ、外部データとの依存関係やリスクの保護が必要です」と述べました。